Sicherheitsfilterung: User und Computer von GPOs ausnehmen

Standardmäßig werden Gruppenrichtlinien auf alle User und Computer in einer Domäne, Site oder OU angewandt, mit der das GPO verknüpft ist. Wenn es aufgrund dieser Zuordnung eine große Zahl von AD-Objekten anspricht, dann kann es sein, dass man bestimmte Benutzer oder Computer ausnehmen möchte. Die Sicherheitsfilterung dient diesem Zweck.

Im Vergleich mit den Group Policy Preferences lassen sich die herkömmlichen Richtlinien nicht so fein auf bestimmte User oder Computer eingrenzen. Sie gelten für ganze Domänen, Sites oder Organisations­einheiten, also immer für ganze Container. Wenn man dort die Anwendung von GPOs einschränken möchte, dann geht dies über Sicherheits- oder WMI-Filter.

WMI-Filter primär für Hardware-Kriterien

Während die genauere Adressierung von GPOs mit Hilfe von WMI sich vor allem eignet, um die betroffenen Computer anhand von Hardware-Eigenschaften ein­zu­schränken, bietet die Sicherheits­filterung weitgehende Flexibilität, um beliebige Objekte ein- oder auszuschließen. Sie beruht nämlich darauf, einzelnen Konten oder Gruppen die Rechte zur Anwendung von GPOs zu gewähren bzw. zu entziehen.

Voreinstellungen für GPO-Rechte

Richtet man in der Gruppenrichtlinienverwaltung ein neues GPO ein, dann enthält seine Sicherheitsfilterung standardmäßig die Gruppe Authentifizierte Benutzer, die alle User und Computer der Domäne umfasst. Der Eintrag bewirkt, dass diese Gruppe die Rechte Lesen und Gruppenrichtlinie übernehmen bekommt. Sie sind die Voraussetzung dafür, dass sie ein GPO ausführen können.

Eine Reihe weiterer Objekte ist per Voreinstellung bereits mit mehr oder weniger Rechten ausgestattet, darunter das Systemkonto, die Gruppe Domänen-Admins oder die Domänen-Controller. Sie scheinen aber in der Registerkarte Bereich nicht unter Sicherheitsfilterung auf.

Gruppen ein- oder ausschließen

Eine Möglichkeit für die Eingrenzung von Gruppenrichtlinien auf bestimmte Objekte besteht darin, dass man Authentifizierte Benutzer aus der Sicherheitsfilterung entfernt und gezielt jene Benutzer, Computer oder Gruppen hinzufügt, auf die das GPO zutreffen soll. Dieser Ansatz entspricht quasi einem Whitelisting.

Häufiger wird man jedoch die umgekehrte Situation vorfinden, dass ein GPO zwar grundsätzlich auf alle Objekte eines verknüpften Containers zutreffen soll, aber dass man nur einige davon ausnehmen möchte. Diese muss man daher in die ACL der Gruppenrichtlinie aufnehmen und ihnen explizit das Recht zur Ausführung entziehen.

Rechte für GPO entziehen

Zu diesem Zweck wechselt man zur Registerkarte Delegierung und klickt rechts unten auf den Button Erweitert. Im folgenden Dialog Sicherheitseinstellungen für <GPO> fügt man die User, Computer oder Sicherheitsgruppen hinzu, auf die das GPO nicht angewandt werden soll. Anschließend setzt man für sie das Recht Gruppenrichtlinie übernehmen von Zulassen auf Verweigern.

Auch wenn sich GPOs mit Hilfe der Sicherheitsfilterung genauer adressieren lassen, sollte man sie nicht zu oft nutzen. Sie erschwert die Analyse, wenn die Anwendung von GPOs nicht funktioniert wie erwartet, speziell dann, wenn man sie mit anderen Mechanismen wie Loopback Processing kombiniert.

Keine Übersicht über verweigerte Rechte

Das liegt auch daran, dass die Microsoft-Tools keine Übersicht bieten, aus der hervorgeht, ob die ACL eines GPO einen Verweigern-Eintrag enthält. Das gilt sowohl für die Gruppenrichtlinienverwaltung, die in diesem Fall die Berechtigungen nur mit benutzerdefiniert bezeichnet, als auch für PowerShell:

Get-GPO -all | % {Get-GPPermissions -name $_.DisplayName -all}

Dieser Aufruf listet unter Windows 8.x und Server 2012 sämtliche Rechte aller Objekte in den ACLs aller GPOs auf. Auch hier erhält man unter Permission nur GpoCustom, wenn ein Privileg entzogen wurde.