Tags: System-Management, Gruppenrichtlinien
Gruppenrichtlinien sind seit Windows 2000 ein bewährtes Mittel, um Windows-PCs zentral zu verwalten. Die mit Windows Server 2008 und Vista eingeführten Group Policy Preferences ("Gruppenrichtlinien-Einstellungen") dienen zwar auch diesem Zweck, folgen aber trotz der ähnlichen Bezeichnung einem anderen Konzept.
Die Gruppenrichtlinien haben ihrem Namen gemäß die Aufgabe, zentrale IT-Vorgaben verbindlich im Unternehmen umzusetzen. Ihre typischen Anwendungen bestehen darin, Desktops gegen Änderungen durch die User zu schützen und so Support-Kosten zu sparen, Sicherheitseinstellungen zentral festzulegen, Software zu verteilen, Anwendungen wie MS Office zu konfigurieren oder Ordner des Benutzerprofils umzuleiten.
Group Policy Preferences als Alternative zu Login-Scripts
Die Group Policy Preferences dagegen sind primär dafür gedacht, um einen alternativen Mechanismus zu Login-Scripts bereitzustellen. Entsprechend können sie zahlreiche Einstellungen zentral festlegen, für die traditionell Batch-Dateien oder vbs-Code eingesetzt wurde. Dazu zählen das Zuordnen von Druckern und Netzlaufwerken, das Setzen von Umgebungsvariablen oder das Kopieren von Dateien. Die GPP gehen jedoch weit über diese Aufgaben hinaus und sind bei der Auswahl der Ziel-Computer deutlich flexibler.
Die unterschiedliche Bedienung der beiden Management-Tools entspringt jedoch nicht nur der Tatsache, dass sie jeweils andere Aufgaben erfüllen. Die Group Policy Preferences entstammen der Übernahme der Firma DesktopStandard und ihrem Produkt PolicyMaker. Microsoft hat es in Vista und Windows Server 2008 unter die Oberfläche des Gruppenrichtlinienverwaltungs-Editors gepackt, wo sich nun unter der Computer- und Benutzerkonfiguration neben den Richtlinien ein weiterer Ordner namens Einstellungen befindet. Darunter versammeln sich alle Optionen für die GPP.
Zwingende Richtlinien vs. revidierbare Konfiguration
Neben den unterschiedlichen Einsatzgebieten und der uneinheitlichen Bedienerführung gilt als Hauptunterschied zwischen den beiden Arten der Gruppenrichtlinien, dass die eigentlichen Richtlinien verbindlich sind und die damit vorgenommenen Einstellungen erzwungen werden. Dagegen können Benutzer die per GPP umgesetzten Konfigurationen wieder ändern.
In der Praxis sind die per Preferences veränderten Einstellungen indes nicht so fragil, wie dies klingen mag. Sie werden mit den GPOs per Voreinstellung alle 90 Minuten aufgefrischt, so dass sich User nicht allzu lange gegen die Hartnäckigkeit der Maschine stemmen werden. Arbeiten sie offline, so dass kein Domänen-Controller erreichbar ist, dann stehen ihre Chancen jedoch besser, weil dann kein Refresh stattfindet. Außerdem kann der Administrator anders als bei den Gruppenrichtlinien festlegen, dass eine Einstellung nur einmal geschrieben wird, so dass sie bei der Rücknahme durch den Benutzer nicht neu gesetzt wird.
Programme müssen nicht auf GPP angepasst sein
Der zwingende Charakter der Richtlinien äußert sich in der Regel dadurch, dass die zentral verwalteten Einstellungen über das Benutzer-Interface einer Anwendung oder einer Windows-Komponente nicht mehr steuerbar sind. Die entsprechenden Optionen sind dann ausgegraut oder Dialoge lassen sich nicht mehr öffnen.
Voraussetzung für dieses Verhalten ist jedoch, dass ein Programm oder ein Windows-Feature GPOs unterstützt, es muss sich also aktiv den Einträgen in der Registrierdatenbank anpassen. Diese werden in einen geschützten Bereich der Registry geschrieben, wo sie von einem Benutzer mit Standardrechten nicht verändert werden können.
Ändert man dagegen Einstellungen von Anwendungen über die GPP, dann betrifft dies jene Schlüssel in der Registry, die auch vom Programm gesetzt werden, wenn der Benutzer das Aussehen der Software über einen Konfigurationsdialog anpasst. Die Software muss daher auch nichts von den Group Policy Preferences wissen.
GPP-Einstellungen als Altlasten
Aus dieser Eigenart der GPP leitet sich ein weiterer Unterschied zu den Richtlinien ab: treffen die Bedingungen für die Anwendung von GPOs auf bestimmte Rechner nicht mehr zu, etwa weil sie in eine andere OU transferiert wurden, dann bleiben standardmäßig die einmal geschriebenen Werte bestehen ("Tattoo").
Im Gegensatz dazu werden Konfigurationen, die der Administrator durch Richtlinien erzwungen hat, wieder auf den zuvor gültigen Wert zurückgesetzt. Allerdings besteht auch bei den GPP die Möglichkeit, eine nicht mehr benötigte Einstellung zu entfernen. In diesem Fall wird jedoch nicht die vorher vorhandene Konfiguration wiederhergestellt, vielmehr nutzt die Anwendung dann wieder den Standardwert.
Fein einstellbare Filter für GPP
Ein wesentlicher Vorzug der GPP gegenüber den Richtlinien ist die Möglichkeit, sie abhängig von vielfältigen Kriterien zielgenau auf bestimmte Rechner anzuwenden ("Item Level Targeting"). Dies geht so weit, dass man eine Einstellung, beispielsweise das Setzen einer bestimmten Umgebungsvariablen, mehrfach in einem Gruppenrichtlinienobjekt unterbringen kann und sie je nach Filter mit verschiedenen Werten versieht. Wenn man dagegen eine Richtlinie nicht auf eine ganze Domäne, Site oder OU anwenden möchte, bleiben nur WMI-Filter, um sie auf ausgewählte Geräte einzuschränken.
GPP nicht in den lokalen Richtlinien verfügbar
Ein weiterer Unterschied zwischen den Richtlinien und den GPP schließlich zeigt sich sofort, wenn man den Editor für lokale Gruppenrichtlinien öffnet. Dort fehlt sowohl unter der Computer- als auch unter der Benutzerkonfiguration der Zweig Einstellungen. Die GPP sind also lokal nicht verfügbar, die herkömmlichen Richtlinien dagegen schon.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- GPO mit Active-Directory-Provider von Terraform erstellen und konfigurieren
- Cloud-Clipboard mit Gruppenrichtlinien und PowerShell verwalten
- Suchhighlights in Windows 10 / 11 über Gruppenrichtlinien deaktivieren
- Geplante Aufgaben über Gruppenrichtlinien anlegen oder löschen
- GUI oder GPO: Benachrichtigungen in Windows 10 deaktivieren
Weitere Links
3 Kommentare
Besser kann man es nicht erklären! Dankeschön.....
Vielen Herzlichen Dank für den Artikel,
kann man denn die alten über die GPO bereigestellten Drucker aus den Anwendungen entfernen (TS Umgebung) ?
Vielen Dank
MfG
leo
Besten Dank, hat mir geholfen!