Vergleich: Gruppenrichtlinien versus Group Policy Preferences

    Über die Group Policy Preferences lassen sich die Energieoptionen der Clients zentral konfigurieren.Gruppenrichtlinien sind seit Windows 2000 ein bewährtes Mittel, um Windows-PCs zentral zu verwalten. Die mit Windows Server 2008 und Vista eingeführten Group Policy Preferences ("Gruppenrichtlinien-Einstellungen") dienen zwar auch diesem Zweck, folgen aber trotz der ähnlichen Bezeichnung einem anderen Konzept.

    Die Gruppenrichtlinien haben ihrem Namen gemäß die Aufgabe, zentrale IT-Vorgaben verbindlich im Unternehmen umzusetzen. Ihre typischen Anwendungen bestehen darin, Desktops gegen Änderungen durch die User zu schützen und so Support-Kosten zu sparen, Sicherheitseinstellungen zentral festzulegen, Software zu verteilen, Anwendungen wie MS Office zu konfigurieren oder Ordner des Benutzerprofils umzuleiten.

    Group Policy Preferences als Alternative zu Login-Scripts

    Die Group Policy Preferences dagegen sind primär dafür gedacht, um einen alternativen Mechanismus zu Login-Scripts bereitzustellen. Entsprechend können sie zahlreiche Einstellungen zentral festlegen, für die traditionell Batch-Dateien oder vbs-Code eingesetzt wurde. Dazu zählen das Zuordnen von Druckern und Netzlaufwerken, das Setzen von Umgebungsvariablen oder das Kopieren von Dateien. Die GPP gehen jedoch weit über diese Aufgaben hinaus und sind bei der Auswahl der Ziel-Computer deutlich flexibler.

    Microsoft hat die Group Policy Preferences in den Gruppenrichlinienverwaltungs-Editor unter 'Einstellungen' integriert.Die unterschiedliche Bedienung der beiden Management-Tools entspringt jedoch nicht nur der Tatsache, dass sie jeweils andere Aufgaben erfüllen. Die Group Policy Preferences entstammen der Übernahme der Firma DesktopStandard und ihrem Produkt PolicyMaker. Microsoft hat es in Vista und Windows Server 2008 unter die Oberfläche des Gruppen­richt­linien­verwaltungs-Editors gepackt, wo sich nun unter der Computer- und Benutzerkonfiguration neben den Richtlinien ein weiterer Ordner namens Einstellungen befindet. Darunter versammeln sich alle Optionen für die GPP.

    Zwingende Richtlinien vs. revidierbare Konfiguration

    Neben den unterschiedlichen Einsatzgebieten und der uneinheitlichen Bedienerführung gilt als Hauptunterschied zwischen den beiden Arten der Gruppenrichtlinien, dass die eigentlichen Richtlinien verbindlich sind und die damit vorgenommenen Einstellungen erzwungen werden. Dagegen können Benutzer die per GPP umgesetzten Konfigurationen wieder ändern.

    In der Praxis sind die per Preferences veränderten Einstellungen indes nicht so fragil, wie dies klingen mag. Sie werden mit den GPOs per Voreinstellung alle 90 Minuten aufgefrischt, so dass sich User nicht allzu lange gegen die Hartnäckigkeit der Maschine stemmen werden. Arbeiten sie offline, so dass kein Domänen-Controller erreichbar ist, dann stehen ihre Chancen jedoch besser, weil dann kein Refresh stattfindet. Außerdem kann der Administrator anders als bei den Gruppenrichtlinien festlegen, dass eine Einstellung nur einmal geschrieben wird, so dass sie bei der Rücknahme durch den Benutzer nicht neu gesetzt wird.

    Programme müssen nicht auf GPP angepasst sein

    Der zwingende Charakter der Richtlinien äußert sich in der Regel dadurch, dass die zentral verwalteten Einstellungen über das Benutzer-Interface einer Anwendung oder einer Windows-Komponente nicht mehr steuerbar sind. Die entsprechenden Optionen sind dann ausgegraut oder Dialoge lassen sich nicht mehr öffnen.

    Voraussetzung für dieses Verhalten ist jedoch, dass ein Programm oder ein Windows-Feature GPOs unterstützt, es muss sich also aktiv den Einträgen in der Registrierdatenbank anpassen. Diese werden in einen geschützten Bereich der Registry geschrieben, wo sie von einem Benutzer mit Standardrechten nicht verändert werden können.

    Ändert man dagegen Einstellungen von Anwendungen über die GPP, dann betrifft dies jene Schlüssel in der Registry, die auch vom Programm gesetzt werden, wenn der Benutzer das Aussehen der Software über einen Konfigurationsdialog anpasst. Die Software muss daher auch nichts von den Group Policy Preferences wissen.

    GPP-Einstellungen als Altlasten

    'Element entfernen, wenn es nicht mehr angewendet wird' führt nicht dazu, dass die alte Einstellung restauriert wird.Aus dieser Eigenart der GPP leitet sich ein weiterer Unterschied zu den Richtlinien ab: treffen die Bedingungen für die Anwendung von GPOs auf bestimmte Rechner nicht mehr zu, etwa weil sie in eine andere OU transferiert wurden, dann bleiben standardmäßig die einmal geschriebenen Werte bestehen ("Tattoo").

    Im Gegensatz dazu werden Konfigurationen, die der Administrator durch Richtlinien erzwungen hat, wieder auf den zuvor gültigen Wert zurückgesetzt. Allerdings besteht auch bei den GPP die Möglichkeit, eine nicht mehr benötigte Einstellung zu entfernen. In diesem Fall wird jedoch nicht die vorher vorhandene Konfiguration wiederhergestellt, vielmehr nutzt die Anwendung dann wieder den Standardwert.

    Fein einstellbare Filter für GPP

    Ein wesentlicher Vorzug der GPP gegenüber den Richtlinien ist die Möglichkeit, sie abhängig von vielfältigen Kriterien zielgenau auf bestimmte Rechner anzuwenden ("Item Level Targeting"). Dies geht so weit, dass man eine Einstellung, beispielsweise das Setzen einer bestimmten Umgebungsvariablen, mehrfach in einem Gruppenrichtlinienobjekt unterbringen kann und sie je nach Filter mit verschiedenen Werten versieht. Wenn man dagegen eine Richtlinie nicht auf eine ganze Domäne, Site oder OU anwenden möchte, bleiben nur WMI-Filter, um sie auf ausgewählte Geräte einzuschränken.

    Über das Item-Level-Targeting lassen sich Vorgaben gezielt auf bestimmte Rechner oder User eingrenzen.

    GPP nicht in den lokalen Richtlinien verfügbar

    Ein weiterer Unterschied zwischen den Richtlinien und den GPP schließlich zeigt sich sofort, wenn man den Editor für lokale Gruppenrichtlinien öffnet. Dort fehlt sowohl unter der Computer- als auch unter der Benutzerkonfiguration der Zweig Einstellungen. Die GPP sind also lokal nicht verfügbar, die herkömmlichen Richtlinien dagegen schon.

    3 Kommentare

    Bild von Fais
    Fais sagt:
    18. September 2013 - 9:34

    Besser kann man es nicht erklären! Dankeschön.....

    Bild von leo
    leo sagt:
    28. August 2015 - 9:16

    Vielen Herzlichen Dank für den Artikel,

    kann man denn die alten über die GPO bereigestellten Drucker aus den Anwendungen entfernen (TS Umgebung) ?

    Vielen Dank

    MfG
    leo

    Bild von DiViNe
    DiViNe sagt:
    12. Februar 2018 - 10:00

    Besten Dank, hat mir geholfen!