Bei Gruppenrichtlinienobjekten oder Group Policy Objects (GPOs) handelt es sich um Konfigurationen in Windows-Server-Umgebungen, die an Computer, Benutzer und Gruppen gebunden werden können. Diese werden durch einen Domänencontroller an die gewünschten Computer verteilt. Es gibt die Möglichkeit, Laufwerke automatisch für Benutzer zu verbinden oder Computer Dienste für bestimmte Computer bzw. Arbeitsplätze einzuschränken. Man ist somit in der Lage alle Einstellungen eines PCs je nach Benutzer festzulegen.
Die GPOs werden in der Gruppenrichtlinienverwaltung konfiguriert und erstellt, bzw. gelöscht und können mit diversen Objekten verknüpft werden. Sie können entweder auf den ganzen Standort angewendet werden, nur innerhalb einer Domäne oder auf eine Organisationseinheit (OU). Wichtig zu beachten ist, dass sich Gruppenrichtlinienobjekte hierarchisch vererben. Wenden Sie also die GPO auf die Domäne an, dann sind alle OUs in dieser Domäne betroffen. Es gibt aber auch die Möglichkeit durch eine Kontext Menü Option die Vererbung für einzelne OUs zu verhindern. Ein blaues Symbol auf dem OU Ordner zeigt, dass die Vererbung für diese deaktiviert ist.
In unserem Beispiel sind dem Betrieb XYZ die OUs Technik, Versand, etc. untergeordnet. Erstellte GPOs werden unter Gruppenrichtlinienobjekte gesammelt. Üblicherweise werden diese mit einem C im Namen gekennzeichnet, wenn sie auf Computereinstellungen wirken oder mit einem U, wenn Benutzereinstellungen vorgenommen werden.
Sicherheitsfilter
Die GPOs können auch durch Sicherheitsfilter an bestimmte Sicherheitsgruppen geknüpft werden, die selbst festgelegte User oder Computer beinhalten. Die durch die GPO vorgenommene Einstellung wird so für die ausgewählte Sicherheitsgruppe entweder aktiviert oder deaktiviert. Vorgegeben ist hier die Standardgruppe “Authentifizierte Benutzer”, welche alle Benutzer umfasst, die beim Anmelden authentifiziert werden. Die Gruppen können beliebig geändert werden.
WMI-Filter
GPOs können mit sogenannten WMI-Filtern verknüpft werden. Mithilfe dieser Filter können betriebssystemspezifische Eigenschaften ausgelesen werden und je nach Ergebnis die Richtlinie angewendet oder deaktiviert werden. Der Aufbau gleicht hierbei einer SQL-Abfrage, die Informationen aus dem abgefragten System ausliest. Der gespeicherte WMi-Filter wird dann mit der GPO verknüpft.
Wo werden GPOs gespeichert?
Die GPOs werden auf dem Domänencontroller gespeichert. Sie können über den Pfad \\%ADNAME%\sysvol von allen Computern innerhalb der Domäne erreicht werden.
Wichtige CMD Befehle für die Fehlersuche
gpresult /r
Zeigt alle Gruppenrichtlinien an, die auf den Computer und Benutzer angewandt werden.
gpupdate /force
Aktualisiert die aktuellen Computerrichtlinien und Benutzerrichtlinien.