Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Standardmäßig werden die Gruppenrichtlinien übernommen und summieren sich, und sie betreffen alle Computer und Benutzer in einem Active Directory (AD) Container und dessen untergeordnete Elemente. Computerbezogene Richtlinieneinstellungen setzen benutzerbezogene Richtlinieneinstellungen außer Kraft.
Gruppenrichtlinienobjekte (Group Policy Objects, GPO) werden in der folgenden Reihenfolge verarbeitet:
- Das lokale GPO wird angewendet.
- GPOs, die mit Standorten verknüpft sind, werden angewendet.
- GpOs, die mit Domänen verknüpft sind, werden angewendet.
- GPOs, die mit Organisationseinheiten (OUs) verknüpft sind, werden angewendet. In einer verschachtelten OU-Struktur werden GPOs, die mit übergeordneten OUs verknüpft sind, zuerst angewendet, gefolgt von GPOs, die mit den untergeordneten OUs verknüpft sind.
Tipp
Die Sequenz der GPO-Verarbeitung ist entscheidend, da jede nachfolgende Richtlinienanwendung Einstellungen außer Kraft setzen kann, die von früheren Richtlinien angewendet werden.
Die Standardvererbungsmethode besteht darin, die Gruppenrichtlinien beginnend mit dem höchsten übergeordneten AD Container auszuwerten. Der AD-Container, der dem Computer oder Benutzer am nächsten kommt, setzt Gruppenrichtlinien in einem AD-Container auf höherer Ebene außer Kraft. Die Vererbung wird ignoriert, wenn Sie die erzwungene Option für diesen GPO-Link festlegen oder die Einstellung für die Blockvererbung angewendet wird. Lokale Gruppenrichtlinien werden vor domänenbasierten Richtlinien verarbeitet. Richtlinieneinstellungen von GPOs, die mit AD-Containern verknüpft sind, überschreiben lokale Richtlinieneinstellungen.
Sie können mehr als ein GPO mit einem AD Container verknüpfen. Die Gruppenrichtlinienobjektverknüpfung mit der niedrigsten Verknüpfungsreihenfolge in der Liste der Gruppenrichtlinienobjektverknüpfungen hat standardmäßig Vorrang.
Funktionsweise der Gruppenrichtlinienverarbeitung
Die Gruppenrichtlinie für Computereinstellungen wird angewendet, wenn der Computer gestartet wird. Gruppenrichtlinien werden bei der Anmeldung für Benutzer angewendet. Diese anfängliche Verarbeitung der Richtlinie kann auch als Vordergrundrichtlinienanwendung bezeichnet werden.
Die Vordergrundverarbeitung von Gruppenrichtlinien kann synchron oder asynchron sein. Im synchronen Modus schließt der Computer den Systemstart erst ab, wenn die Computerrichtlinie erfolgreich angewendet wurde. Der Benutzeranmeldungsprozess wird erst abgeschlossen, wenn die Benutzerrichtlinie erfolgreich angewendet wurde. Wenn im asynchronen Modus keine Richtlinienänderungen vorhanden sind, die eine synchrone Verarbeitung erfordern, kann der Computer die Startsequenz abschließen, bevor die Anwendung der Computerrichtlinie abgeschlossen ist. Der Desktop kann auch für den Benutzer verfügbar sein, bevor die Anwendung der Benutzerrichtlinie abgeschlossen ist, wenn er sich im asynchronen Modus befindet. Das System wendet anschließend im Hintergrund regelmäßig die aktualisierten Gruppenrichtlinien an. Während einer Aktualisierung werden Richtlinieneinstellungen asynchron angewendet.
Alle Richtlinienverarbeitungen müssen innerhalb von 60 Minuten abgeschlossen werden. Es gibt keine Methode zum Ändern dieses Timeoutzeitraums.
Nach der anfänglichen Verarbeitung der Gruppenrichtlinien (auch als Anwendung der Vordergrundrichtlinie bezeichnet) aktualisiert das System die Gruppenrichtlinien regelmäßig im Hintergrund. Während einer Aktualisierung werden Richtlinieneinstellungen asynchron angewendet.
Standardmäßig erfolgt eine Aktualisierung alle 90 Minuten. Das System kann dem Aktualisierungsintervall eine zufällige Zeit von bis zu 30 Minuten hinzufügen. Sie können diese Standardwerte mithilfe einer Gruppenrichtlinieneinstellung in der Erweiterung "Administrative Vorlagen" in "Gruppenrichtlinie" ändern. Wenn Sie den Wert auf Null Minuten festlegen, wird die Aktualisierungsrate auf sieben Sekunden festgelegt. Nicht alle Gruppenrichtlinienerweiterungen werden während einer Hintergrundaktualisierung verarbeitet. Die Verarbeitung der Ordnerumleitung erfolgt beispielsweise nur, wenn sich ein Benutzer anmeldet. Außerdem erfolgt die Verarbeitung der Softwareinstallationsrichtlinie nur, wenn ein Computer gestartet wird und sich ein Benutzer anmeldet.
Obwohl das System die Skripterweiterungen für Gruppenrichtlinien während einer Hintergrundaktualisierung verarbeitet, werden einzelne Skripts nur ausgeführt, wenn der Computer gestartet und heruntergefahren wird, und wenn sich ein Benutzer anmeldet und sich abmeldet.
Bei einer Richtlinienaktualisierung wendet eine clientseitige Erweiterung standardmäßig nur Richtlinieneinstellungen an, wenn eine Änderung an einem der GPOs oder der Liste der GPOs erkannt wird. Dieses Verhalten liegt aus Leistungsgründen.
Erzwungene GPOs
Ermitteln Sie, ob Richtlinieneinstellungen vorhanden sind, die immer für bestimmte Benutzergruppen oder Computer erzwungen werden müssen. Erstellen Sie GPOs, die diese Richtlinieneinstellungen enthalten, verknüpfen Sie sie mit der entsprechenden Website, Domäne oder OU, und legen Sie diese Links als erzwungen fest. Durch Festlegen dieser Option erzwingen Sie die Richtlinieneinstellungen eines GPO auf höherer Ebene, indem Sie verhindern, dass GPOs in AD-Containern auf niedrigerer Ebene diese überschreiben. Wenn Sie z. B. ein bestimmtes Gruppenrichtlinienobjekt auf Domänenebene definieren und die erzwungene Option festlegen, gelten die im GPO enthaltenen Richtlinien für alle Organisationseinheiten unter dieser Domäne. GpOs, die mit den OUs auf niedrigerer Ebene verknüpft sind, können die erzwungene Domänengruppenrichtlinie nicht außer Kraft setzen. Wenn mehrere GPOs mit derselben Website, Domäne oder OE verknüpft sind und die erzwungene Option festgelegt ist, hat der höchste GPO-Link, der erzwungen werden soll, Vorrang.
Vererbung blockieren
In der Group Policy Management Console (GPMC) bezieht sich Blockierung der Richtlinienvererbung oder Blockierung der Vererbung auf eine Funktion, die die Reihenfolge der Verarbeitung von Gruppenrichtlinien beeinflusst. Jede Domäne und OU in AD verfügt über ein GPOptions-Attribut , das so konfiguriert werden kann, dass die Vererbung blockiert wird. Dadurch wird verhindert, dass Richtlinieneinstellungen, die auf lokalen, Standorte-, Domänen- und höheren OU-Ebenen angewendet werden, auf Computer oder Benutzer innerhalb der OU wirken. Während die Blockierung der Vererbung jedoch verhindert, dass die meisten Einstellungen auf eine OU angewendet werden, wirkt sie sich nicht auf Einstellungen aus, die über GPOs mit der Option Erzwungen angewendet werden. Erzwungen ist eine Link-Eigenschaft und hat Vorrang vor der blockierten Vererbung von Richtlinien, einer Container-Eigenschaft.
Richtlinieneinstellungen, die mit einer Domäne verknüpft sind, gelten in der Regel für alle Computer und Benutzer innerhalb der Domäne, unabhängig von ihrer übergeordneten OE. Mit der GPMC können Sie die Vererbung auf einer Domäne oder OU blockieren, um zu verhindern, dass die normalen Einstellungen der Gruppenrichtlinie angewendet werden. Das Blockieren der Vererbung auf Domänenebene verhindert, dass Einstellungen von GPOs, die mit einer AD-Website verknüpft sind, auf die Domäne angewendet werden, während das Blockieren auf OU-Ebene verhindert, dass Einstellungen von GPOs, die mit Websites und Domänen verknüpft sind, diese OUs beeinträchtigen.
Zusätzlich zur Blockierung der Vererbung:
- Ein GPO selbst kann vollständig deaktiviert werden
- Die Computereinstellungen für ein GPO können deaktiviert werden.
- Bei einem GPO können die Benutzereinstellungen deaktiviert werden
- Bei einem GPO können alle seine Einstellungen deaktiviert werden
Client-seitige Erweiterungen der Gruppenrichtlinienpräferenz
Gruppenrichtlinien-Vorlieben-Erweiterungen auf der Client-Seite verfügen über eigene eindeutige Verarbeitungsmethoden. Innerhalb eines einzelnen GPOs können Sie ein oder mehrere Einstellungselemente für eine bestimmte Erweiterung der Gruppenrichtlinienpräferenzen konfigurieren, die verarbeitet werden sollen. Zum Beispiel kann ein einzelnes GPO mehrere Laufwerkszuordnung Präferenz Elemente enthalten.
Während der Gruppenrichtlinienverarbeitung durchläuft die Infrastruktur eine Reihe von Erweiterungsmodulen. Für jede Erweiterung stellt sie wichtige Informationen bereit, einschließlich einer Liste von GPOs mit Änderungen und GPOs, die nicht mehr auf den Benutzer oder Computer anwendbar sind. Die Infrastruktur teilt auch kontextspezifische Details, z. B. ob die Netzwerkverbindung als langsam angesehen wird. Die Erweiterung der Gruppenrichtlinienpräferenz verwendet Informationen über die geänderten und nicht im Bereich liegenden GPOs, um ihre Einstellungen zu verarbeiten.
Clientseitige Erweiterungen verarbeiten Einstellungselemente sequenziell von oben bis unten in der Liste. Das Ergebnis der Verarbeitung jedes Einstellungselements hängt von der konfigurierten Aktion ab, und die Zielgruppenadressierung auf Elementebene kann verhindern, dass ein Element angewendet wird. Die Erweiterung verarbeitet jedes Element, bis entweder die Liste abgeschlossen ist oder die Verarbeitung aufgrund von Konfigurationseinstellungen wie "Stoppen der Verarbeitung von Elementen in dieser Erweiterung, wenn bei diesem Element ein Fehler auftritt" oder "Einmal anwenden und nicht erneut anwenden" endet. Sobald alle Einstellungselemente verarbeitet sind, wird die Kontrolle an den Gruppenrichtlinien-Dienst zurückgegeben.
Gruppenrichtlinienfilterung
Sie können mithilfe von Sicherheitsfiltern oder WMI-Filtern (Windows-Verwaltungsinstrumentation) filtern, ob ein GPO angewendet wird.
Mithilfe der Sicherheitsfilterung können Sie optimieren, welche Benutzer und Computer die Richtlinieneinstellungen in einem GPO erhalten und anwenden. Die Sicherheitsgruppenfilterung bestimmt, ob das GPO für Gruppen, Benutzer oder Computer gilt. Die Sicherheitsgruppenfilterung kann nicht selektiv für verschiedene Richtlinieneinstellungen innerhalb eines GPO verwendet werden.
Mit WMI können Sie eine WMI-Abfrage verwenden, um die Anwendung von Gruppenrichtlinien zu filtern. Wenn Sie die WMI-Filterung verwenden, gilt das GPO für Sicherheitsprinzipale, die den Bedingungen der WMI-Abfrage entsprechen. Jedes GPO kann mit einem WMI-Filter verknüpft werden; derselbe WMI-Filter kann jedoch mit mehreren GPOs verknüpft werden. Bevor Sie einen WMI-Filter mit einer GPO verknüpfen können, müssen Sie den Filter erstellen. Der WMI-Filter wird während der Verarbeitung von Gruppenrichtlinien auf dem Zielcomputer ausgewertet. Das GPO gilt nur, wenn der WMI-Filter als „true“ ausgewertet wird.
Loopbackverarbeitungsmodus
Der Loopbackverarbeitungsmodus wendet die Benutzerkonfigurationseinstellungen von Gruppenrichtlinienobjekten an, die dem Computer zugewiesen sind, unabhängig davon, wer sich anmeldet. Die Loopbackverarbeitung führt entweder zusammen oder ersetzt die Benutzereinstellungen aus den GPOs, die dem Benutzer zugewiesen sind. Diese Richtlinieneinstellung ist in bestimmten, eng verwalteten Umgebungen mit speziellen Computern wie Klassenzimmern, öffentlichen Kiosken und Empfangsbereichen geeignet.
Sie können diese Richtlinieneinstellung beispielsweise auf einem bestimmten Server aktivieren, um Die Benutzereinstellungen basierend auf dem verwendeten Computer anzupassen. Wenn Sie die Richtlinieneinstellung für den Loopbackverarbeitungsmodus aktivieren, wendet das System Benutzerrichtlinieneinstellungen basierend auf der Konfiguration des Computers an, unabhängig davon, wer sich anmeldet. Dadurch wird eine konsistente Benutzerrichtlinieneinstellung für alle Benutzer auf dem Computer sichergestellt, wie sie von den GPOs des Computers definiert werden.
Indem Sie die Richtlinieneinstellung für die Loopbackverarbeitung in einem GPO aktivieren, können Sie Benutzerrichtlinieneinstellungen basierend auf dem Computer konfigurieren, auf dem Benutzer sich anmelden. Ohne Loopbackverarbeitung verarbeiten GPOs, die ein Computerobjekt anwenden, nur die Computerkonfigurationseinstellungen. GpOs, die auf Benutzer angewendet werden, verarbeiten nur Benutzerkonfigurationseinstellungen. Wenn Sie die Richtlinieneinstellung für den Loopbackverarbeitungsmodus aktivieren, müssen Sie sicherstellen, dass sowohl die Computerkonfigurations- als auch die Benutzerkonfigurationseinstellungen im GPO aktiviert sind. Diese Richtlinieneinstellungen werden unabhängig davon angewendet, bei welchem Benutzer sich anmeldet.
Sie können die Einstellung für die Loopback-Richtlinie konfigurieren, indem Sie das GPO mit der GPMC bearbeiten und die Richtlinieneinstellung Benutzer-Gruppenrichtlinien-Loopback-Verarbeitungsmodus konfigurieren unter Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Gruppenrichtlinie aktivieren. Es stehen zwei Optionen zur Verfügung:
Zusammenführungsmodus: In diesem Modus wird die Liste der GPOs für den Benutzer während des Anmeldevorgangs erfasst. Anschließend wird die Liste der GPOs für den Computer gesammelt. Als Nächstes wird die Liste der GPOs für den Computer am Ende der GPOs für den Benutzer hinzugefügt. Daher haben die GPOs des Computers eine höhere Priorität als die GPOs des Benutzers. Wenn die Richtlinieneinstellungen in Konflikt stehen, werden die Benutzerrichtlinieneinstellungen in den GPOs des Computers anstelle der normalen Richtlinieneinstellungen des Benutzers angewendet.
Ersetzungsmodus: In diesem Modus wird die Liste der GPOs für den Benutzer nicht erfasst. Stattdessen wird nur die Liste der GPOs verwendet, die auf dem Computerobjekt basieren. Die Benutzerkonfigurationseinstellungen aus dieser Liste werden auf den Benutzer angewendet.
Gruppenrichtlinienaktualisierung
Die primären Mechanismen zum Aktualisieren von Gruppenrichtlinien befinden sich beim Start und bei der Anmeldung. Gruppenrichtlinien werden auch regelmäßig in anderen Intervallen aktualisiert. Das Richtlinienaktualisierungsintervall wirkt sich darauf aus, wie schnell Änderungen an GPOs angewendet werden. Standardmäßig überprüfen Clients und Server alle 90 Minuten, ob Änderungen an GPOs vorgenommen wurden, mithilfe eines zufälligen Offsets von bis zu 30 Minuten. Änderungen an den Gruppenrichtlinieneinstellungen stehen möglicherweise nicht sofort auf den Desktops der Benutzer zur Verfügung, da Änderungen am Gruppenrichtlinienobjekt zuerst auf den entsprechenden Domänencontroller repliziert werden müssen.
Domänencontroller überprüfen alle fünf Minuten auf Computerrichtlinienänderungen. Diese Abrufhäufigkeit kann mithilfe einer dieser Richtlinieneinstellungen geändert werden: Gruppenrichtlinienaktualisierungsintervall für Computer, Gruppenrichtlinienaktualisierungsintervall für Domänencontroller oder Gruppenrichtlinienaktualisierungsintervall für Benutzer. Die Verkürzung der Häufigkeit zwischen Aktualisierungen wird aufgrund des potenziellen Anstiegs des Netzwerkdatenverkehrs und der Last, die auf den Domänencontrollern platziert wird, nicht empfohlen.
Die Komponenten einer GPO werden sowohl im AD als auch im Ordner SYSVOL der Domänencontroller gespeichert. Die Replikation eines GPO auf andere Domänencontroller erfolgt über zwei unabhängige Mechanismen:
Das integrierte Replikationssystem steuert die Replikation von AD. Standardmäßig dauert die Replikation in der Regel weniger als eine Minute zwischen Domänencontrollern innerhalb desselben Standorts. Dieser Vorgang kann langsamer sein, wenn Ihr Netzwerk langsamer als ein LAN ist.
Die Distributed File System Replication (DFSR) steuert die Replikation des SYSVOL-Ordners. Innerhalb von Standorten erfolgt die Replikation alle 15 Minuten. Wenn sich die Domänencontroller an verschiedenen Standorten befinden, erfolgt der Replikationsprozess in festgelegten Intervallen basierend auf Standorttopologie und Zeitplan, das niedrigste Intervall beträgt 15 Minuten.
Auslösen der Gruppenrichtlinienaktualisierung
Bei Bedarf können Sie eine Gruppenrichtlinienaktualisierung manuell auf folgende Weise auslösen:
Geben Sie
gpupdate.exevon einem lokalen Computer aus über die Befehlszeile ein. Beim Ausführengpupdate.exewird eine Richtlinienaktualisierung für den Computer ausgelöst, auf dem der Befehl ausgeführt wird.Verwenden Sie das
Invoke-GPUpdatePowerShell-Cmdlet. Mit diesem Cmdlet können Sie eine Aktualisierung des lokalen Computers auslösen oder eine Aktualisierung eines Remotecomputers auslösen.Verwenden Sie die Gruppenrichtlinien-Verwaltungskonsole, um eine Gruppenrichtlinienaktualisierung auf OU-Ebene auszulösen, indem Sie mit der rechten Maustaste auf die OU klicken und Gruppenrichtlinienaktualisierung auswählen.
Optimieren der GPO-Verarbeitung
Um den Zeitaufwand für die Verarbeitung eines GPO zu verringern, sollten Sie Folgendes verwenden.
Wenn ein GPO nur Computerkonfigurations- oder Benutzerkonfigurationseinstellungen enthält, deaktivieren Sie den Teil der Richtlinieneinstellung, der nicht angewendet wird. Mit dieser Optimierung überprüft der Zielcomputer nicht die Teile eines deaktivierten GPO, wodurch die Verarbeitungszeit reduziert wird.
Kombinieren Sie kleinere GPOs, um ein konsolidiertes GPO zu bilden. Diese Optimierung reduziert die Anzahl der GPOs, die auf einen Benutzer oder Computer angewendet werden. Das Anwenden weniger GPOs auf einen Benutzer oder Computer kann die Start- oder Anmeldezeiten verringern und das Troubleshooting der Richtlinienstruktur vereinfachen.