Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Gruppenrichtlinie ermöglicht die Konfiguration und Einstellungsverwaltung von Benutzer- und Computereinstellungen auf Computern mit Windows Server- und Windows Client-Betriebssystemen. Zusätzlich zur Verwendung von Gruppenrichtlinien zum Definieren von Konfigurationen für Benutzergruppen und Clientcomputer können Sie auch Gruppenrichtlinien verwenden, um Servercomputer zu verwalten, indem Sie viele serverspezifische Betriebs- und Sicherheitseinstellungen konfigurieren.
Was ist eine Gruppenrichtlinie?
Gruppenrichtlinien können Richtlinieneinstellungen im lokalen Dateisystem oder in Active Directory Domain Services (AD DS) darstellen. Bei Verwendung mit Active Directory (AD) sind Gruppenrichtlinieneinstellungen in einem Gruppenrichtlinienobjekt (Group Policy Object, GPO) enthalten. Ein GPO ist eine virtuelle Sammlung von Richtlinieneinstellungen, Sicherheitsberechtigungen und dem Bereich der Verwaltung (SOM), die Sie auf Benutzer und Computer im AD anwenden können. Ein GPO besteht aus zwei Hauptkomponenten: dem Gruppenrichtlinien-Container und der Gruppenrichtlinien-Vorlage. Der Gruppenrichtliniencontainer wird in der Domänenpartition von Active Directory gespeichert, während sich die Gruppenrichtlinienvorlage im Ordner SYSVOL auf jedem Domänencontroller (DC) befindet.
Diese Komponenten werden über die AD-Replikation sowie entweder den Dateireplikationsdienst (File Replication Service, FRS) oder die Distributed File System-Replikation (DFSR) über DCs repliziert.
GpOs enthalten Konfigurationen für Computer- und Benutzereinstellungen. Computerkonfigurationen wenden systemweite Einstellungen an und verwalten Einstellungen wie Energieverwaltung und Firewallregeln. Benutzerkonfigurationen wirken sich nur auf den aktuellen Benutzer mit Optionen wie Internet Explorer-Einstellungen und Ordnerumleitung aus. GPOs können mit verschiedenen Ebenen innerhalb der AD-Hierarchie verknüpft werden, z. B. Websites, Domänen und Organisationseinheiten (OUs), die ihren Anwendungsumfang definieren.
Richtlinieneinstellungen werden beim Starten des Computers und bei der Benutzeranmeldung angewendet. Der Gruppenrichtliniendienst bestimmt anwendbare GPOs, indem er die AD basierend auf Standort-, Domänen- und OU-Mitgliedschaft abfragt. A Client-side extension (CSE) applies the specific settings dictated by the GPOs, managing tasks like registry updates and security configurations. Richtlinieneinstellungen werden auf Computer angewendet, wenn sie gestartet werden, und auf Benutzer, wenn sie sich anmelden. Wenn ein Computer gestartet wird, überprüft der Gruppenrichtliniendienst AD, um zu ermitteln, welche GPOs mit dem Computerobjekt verknüpft und anwendbar sind, einschließlich:
Der Standort, an dem sich der Computer befindet.
Die Domäne, in der der Computer Mitglied ist.
Die übergeordnete Organisationseinheit, zu der der Computer direkt gehört, sowie alle weiteren Organisationseinheiten, die über der übergeordneten Einheit liegen.
Gruppenrichtlinieneinstellungen bieten ähnliche Verwaltungsfunktionen wie Standardgruppenrichtlinien und werden auf die gleiche Weise verwaltet. Administratoren können GPOs mithilfe des Lokalen Gruppenrichtlinien-Editors (gpedit.msc) für lokale Einstellungen oder den Gruppenrichtlinienobjekt-Editor innerhalb eines AD-bezogenen MMC-Snap-Ins für domänenweite Einstellungen erstellen und verwalten. Jedes GPO hat einen global eindeutigen Bezeichner (GUID) und folgt der hierarchischen Struktur von AD für die Richtlinienbewertung. Ein gründliches Verständnis für das Erstellen, Ändern und Verknüpfen von GPOs in AD ist für eine effektive Richtlinienverwaltung unerlässlich. GPOs werden sowohl in AD als auch im SYSVOL-Ordner auf jedem DC gespeichert, wodurch die zentralisierte Verwaltung und Richtlinienerzwingung erleichtert wird.
Client-side extensions
Ein Gruppenrichtlinien-CSE ist eine isolierte Komponente, die für die Verarbeitung bestimmter Richtlinieneinstellungen verantwortlich ist, die von der Gruppenrichtlinieninfrastruktur bereitgestellt werden. Jeder CSE verwaltet und speichert seine Richtliniendaten in einem eigenen spezifischen Format, unabhängig von der Gruppenrichtlinieninfrastruktur, die die Details dieser Daten nicht interpretiert oder verwaltet. Die hauptfunktion der Gruppenrichtlinie besteht darin, Einstellungen an einen Computer zu übermitteln, auf dem jeder CSE seinen Teil der Richtlinieneinstellungen aus mehreren Gruppenrichtlinienobjekten anwendet.
Stellen Sie sich die Gruppenrichtlinieninfrastruktur als Bibliothekssystem vor. Das Bibliothekssystem verwaltet und liefert Bücher (oder Daten) an verschiedene Zweigstellen (die Computer). Die Bibliothek muss den Inhalt der einzelnen Bücher nicht verstehen; sie stellt einfach sicher, dass das richtige Buch zur richtigen Filiale kommt. In dieser Analogie ist der Gruppenrichtliniendienst wie das Bibliothekssystem, das Bücher liefert, ohne deren Inhalt zu kennen. Die verschiedenen Richtlinieneinstellungen sind wie verschiedene Genres oder Collections von Büchern. Die Gruppenrichtlinien-CSE repräsentiert einen Bibliothekar in jedem Branch, der weiß, wie er seine spezifische Collection handhaben muss. Genau wie jeder Bibliothekar seine Sammlung verwalten kann, liest jeder CSE die Informationen zu den Richtlinieneinstellungen und führt Aktionen basierend darauf aus, was er in diesen Einstellungen findet.
Funktionsweise von Gruppenrichtlinien
Beim Computer wird die Gruppenrichtlinie angewendet, wenn der Computer gestartet wird. Für Benutzer wird Gruppenrichtlinie bei der Anmeldung angewendet. Diese anfängliche Verarbeitung der Richtlinie kann auch als Vordergrundrichtlinienanwendung bezeichnet werden.
Die Vordergrundverarbeitung von Gruppenrichtlinien kann synchron oder asynchron sein. Im synchronen Modus schließt der Computer den Systemstart erst ab, wenn die Computerrichtlinie erfolgreich angewendet wurde. Der Benutzeranmeldungsprozess wird erst abgeschlossen, wenn die Benutzerrichtlinie erfolgreich angewendet wurde. Wenn im asynchronen Modus keine Richtlinienänderungen vorhanden sind, die eine synchrone Verarbeitung erfordern, kann der Computer die Startsequenz abschließen, bevor die Anwendung der Computerrichtlinie abgeschlossen ist. Die Shell kann dem Benutzer zur Verfügung stehen, bevor die Anwendung der Benutzerrichtlinie abgeschlossen ist. Das System wendet anschließend im Hintergrund regelmäßig die aktualisierten Gruppenrichtlinien an. Während einer Aktualisierung werden Richtlinieneinstellungen asynchron angewendet.
Weitere Informationen zur Funktionsweise von Gruppenrichtlinien finden Sie unter "Gruppenrichtlinienverarbeitung".
Was ist eine OU?
Eine OU ist der AD-Container auf der niedrigsten Ebene, dem Sie Gruppenrichtlinieneinstellungen zuweisen können. In der Regel weisen Sie die meisten GPOs auf OU-Ebene zu. Stellen Sie daher sicher, dass Ihre OU-Struktur Ihre gruppenrichtlinienbasierte Clientverwaltungsstrategie unterstützt. Sie können auch einige Gruppenrichtlinieneinstellungen auf Domänenebene anwenden, insbesondere Kennwortrichtlinien. Nur wenige Richtlinieneinstellungen werden auf Standortebene angewendet. Eine gut gestaltete OU-Struktur, die die administrative Struktur Ihrer Organisation widerspiegelt und die GPO-Vererbung nutzt, vereinfacht die Anwendung von Gruppenrichtlinien. Eine gut gestaltete OU-Struktur kann z. B. verhindern, dass bestimmte GPOs dupliziert werden, sodass Sie diese GPOs auf verschiedene Teile der Organisation anwenden können. Erstellen Sie nach Möglichkeit Organisationseinheiten zum Delegieren der Administratorautorität und zur Implementierung von Gruppenrichtlinien.
Beim OE-Design muss ein Ausgleich zwischen den Anforderungen für die Delegierung administrativer Rechte unabhängig von den Gruppenrichtlinienanforderungen und der Notwendigkeit geschaffen werden, die Anwendung der Gruppenrichtlinie zu beschränken. Sie können OUs innerhalb einer Domäne erstellen und die administrative Kontrolle für bestimmte OUs an bestimmte Benutzer oder Gruppen delegieren. Mithilfe einer Struktur, in der OEs homogene Objekte enthalten, z. B. Benutzer- oder Computerobjekte, aber nicht beide, können Sie die Abschnitte eines GPO, die für einen bestimmten Objekttyp nicht gelten, problemlos deaktivieren. Dieser Ansatz für den OU-Entwurf reduziert komplexität und verbessert die Geschwindigkeit, mit der Gruppenrichtlinien angewendet werden. GPOs, die mit den höheren Ebenen der OE-Struktur verknüpft sind, werden standardmäßig von OEs auf der unteren Ebene geerbt, wodurch die Notwendigkeit reduziert wird, GPOs zu duplizieren oder mit mehreren Containern zu verknüpfen.
Related content
- Gruppenrichtlinienverarbeitung
- Sichern, Wiederherstellen, Migrieren und Kopieren von Gruppenrichtlinienobjekten (Group Policy Objects, GPOs)
- Ergebnisse der Gruppenrichtlinienmodellierung und Gruppenrichtlinienergebnisse
- Gruppenrichtlinien-Verwaltungskonsole (GROUP Policy Management Console, GPMC)
- Gruppenrichtlinieneinstellungen, die in der Windows-Authentifizierung verwendet werden