Standardmäßige Gruppenrichtlinienvererbung

Vorwort
Im Allgemeinen werden Gruppenrichtlinien von übergeordneten Containern an untergeordnete Container
in einer Domäne weitergegeben. Gruppenrichtlinien werden hingegen nicht von übergeordneten an unter-
geordnete Domänen vererbt. So würden Gruppenrichtlinien der Domäne datasystems.at nicht auf die
Domäne buchhaltung.datasystems.at weitergegeben. Wenn Sie aber einen Container auf hoher Ebene
eine spezielle Gruppenrichtlinieneinstellung zuweisen, dann wird diese Gruppenrichtlinieneinstellung auf
alle Container unterhalb des übergeordneten Containers angewendet, d.h. auch auf Benutzer- und
Computerobjekte in allen Containern. Wenn eine Richtlinieneinstellung für eine Organisationseinheit
definiert wird und dieselbe Einstellung für eine untergeordnete Organisationseinheit ncih definiert ist, dann
erbt die untergeordnete Organisationseinheit die aktivierte bzw. deaktivierte Richtlinieneinstellung
der ihr übergeordneten Organisationseinheit. Legen Sie hingegen eine Gruppenrichtlinieneinstellung
für einen untergeordneten Ordner explizit fest, dann hat die Gruppenrichtlinieneinstellung dieses Containers
Vorrang vor der entsprechenden Einstellung des übergeordneten Containers. Gelten mehrere GPOs und liegt
keine Ordnungsbeziehung zwischen diesen vor, dann werden die Richtlinien in der folgenen Reihenfolge
verarbeitet: lokale Richtlinie, Standort, Domäne, Organisationseinheit.

Wenn eine Richtlinieneinstellung, die auf eine Organisationseinheit angewendet wird, und eine Richtlinien-
einstellung, die auf eine dieser Organisationseinheit untergeordnete Organisationseinheit angewendet wird,
kompatibel sind, dann erbt die untergeordnete Organisationseinheit die Richtlinieneinstellung der über-
geordneten Organisationseinheit, und die Einstellungen der untergeordneten Organisationseinheit
wird ebenfalls angewendet. Wenn eine Richtlinieneinstellung kompatible ist, die für eine untergeordnete
Organisationseinheit konfiguriert wurde (etwa weil die Einstellung bei einer Organisationseinheit aktiviert
ist und bei der anderen nicht), dann erbt die untergeordnete Organisationseinheit die Richtlinieneinstellung
nicht von der übergeordneten Organisationseinheit. Es wird die Richtlinieneinstellung der untergeordneten
Organisationseinheit angewendet.

Sie können die Richtlinienvererbung auf der Domänen- oder Organisationseinheitsebene sperren, indem
Sie das Dialogfeld Eigenschaften der Domäne oder Organisationseinheit öffnen und das Kontrollkästchen
Richtlinienvererbung deaktivieren aktivieren. So können Sie umgekehrt die Richtlinienvererbung auch
erzwingen, indem Sie die Option Kein Vorrang für eine GPO Verknüpfung aktivieren. Auf diese Weise
erzwingen Sie die Vererbung der Richtlinien der übergeordneten Domäne oder Organisationseinheit
an alle Untergeordneten Container und zwar auch dann, wenn diese Richtlinie im Widerspruch zur
Richtlinie des untergeordneten Containers steht, und die Option Richtlinienvererbung deaktivieren für den
untergeordneten Container aktiviert wurde. Sie können die Option Kein Vorrang für eine GPO-
Verknüpfung aktivieren, indem Sie das Dialogfeld Eigenschaften des Standorts, der Domäne oder der
Organisationseinheit öffnen und unter "Optionen" ggf. das Kontrollkästchen Kein Vorrang aktivieren.
Praktischer und einfacher, doch mit selben Wortlaut können Sie dies ebenfalls in der bereits
erwähnten GPMC einstellen.


Gruppenrichtlinienvererbung mit Sicherheitsgruppen
Sie können GPOs nciht direkt mit einer Sicherheitsgruppe verknüpfen. Was Sie allerdings tun können, ist
über die Sicherheitsgruppenmitgliedschaft Mitgliedern der Gruppe die Anwendung eines GPO zu erlauben
oder zu verbieten. Auf diese Weise können Sie steuern, welche Benutzer ein GPO erhalten, indem
Sie sie zur Mitgliedern bestimmter Gruppen machen.

Standardmäßig sind alle Mitglieder der Gruppe "Authentifizierter Benutzer" zur Anwendung eines GPO
autorisiert. Aus diesem Grund müssen Sie, um nur bestimmten Gruppen die Anwendung eines GPO zu
ermöglichen, zunächst die Standardberechtigungen für die Gruppe "Authentifizierter Benutzer" entfernen
und dann den gewünschten Gruppen die Berechtigung zur Anwendung des GPO gewähren.
Die gängigsten Möglichkeiten zur Bearbeitung der Eigenschaften und Berechtigungen für ein GPO
sind die folgenden:

  1. Verwenden der Gruppenrichtlinienverwaltung (Group Policy Management Console, GPMC)
    1. Herunterladen der Software GPMC von http://www.microsoft.com/downloads, Stichwort GPMC
      oder von http://www.microsoft.com/windowsserver2003/gpmc/default.mspx.
    2. Start des Programmes Gruppenrichtlinienverwaltung aus dem Menü "Verwaltung".
    3. Auswählen und erweitern der Domäne und/oder der betreffenden Organisationseinheit auf der
      linken Seite des MMC-Snap-Ins. Alternativ werden im Objekt "Gruppenrichtlinienobjekte"
      unterhalb der Domäne, sämtliche vorhandenen Gruppenrichtlinien angezeigt.
    4. Auswahl des betreffenden GPOs, und klicken mit der rechten Maustaste auf Bearbeiten.
    5. Klicken Sie auf das Register Sicherheit

     

  2. Verwenden der Konsole Active Directory Benutzer und Computer und Computer
    1. Öffnen Sie Active Directory Benutzer und Computer aus dem Menü Verwaltung oder per MMC.
    2. Klicken Sie mit der rechten Maustaste auf die Domäne oder Organisationseinheit und
      wählen Sie Eigenschaften.
    3. Klicken Sie auf die Registerkarte Gruppenrichtlinie.
    4. Klicken Sie auf das zu bearbeitende GPO und dann auf Eigenschaften.
    5. Klicken Sie auf die Registerkarte Sicherheit

    3.  

  3. Verwenden der Konsole Active Directory Standorte und Dienste
    1. Öffnen Sie Active Directory Standorte und Dienste aus dem Menü Verwaltung oder per MMC.
    2. Erweitern Sie den Knoten Sites, klicken Sie mit der rechten Maustaste auf den Standort
      mit dem das GPO verknüpft ist, und klicken Sie dann auf Eigenschaften.
    3. Klicken Sie auf die Registerkarte Gruppenrichtlinie.
    4. Klicken Sie auf das zu bearbeitende GPO und dann auf Eigenschaften.
    5. Klicken Sie auf die Registerkarte Sicherheit.

     

  4. Verwenden des Gruppenrichtlinienobjekt-Editors
    1. Öffnen Sie mit dem Gruppenrichtlinienobjekt-Editors das GPO, dessen Bereich Sie mithilfe
      von Sicherheitsgruppen steuern wollen.
    2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf den GPO-Knoten
      und dann auf Eigenschaften.
    3. Klicken Sie auf die Registerkarte Sicherheit

     

Wenn Sie das Dialogfeld Eigenschaften für ein GPO geöffnet haben, aktivieren Sie wie folgt die Anwendung
eines GPO nur auf eine bestimmte Gruppe:

  1. Klicken SIe auf die Gruppe Authentifizierter Benutzer. Im Feld Bereichtigungen aktivieren Sie das
    Kontrollkästchen für die Berechtigung "Gruppenrichtlinie übernehmen verweigern".

  2. Klicken Sie auf die Schaltfläche Hinzufügen und fügen Sie die gewünschte Gruppe der Liste
    Gruppen- oder Benutzernamen hinzu.

  3. Klicken Sie auf die neue Sicherheitsgruppe. Aktivieren Sie im Feld Berechtigungen der gewählten
    Sicherheitsgruppe das Kontrollkästchen für die Berechtigung "Gruppenrichtlinie übernehmen zulassen"
    um der gewählten Sicherheitsgruppe die Anwendung des GPO explizit zu erlauben.

 

Ändern der Vererbung von Gruppenrichtlinien mithilfe von WMI-Filtern
Wenn Sie die Anwendung von GPOs basierend auf einer Eigenschaft des Benutzers oder Computers
(statt auf der Mitgliedschaft in Sicherheitsgruppen) beschränken müssen, können Sie WMI-Filter (Windows
Management Instrumentation, Windows Verwaltungsinstrumentation) verwenden. Jedes GPO kann
mit genau einem WMI-Filter verknüpft werden, während umgekehrt ein WMI-Filter mit mehreren GPOs
verknüpft werden kann. Bevor Sie einen WMI-Filter mit einem GPO verknüpfen, müssen Sie den Filter
erst einmal erstellen. Der WMI-Filter wird dann auf dem Zielcomputer (sofern dieser unter Windows XP oder
Windows Server 2003 läuft) während der Verarbeitung der Gruppenrichtlinien ausgewertet.

Ein WMI-Filter besteht aus einer oder mehreren WQL-Abfragen (WMI Query Language, WMI Abfrage-
sprache). Er wird auf jede Einstellung im GPO angewendet, d.h. Administratoren müssen getrennte GPOs
erstellen, wenn sie unterschiedliche Filteranforderungen für verschiedene Einstellungen haben.
Die WMI Filter werden auf dem Zielcomputer ausgewertet, nachdem die Liste potenzieller GPOs ermittelt
und basierend auf der Sicherheitsgruppenmitgliedschaft gefiltert wurde. Windows XP und Windows
Server 2003 wenden das GPO nur an, wenn das Ergebnis der Auswertung durch den WMI Filter WAHR
ist. Windows 2000 unterstützt die WMI Filterung nciht, d.h. Computer unter Windows 2000 ignorieren
den WMI-Filter und wenden immer das GPO an.

Weil WMI Filter auf Computern unter Windows 2000 ignoriert werden, wird dort immer ein gefiltertes GPO
angewendet. Sie können diese Beschränkung allerdings umgehen, indem Sie zwei GPOs verwenden
und jemjenigen mit dem Windows 2000 Einstellungen eine höhere Priorität zuweisen. Dann verwenden
Sie für dieses Betriebssystem Windows 2000 GPO einen WMI FIlter und wenden dieses nur an, wenn
das Betriebssystem Windows 2000 (und nicht Windows XP Professional) ist. Der Computer unter
Windows 2000 erhält das Windows 2000 GPO und wird dann die Einstellungen im Windows XP Pro-
fessional GPO außer Kraft setzen. Der Client unter Windows XP Professional hingegen erhält alle
Einstellungen im Windows XP Professional GPO.

Gehen Sie wie folgt vor, um einen neuen WMI Filter zu definieren und anzuwenden:

Zeigen Sie das Dialogfeld Eigenschaften des GPO an.
Klicken Sie auf die Registerkarte WMI-Filter.
Klicken Sie auf Dieser Filter und dann auf Durchsuchen/Verwalten.
Klicken Sie im Fenster WMI Filter auf Erweitert und dann auf Neu.
Füllen Sie die Felder Name, Beschreibung und Abfragen aus und klicken Sie dann auf Speichern.
Klicken Sie nun auf den Filter, den Sie auf das GPO anwenden wollen, und dann auf OK,
um das Dialogfeld Eigenschaften für das GPO zu schließen.

Die Erstellung von WMI-Filterabfragen wird an dieser Stelle nicht behandelt. Es ist aber wichtig zu
wissen, dass Computer unter Windows 2000 und früher die WMI-Filterung nicht unterstützen und
bei der WMI-Filterung immer ein GPO anwenden. Ferner sollten Sie wissen, dass Sie mithilfe
von WMI-Filtern ein GPO auf Computer basierend auf dem Betriebssystem, der Hardware
und anderen Faktoren anwenden können. Wenn Sie ein Problem bezüglich eines GPO bearbeiten
das nicht auf einen Computer unter Windows XP Professional oder Windows Server 2003 angewendet
wird, überprüfen Sie, ob nicht etwa ein WMI-Filter die Ursache ist.

 

 

Erstellt von: Haßlinger Stefan
Im: Jahr 2006