Gruppenrichtlinienobjekte in Windows: Best Practices und sinnvolle Policies

Ein Gruppenrichtlinienobjekt oder Group Policy Object (GPO) ist eine Komponente von Windows Netzwerken, in der bestimmte Einstellungen gespeichert sind. Gruppenrichtlinienobjekte lassen sich auf unterschiedliche Bereiche des Active Directory anwenden, von der gesamten Domain über bestimmte Organisationseinheiten bis hin zu einzelnen Geräten.

Mithilfe von Gruppenrichtlinien können Admins einerseits globale Einstellungen für das gesamte Netzwerk festlegen und andererseits eigene Policies für bestimmte Teile des AD verwalten. Gruppenrichtlinienobjekte spielen eine wesentliche Rolle bei der zentralen Konfiguration von Geräten sowie der Umsetzung von Sicherheitsrichtlinien in Organisationen.

Die Erstellung und Anpassung von Gruppenrichtlinienobjekten erfolgt über die Gruppenrichtlinienverwaltungskonsole (GPMC), ein Snap-In für den Windows Server Manager bzw. die Remote Server Administration Tools (RSAT). Die Verwaltungskonsole versammelt alle Funktionen zur Steuerung von Gruppenrichtlinien an einem Ort, darüber hinaus lassen sich GPOs aber auch mithilfe von PowerShell cmdlets wie New-GPO und Set-GPRegistryValue verwalten.

Das Anlegen eines neuen Gruppenrichtlinienobjekts läuft in drei Schritten ab:

Anders als im lokalen AD, gibt es in Azure AD keine Gruppenrichtlinienobjekte. Die Verwaltung von Policies und Geräteeinstellungen erfolgt stattdessen über den Endpoint Manager bzw. Microsoft Intune. Für Organisationen, die Active Directory und Azure AD gemeinsam verwenden, bietet Microsoft mit GPO Analytics eine Funktion für den automatischen Import von Gruppenrichtlinien.

Intune untertützt bislang (noch) nicht alle Settings, die in den lokalen Gruppenrichtlinieneinstellungen verfügbar sind. Angesichts von Microsofts Cloud First Ansatz ist die Verwaltung über das Mobile Device Management bzw. ADMX-Templates jedoch langfristig die zukunftsträchtigere Variante. Bis dahin stellt die hybride Verwaltung Admins allerdings vor einige Herausforderungen. Um Konflikte zu vermeiden, die sich zwischen Intune-Einstellungen und Gruppenrichtlinien ergeben, lässt sich über ControlPolicyConflict festlegen, welcher Wert Vorrang haben soll.

Mithilfe von Gruppenrichtlinien können Administratoren zahlreiche Einstellungen für Benutzerkonten und Computerkonten im Active Directory festlegen. Neben Standard-Einstellungen wie Passwortrichtlinien, die meist über das Default-GPO der Domäne verwaltet werden, gibt es dabei eine Vielzahl an möglichen Anwendungen für GPOs. Hier nur einige Beispiele möglicher Gruppenrichtlinien.

Um Anpassungen sensibler Einstellungen zu verhindern, lässt sich der Zugang zur Windows-Systemsteuerung über eine Gruppenrichtlinie entweder komplett sperren oder innerhalb des Menüs einzelne Bereiche ausblenden. Zu finden ist diese Einstellung unter Benutzerkonfiguration > Administrative Vorlagen > Systemsteuerung > Angegebene Systemsteuerungssymbole ausblenden.

Die Eingabeaufforderung von Windows (cmd.exe) ist ein mächtiges Werkzeug, das von normalen Endanwendern nicht benötigt wird, in den falschen Händen jedoch enormen Schaden anrichten kann. Für Benutzer außerhalb des IT-Teams ist es daher empfehlenswert den Zugang zur Kommandozeile zu verhindern. Möglich ist dies über den Punkt Benutzerkonfiguration > Administrative Vorlagen > System > Zugriff auf Eingabeaufforderung verhindern.

Ähnlich der Kommandozeile stellt PowerShell ein umfangreiches aber potenziell gefährliches Windows-Tool dar, das normale IT-Anwender in ihrem Arbeitsalltag nicht benötigen. Um PowerShell zu blockieren, navigieren Sie zu der Richtlinie Benutzerkonfiguration > Administrative Vorlagen > System > Angegebene Windows-Anwendungen nicht ausführen. Öffnen Sie den Menüpunkt und fügen der Liste gesperrter Anwendungen powershell.exe, powershell_is.exe und pwsh.exe hinzu.

Externe Datenträger stellen in mehrfacher Hinsicht ein Sicherheitsrisiko für Organisationen dar: Zum einen besteht die Gefahr, dass Malware über private Geräte in das Netzwerk gelangt. Andererseits sind Speichermedien wie USB-Sticks und externe Festplatten auch ein beliebtes Werkzeug beim Datendiebstahl durch Mitarbeiter. Die Nutzung externer Speichermedien lässt sich über die Einstellung Computerkonfiguration > Administrative Vorlagen > System > Wechselmedienzugriff blockieren.

Um sicherzustellen, dass beim Verlassen des Arbeitsplatzes keine andere Person über den eigenen PC sensible Informationen abruft, hilft eine automatische Bildschirmsperre, die ungewollte Übernahme der Sitzung zu verhindern. Diese Regelung ist in vielen Organisationen Teil einer sogenannten Clean Desk Policy, die verhindern soll, dass Mitarbeitende geschützte Dokumente offen zugänglich liegen lassen. Die Konfiguration per GPO erfolgt unter Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen > Interaktive Anmeldung: Inaktivitätsgrenze des Computers.

Die Aufzeichnung von Systemereignissen per Überwachungsrichtlinie spielt eine wichtige Rolle bei der Suche nach Fehlern sowie dem Erkennen von Angriffen. Die Überwachung lässt sich unter folgendem Menüpunkt einrichten: Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > Überwachungsrichtlinien. Welche Ereignisse aufgezeichnet werden sollen ist eine andere Frage. Die Aufzeichnung alleine bringt keinen Sicherheitsvorteil, sondern nur die laufende Auswertung der Ergebnisse.

Events, für die sich Audit Logs empfehlen, sind unter anderem:

Unterliegt ein Objekt in Active Directory mehreren Gruppenrichtlinienobjekten, ist es wichtig zu verstehen, in welcher Reihenfolge diese zur Anwendung kommen. Als generelle Regel für die Reihenfolge von GPOs gilt: Kommt ein Gruppenrichtlinienobjekt nach einem anderen zum Einsatz, überschreibt es die zuvor festgelegten Einstellungen. Das zuletzt angewendete GPO hat Priorität über frühere GPOs.

Die Reihenfolge, in der Active Directory Gruppenrichtlinien ausliest, richtet sich dabei nach der LSDOU-Regel. Diese Abkürzung steht für:

Entsprechend bedeutet das, dass lokale GPOs als erstes zum Einsatz kommen und beispielsweise von Gruppenrichtlinien für einen Active Directory Standort (Site) überschrieben werden. Richtlinien für die gesamte Domain setzen sich über lokale und standort-spezifische Einstellungen hinweg. Gruppenrichtlinienobjekte, die mit einer Organisationseinheit verknüpft sind, werden zuletzt angewendet und haben somit die höchste Priorität.

Innerhalb einer Organisationseinheit gibt es wiederum zwei Regeln zu beachten: 1) Sind mehrere GPOs mit einer OU verknüpft, lässt sich ihre Reihenfolge in der Verwaltungskonsole festlegen. 2) Bei verschachtelten Organisationseinheiten haben die Gruppenrichtlinien der Unter-OU Vorrang vor der übergeordneten OU. Dies erlaubt es zum Beispiel, auf tieferen Ebenen der OU-Struktur abweichende Richtlinien für bestimmte Organisationseinheiten festzulegen.

Unternehmen, die den Aufbau der Organisationseinheiten in ihrem Active Directory logisch und sinnvoll strukturieren, haben es bei der Verwaltung von Gruppenrichtlinien erheblich leichter. Denn über die passende OU-Struktur lässt sich viel einfacher regeln, auf welche Objekte eine Gruppenrichtlinie angewandt werden soll.

Grundsätzlich empfiehlt es sich, übergeordnete OUs für globale Einstellungen anzulegen und nach Bedarf Änderungen in untergeordneten OUs durchzuführen. Welche und wie viele Organisationseinheiten es braucht, das lässt sich leider nicht pauschal beantworten. Viele Firmen nutzen z.B. eine Gliederung je nach Abteilung oder Standort.

In jedem Active Directory gibt es eine domänenweite Standardrichtlinie, die beim Aufsetzen des Verzeichnisdienstes automatisch erstellt wird. Da sich die Anwendung von Gruppenrichtlinien über Organisationseinheiten jedoch einfacher und granularer verwalten lässt, sollte die Standarddomänenrichtlinie nur für wenige Einstellungen wie Passwortrichtlinien, Kerberos-Richtlinien und die Sperrung von Domänen-Konten genutzt werden.

Anstatt alle Einstellungen in einem einzelnen Gruppenrichtlinienobjekt festzulegen ist es übersichtlicher, mehrere kleine GPOs zu je eigenen Themenbereichen anzulegen, z.B. Browsereinstellungen, Netzwerkeinstellungen, Sicherheitseinstellungen etc. Eine klare Trennung nach Aufgabengebiet erleichtert insbesondere die Behebung von Fehlern. Selbstverständlich sollte man es bei der Aufteilung in unterschiedliche GPOs aber nicht übertreiben, damit die Verwaltung nicht zu kleinteilig gerät.

Gruppenrichtlinienobjekte können Einstellungen für Benutzer und Computer enthalten. Auch hier ist es jedoch besser für die Übersicht, getrennte Objekte für Computerrichtlinien und Benutzerrichtlinien anzulegen. Achten Sie außerdem darauf, die nicht genutzten Einstellungen in der Verwaltungskonsole per Rechtsklick zu deaktivieren. Das sorgt dafür, dass Windows das Richtlinienobjekt schneller auslesen kann.

Eindeutige Namen für Gruppenrichtlinienobjekte sind eine große Hilfe bei der laufenden Wartung und eventuell notwendigem Troubleshooting. Der Name eines GPO sollte auf einen Blick erkennen lassen, ob das Objekt Computer- oder Benutzerkonten betrifft, welche Einstellungen darin enthalten sind und was der Anwendungsbereich des GPOs ist. Denkbar wäre zum Beispiel eine Struktur wie “Benutzer_SoftwareEinstellungen_ITAbteilung” oder “Computer_Netzwerkeinstellungen_Notebooks”.

Das Erstellen übergeordneter Organisationseinheiten für alle Benutzer- bzw. Computerobjekte ermöglicht es, diese Root-Ebene für universelle Einstellungen zu nutzen und Anpassungen in darunterliegenden Organisationseinheiten vorzunehmen. Anstatt also Einstellungen in jeder OU separat festzulegen, können sich Admins die Vererbung von Gruppenrichtlinien zunutze machen.

Entsprechend der LSDOU-Regel verarbeitet Active Directory Gruppenrichtlinienobjekte von der obersten OU-Ebene an abwärts. Das bedeutet, dass GPOs in verschachtelten Organisationseinheiten vererbte Richtlinien nicht nur ergänzen sondern auch überschreiben können.

Diese Möglichkeit bietet sich hervorragend an, um bestimmte Einstellungen anzupassen und die Vererbung von Gruppenrichtlinien dennoch aufrecht zu erhalten. Zum Beispiel können PCs mit speziellen Anforderungen in eine eigene Unter-OU verschoben werden, die ein Richtlinienobjekt mit abweichenden Regeln erhält.

Active Directory bietet die Möglichkeit, einzelne Benutzer oder Gruppen von einer Richtlinie auszunehmen. Dazu klicken Sie in den Eigenschaften der jeweiligen GPO auf den Reiter Delegierung > Erweitert und setzen die Option Gruppenrichtlinie übernehmen (Apply Group Policy) für das gewünschte Objekt auf verweigern.

Das Problem an der Sache? Das Blockieren der Richtlinie wird nirgendwo angezeigt. Ohne die Eigenschaften jedes Gruppenrichtlinienobjekts einzeln durchzugehen, lässt sich zu einem späteren Zeitpunkt also nicht mehr erkennen, dass ein Admin eine Ausnahme festgelegt hat. Das Blockieren von GPOs auf diesem Weg sorgt daher langfristig für Verwirrung und sollte vermieden werden.

Eine weitere Möglichkeit, um die Anwendung von GPOs innerhalb der Domäne zu regeln bieten sogenannte WMI-Filter. Diese Filter stellen sicher, dass Gruppenrichtlinienobjekte nur auf Geräte mit den richtigen Hardware- und Systemeigenschaften angewendet werden. Zum Beispiel lässt sich die Nutzung von GPOs davon abhängig machen, welche Windows-Version ein Gerät verwendet oder ob eine interne Batterie vorhanden ist (Laptop, Tablet).

Beim Einsatz von WMI-Filtern ist jedoch zu bedenken, dass jeder weitere Filter das Auslesen der Gruppenrichtlinien für Windows ein Stück komplizierter macht. Verwendet eine Organisation viele dieser Filter, kann das die Anmeldung von Benutzern verlangsamen. Es ist also Sparsamkeit gefragt.

Soll ein Gruppenrichtlinienobjekt in einer Organisationseinheit nicht mehr zu tragen kommen, liegt der einfachste Weg die Anwendung zu stoppen darin, die Verknüpfung des Objekts zu löschen. Änderungen am GPO selbst, wie es zu deaktivieren oder zu löschen, wirken sich nämlich auf alle verknüpften OUs aus. Um ungewollte Konsequenzen zu vermeiden ist es daher am sichersten, nur die Verknüpfung zu entfernen. So bleiben die Einstellungen zudem erhalten, falls sie später erneut benötigt werden.

Mit dem Befehl gpresult bietet Windows eine Möglichkeit um zu überprüfen, dass Gruppenrichtlinien korrekt auf User und Computer angewendet werden. Das Tool zeigt an, welcher Domäne und welchen Organisationseinheiten ein Objekt angehört, sowie welche GPOs darauf angewendet werden. Admins können so sicherstellen, dass Gruppenrichtlinien korrekt vererbt werden und keine unvorhergesehenen Konflikte auftreten.

Angesichts der gravierenden Auswirkungen, die die Anpassung eines Gruppenrichtlinienobjekts für Benutzer innerhalb der Domäne haben kann, ist ein ordentliches Change Management umso wichtiger. Das gilt insbesondere für Organisationen, in denen mehrere Admins für die Verwaltung von Gruppenrichtlinien verantwortlich sind und sich entsprechend abstimmen müssen. Die Dokumentation aller Änderungen erleichtert im Notfall die Behebung von Problemen.

Sicherungskopien der Gruppenrichtlinienobjekte versetzen Admins in die Lage, bei Problemen schnell den vorherigen Zustand wiederherzustellen. Die dafür notwendigen Backups lassen sich z.B. über ein PowerShell-Skript auf Basis des Befehls Backup-GPO anlegen. Achtung: Da Windows standardmäßig jedes Backup in einen eigenen Order mit zufälligen 32-Bit Namen ablegt, empfiehlt es sich, eine eigene Ordnerstruktur zur besseren Übersicht anzulegen.

Jetzt kennen Sie die wichtigsten Best Practices, können eine sinnvolle OU-Struktur entwerfen und alle Gruppenrichtlinienobjekte an der richtigen Stelle verlinken. Aber für die korrekte Anwendung von GPOS, müssen Sie darüber hinaus dafür sorgen, dass alle Benutzer und Geräte den richtigen Organisationseinheiten zugeordnet werden. Und das, wann immer sich z.B. die Abteilung eines Mitarbeiters ändert.

Keine Sorge: Es gibt einen einfacheren Weg! Die Identity und Access Management Lösung tenfold erlaubt, die automatische Verwaltung von Benutzerkonten und Zugriffsrechten in Active Directory, in lokalen Microsoft-Systemen, der Microsoft Cloud und Geschäftsanwendungen. Über sein User Lifecycle Management legt tenfold automatisch neue Konten an, weißt ihnen die richtigen Gruppen und Organisationseinheiten zu und passt diese Mitgliedschaften bei Bedarf an.

Mit der automatischen Verwaltung durch tenfold sparen Sie nicht nur Zeit, sondern profitieren von der genauen und fehlerfreien Steuerung aller Konten unter Einhaltung sämtlicher Best Practices! Dazu zählen unter anderem:

Zentrales Berechtigungsreporting, eine benutzerfreundliche Self-Service Plattform und die einfache Abwicklung von Access Reviews: tenfold bietet Ihnen eine umfangreiche IAM Lösung, die sich in kürzester Zeit in Betrieb nehmen lässt. Dank vorgefertigter Plugins ist die Installation und vollständige Nutzung von tenfold schon innerhalb weniger Wochen möglich – ein drastischer Unterschied zu den oft monate- bis jahrelangen Setup-Phasen anderer Anbieter. Überzeugen Sie sich selbst bei einem unverbindlichen Test von unserer Lösung!