Welche Richtlinie für wen

Bei der Administration von Windows-Servern gibt es kaum einen Bereich, in dem es einfacher ist, den Überblick zu verlieren, als bei den Gruppenrichtlinien. Aber es gibt eine Lösung.
Die Lösung besteht genau genommen aus zwei Teilen. Der erste Teil heisst "Konzeption und Umsetzung", der zweite ist die Group Policy Management Console (GPMC), die als Add-on für den Windows Server 2003 online zu finden ist.

Richtig planen

Die GPMC erleichtert die Administration von Gruppenrichtlinien und ihre Analyse deutlich, aber sie bringt nur dann wirklichen Nutzen, wenn die zu analysierende Struktur auch darauf abgestimmt ist. Bei der Planung geht es deshalb darum, eine überschaubare Zahl einzelner GPOs (Gruppenrichtlinienobjekte, Group Policy Objects) und die darin festzulegenden Richtlinien zu definieren. In der Umsetzung dagegen ist es wichtig, dass keine Ad-hoc-Administration erfolgt, weil diese später nur schwer nachzuvollziehen ist. Ausserdem sollte man mit Unterbrechungen der Vererbung und mit zwingend vererbten Richtlinien sparsam umgehen.

Wenn man die Gruppenrichtlinien allerdings intensiv nutzt, ist es unvermeidbar, dass sich mehrere GPOs auf einen Benutzer respektive Computer auswirken. Trotz der Definition klarer Vererbungsregeln ist es in solchen Fällen nicht einfach, die genaue Wirkungsweise der GPOs zu erkennen.

GPMC und Ergebnissätze für Gruppenrichtlinien

Die GPMC ist eine zentrale Konsole für das Management von Gruppenrichtlinien. Diese wichtige Funktionalität ist nach der Installation des Programms nicht mehr in Active-Directory-Benutzer und -Computer versteckt, sondern direkt in der Programmgruppe Verwaltung zu finden. Die bisherigen Verwaltungsschnittstellen werden dadurch deaktiviert.
In der GPMC finden sich einerseits alle im Forest konfigurierten Gruppenrichtlinien und andererseits die WMI-Filter. Mit dem Befehl Group Policy Modeling lassen sich die Auswirkungen von Änderungen in Gruppenrichtlinien simulieren, bevor diese implementiert werden. Mit Group Policy Results dagegen wird es vereinfacht herausfinden, welche Einstellungen für einen Benutzer, eine Gruppe oder einen Computer nun in welcher Weise gesetzt sind. In beiden Fällen helfen Assistenten dabei, diese Informationen schnell zu ermitteln.

Dabei können auch spezielle Funktionen wie das Group Policy Loopback Processing genutzt werden. Damit lässt sich definieren, in welcher Weise die Benutzereinstellungen in den GPOs des Containers, in dem sich das Computerobjekt befindet, beim Benutzer berücksichtigt werden. Im Replace-Loopback-Modus werden die Einstellungen aus dem Container des Benutzerobjekts ignoriert, im Merge-Modus dagegen werden sowohl die (Benutzer-)Einstellungen aus dem Container des Anwenders als auch diejenigen aus dem Container des Computers auf den Benutzer angewendet. In die Simulation lassen sich auch WMI-Filter und andere Einstellungen miteinbeziehen.

Um sich in bereits bestehenden Gruppenrichtlinien zurechtzufinden, ist der Group Policy Results Wizard die richtige Wahl. In diesem Assistenten lässt sich einfach auswählen, für welchen Benutzer und Computer die gültigen Richtlinien angezeigt werden sollen. Das Ergebnis ist ein HTML-Bericht; einen schnellen Überblick bietet das Register Summary.

Details zu den einzelnen Richtlinien sind bei Settings zu finden. Hier ist für jede einzelne Richtlinie, die gesetzt wird, der aktuelle Wert und die Winning GPO ersichtlich. Die Winning GPO ist die übergeordnete GPO, aus der die Einstellung stammt. Aus dieser Information lässt sich wiederum ablesen, in welcher der Richtlinien allfällige Änderungen vorgenommen werden müssen.

Schliesslich gibt es noch das Register Policy Events. In diesem werden alle relevanten Ereignisse aus dem Ereignisprotokoll gefiltert, die sich auf die aktuell ausgewählten GPOs beziehen. Falsche Werte in einer oder mehreren Richtlinien können etwa dazu führen, dass Einstellungen nicht oder fehlerhaft übernommen werden, Richtlinien können aber auch aufgrund von anderen Fehlern nicht angewendet werden - beides ist aus dem Ereignisprotokoll ersichtlich.

Abschliessend sei noch erwähnt, dass die Funktionalität des RSoP (Resulting Set of Policies) als Add-on auch schon für Windows 2000 geliefert wurde und sich auch ohne die Installation der GPMC beim Windows Server 2003 über das MMC-Snap-In Richtlinienergebnissatz nutzen lässt. Aber wirklich komfortabel und gut integriert ist nur die GPMC, die daher unbedingt zusätzlich installiert werden sollte.