Administratoren-Albtraum Gruppenrichtlinien

Auch in Windows Server 2003 lässt das Gruppenrichtlinien-Management zu wünschen übrig. Statt einem integrierten Tool werden gleich drei Werkzeuge bereitgestellt.

Artikel erschienen in Swiss IT Magazine 2003/02

     

Die Gruppenrichtlinien sind einerseits eines der wichtigsten Werkzeuge für jeden Administrator von Windows-2000-Servern und werden es auch bei Windows Server 2003 bleiben. Andererseits wird sich trotz aller Bemühungen von Microsoft, das Management der Gruppenrichtlinien zu verbessern, nichts daran ändern, dass es sich dabei um einen administrativen Albtraum handelt. Denn das, was Microsoft mit Windows Server 2003 liefert, ist zwar gut gemeint, aber zu kurz gesprungen. Ist Microsoft einfach zu gross geworden oder sprechen die Entwickler von Server-Produkten einfach zu wenig mit den Entwicklern der Client-Lösungen?


Kein neues Problem

Was auch immer die Ursache sein mag, bei den Gruppenrichtlinien ist es Microsoft auch bei Windows Server 2003 nicht gelungen, dem Administrator wirklich gut nutzbare Handwerkszeuge zu liefern. Damit wird auch eine Geschichte fortgeschrieben, die in den Beta-Phasen von Windows 2000 Server begonnen hat. Microsofts erster Wurf wurde seinerzeit von den Testern der Beta 1 und hier vor allem von den Administratoren der grossen Firmennetze als nicht verwendbar eingestuft, so dass Microsoft sich gezwungen sah, die Gruppenrichtlinien im Anschluss noch einmal völlig umzustellen. Das Ergebnis war eine Lösung, mit der weit über tausend Parameter für Clients und Server gesetzt werden können. Die Anpassung über den Gruppenrichtlinien-Editor ist dabei durchaus beherrschbar. Was aber fast zwangsläufig zu Problemen führt, sind die komplexen und schwer nachvollziehbaren Vererbungsregeln, die auch noch mit Zugriffsberechtigungen zusammenspielen, und die schwache Dokumentation. In komplexeren Umgebungen häufen sich die Probleme, weil Gruppenrichtlinienobjekte an verschiedenen Stellen im Active Directory zugeordnet werden können und ihr Management doch sehr unübersichtlich ist.



Wenn es sich nun um einen weniger wichtigen Systembereich handeln würde, könnte man über diese Komplexität vielleicht hinwegsehen. So gibt es etwa Funktionsbereiche wie die RIS (Remote Installation Services) für die automatisierte Einrichtung von Betriebssystemen auf Clients im Netzwerk, deren Bedienung ebenfalls besser gelöst werden könnte.





Zu komplex?

Mit den Gruppenrichtlinien werden aber die Konfigurations- und Sicherheitseinstellungen für alle Clients und Server im Netzwerk zentral definiert - oder sollten es zumindest werden, wenn nicht viele Anwender an der Komplexität der Administration scheitern würden. Mit den Sicherheitsrichtlinien können beispielsweise Zugriffsberechtigungen auf Clients, sicherheitsrelevante Registry-Parameter oder Einstellungen für den Ablauf von Kennwörtern gesetzt werden. Mit weiteren Bereichen der Gruppenrichtlinien lässt sich das Aussehen des Anmeldedialogs ebenso vorgeben wie die Struktur des Startmenüs oder die in der Systemsteuerung verfügbaren Bereiche. Damit lassen sich Handlungsspielräume von Benutzern gezielt beschränken.



Man kann Microsoft nun nicht vorwerfen, das Problem nicht erkannt zu haben. Der Geist schien willig, aber wohl eher schwach. Immerhin sind nun alle Richtlinieneinstellungen dokumentiert, und es gibt zwei neue Tools, um besser mit den Gruppenrichtlinien umgehen zu können. Mit dem Resultant Set of Policies (RSoP) kann ermittelt werden, welcher Parameter für welchen User durch welche Richtlinie gesetzt wird. Damit lassen sich die komplexen Vererbungsregeln, bei denen Einstellungen aus verschiedensten Richtlinien gemischt werden, besser nachvollziehen. Aber letztlich ist das nur eine kleine Abhilfe - die Administration ist immer noch zu komplex.




Zeitgleich mit dem Release des Windows Server 2003 soll ausserdem die Group Policy Management Console (GPMC) herauskommen. Microsoft hat diese schon voll Stolz im November auf einer Konferenz in Kopenhagen gezeigt. Nur: Die GPMC wird voraussichtlich nicht als Teil des Systems geliefert, fehlt selbst im aktuellen Release Candidate und löst die Probleme nicht wirklich. Denn dort können die Gruppenrichtlinien-Objekte, in denen die Gruppenrichtlinien im Active Directory gespeichert werden, zwar einfach betrachtet und kopiert werden. Die einzelnen Einstellungen lassen sich aber ebenso wenig damit bearbeiten, wie man Vererbungsregeln mit Hilfe dieses Tools nachvollziehen kann.




Drei Tools für den selben Zweck

Kurz gesagt: Der Administrator hat bei Windows Server 2003 drei statt nur ein Werkzeug und kann damit insgesamt schon besser mit den Gruppenrichtlinien umgehen als noch bei Windows 2000. Aber der grosse Wurf eines integrierten Verwaltungswerkzeugs, mit dem Microsoft den eigenen Ansprüchen an Usability gerecht wird, ist das nicht. Denn die Konzepte der Gruppenrichtlinien bleiben komplex, und die Tools sind nicht miteinander integriert. Aus dem administrativen Alptraum wird noch lange kein Traum. Die Nutzung der Gruppenrichtlinien erfordert immer noch viel zu viel konzeptionellen Aufwand, vor allem in grösseren Active-Directory-Umgebungen.



Dass es besser geht, beweist dabei ausgerechnet Microsofts alter Erzrivale Novell. Wer die Konzepte von ZENworks for Desktops 4 mit denen von Windows 2000 und Windows Server 2003 vergleicht, muss erkennen, dass Novells Ansatz leichter verständlich ist als das, was sich Microsoft bei den Gruppenrichtlinien hat einfallen lassen. Dennoch wird für die meisten Netzwerke mit dem Active Directory kein Weg an Microsofts Lösung vorbeiführen, weil die Einführung von ZENworks for Desktops 4 einiges an Lizenzkosten sowie eine Menge administrativer Arbeit verursachen würde - von Novell eDirectory als zweitem Verzeichnisdienst, den man dann im Netzwerk hat, einmal ganz abgesehen.




Microsoft wird aber nicht umhin kommen, das Thema der Gruppenrichtlinien noch einmal zu durchdenken und zumindest die Verwaltungswerkzeuge zu integrieren, um dieses elementare Toolkit für das Management von Windows-Netzwerken effizient zu machen. Das ist der Software-Marktleader den Anwendern einfach schuldig. Windows Server 2003 macht das Konfigurations- und Sicherheitsmanagement von Clients zwar einfacher - aber Einfachheit ist hier ein allzu relativer Begriff, weil die Ausgangsbasis nur schwer zu beherrschen war.



Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wie hiess im Märchen die Schwester von Hänsel?
GOLD SPONSOREN
SPONSOREN & PARTNER