Active-Directory-Tipp: 10 bewährte Praktiken für die Verwaltung von Gruppenrichtlinien
Gruppenrichtlinien dienen in erster Linie dem Schutz der Netzwerksicherheit. IT-Administratoren können mithilfe einer umfangreichen Sammlung an Einstellungen – den sogenannten Gruppenrichtlinienobjekten (Group Policy Objects, GPOs) – Sicherheitsrichtlinien für Benutzer und Computer festlegen und dadurch die Arbeitsumgebung der Anwender granular regulieren. So lässt sich beispielsweise verhindern, dass Active-Directory(AD)-Benutzer unbefugte Änderungen an ihren Computern durchführen, die die Unternehmenssicherheit gefährden könnten.
Ob Zugriff auf die Windows-Systemsteuerung (Windows Control Panel), Löschen des Browserverlaufs oder das Ändern von Hintergrundbildern: Mit den entsprechenden Einstellungen können IT-Administratoren diese und zahlreiche weitere Aktionen von einem zentralen Ort aus konfigurieren. Auf diese Weise lässt sich granular kontrollieren, was Benutzer im Netzwerk tun können - und was nicht.
Wir haben zehn Best Practices rund um die Verwaltung der Group Policies für Sie zusammengestellt. Diese unterstützen Sie dabei, geeignete Gruppenrichtlinienobjekte zu entwerfen und zu implementieren – und so eine sichere Arbeitsumgebung für Ihre Active-Directory-Benutzer zu schaffen:
- GPO-Verknüpfung bei der Struktur der Organisationseinheiten (OU) berücksichtigen
- Standardrichtlinien nicht verändern
- GPOs nicht mit der Domäne verknüpfen
- Vererbung von Gruppenrichtlinien nutzen
- Klare Regeln bei der Namensgebung
- Ungenutzte Benutzer- und Computer-Konfigurationen deaktivieren
- Mit mehreren OUs verknüpfte GPOs nicht deaktivieren
- GPO-Filterung vermeiden
- Nicht zu viele Einstellungen in einem GPO
- GPO-Änderungen überwachen
Produktvorstellung ADAudit Plus
Wir stellen Ihnen die Funktionen von ADAudit Plus gerne in einer unserer regelmäßigen Live-Demos vor - kostenlos und unverbindlich!
Mit der AD-Change-Management-Lösung ADAudit Plus können Sie alle Änderungen an AD-Objekten – und damit auch an den Gruppenrichtlinienobjekten – übrigens einfach überwachen und zu Auditzwecken dokumentieren. So lässt sich beispielsweise jederzeit von einer zentralen Konsole aus nachvollziehen, wer wann und wo welches Group Policy Object geändert hat.
1. Behalten Sie GPO-Verknüpfungen bei der OU-Struktur im Hinterkopf
Die Struktur der Organisationseinheiten (Organisational Units, OUs) bestimmt, wie Gruppenrichtlinienobjekte in Ihrem Active Directory angewendet werden. Prinzipiell gibt es verschiedene Modelle, wie Organisationseinheiten gegliedert werden können, doch davon unabhängig empfehlen wir folgendes: Legen Sie separate Organisationseinheiten für Benutzer und Computer an! Damit erleichtern Sie sich die spätere Anwendung von Benutzer- und Computerrichtlinien deutlich.
Ansonsten sollten Sie bei der Erstellung neuer OUs immer auch die spätere Verknüpfung von Gruppenrichtlinienobjekten sowie eine mögliche Fehlerbehebung im Hinterkopf behalten. Denken Sie daran: Die AD-Struktur muss nicht zwangsläufig eins zu eins das Organigramm Ihres Unternehmens abbilden, sondern soll in erster Linie die Administratoren bei ihrer Arbeit unterstützen.
2. Ändern Sie die Standardrichtlinien nicht
Alle Einstellungen, die in der Standarddomänenrichtlinie (Default Domain Policy) konfiguriert werden, gelten für die gesamte Domäne. Daher sollten in diesem Gruppenrichtlinienobjekt nur domänenweite Richtlinien konfiguriert werden - wie die Passwort- und Kontosperrungsrichtlinie, die Kerberos-Richtlinie sowie generelle Kontoeinstellungen. Auch die Standard-Domänen-Controller-Richtlinie (Default Domain Controller Policy) sollte nur für die Zuweisung von Benutzerrechten und die Konfiguration von Audit-Richtlinien für Domänen-Controller verwendet werden. Für alle anderen Richtlinien und Einstellungen können Sie bei Bedarf separate GPOs erstellen.
Zusatztipp:
Sie sollten alle Änderungen an Gruppenrichtlinien und deren Verknüpfungen genau dokumentieren – und zwar am besten so, dass Sie später auch nachvollziehen können, was wann warum gemacht wurde. AD-Auditing-Lösungen wie ADAudit Plus unterstützen Sie zuverlässig dabei, die Detailinformationen der einzelnen Änderungen festzuhalten; es kann allerdings zu einem späteren Zeitpunkt hilfreich sein, wenn Sie auch die grundsätzlichen Überlegungen zu Ihrer GPO-Strategie dokumentieren.
3. Verknüpfen Sie GPOs nicht mit der Domäne
Werden Gruppenrichtlinienobjekte auf Domänenebene neu erstellt, wirken sich diese auf alle Benutzer und Computer in der Domäne aus. Das kann dazu führen, dass Einstellungen, die eigentlich nur für eine bestimmte Benutzergruppe vorgesehenen waren, wahllos auf alle Benutzer angewendet werden.
Wir empfehlen Ihnen daher, alle GPOs (mit Ausnahme der Standarddomänenrichtlinie) immer auf OU-Ebene anzuwenden. So haben Sie eine genauere Kontrolle, welche Einstellungen für welche Anwender angewendet werden.
Tipp:
Mit der AD-Management-Lösung ADManager Plus können Sie einfach herausfinden, mit welchen Domänen, Organisationseinheiten oder Containern ein Group Policy Object verbunden ist. Die gefundenen Verlinkungen lassen sich anschließend komfortabel mit wenigen Klicks deaktivieren, hinzufügen oder entfernen.
4. Nutzen Sie die GPO-Vererbung
Achten Sie beim Verknüpfen von Group Policy Objects mit Organisationseinheiten darauf, diese auf der Stammebene anzuwenden, um die GPO-Vererbung auszulösen. So müssen Sie die gleichen Einstellungen nicht mühsam manuell auf nachfolgende untergeordnete OUs anwenden. Falls Sie bestimmte Benutzer und Computer von der Vererbung einer Richtlinie ausnehmen möchten, können Sie diese zu einer separaten Organisationseinheit hinzufügen und die Vererbung für diese OU blockieren.
5. Befolgen Sie klare Regeln bei der Namensgebung
Aus dem Namen eines Gruppenrichtlinienobjekts sollte hervorgehen, welchem Zweck es dient und für wen es gilt. Wir empfehlen daher, eine Namenskonvention zu verwenden, mit der Sie auf einen Blick sehen, um welches GPO es sich handelt. Dabei hat es sich bewährt, wenn aus dem Namen eines Gruppenrichtlinienobjekts bereits hervorgeht, ob es auf Benutzer oder Computer angewendet wird.
Wenn Sie beispielsweise am Anfang ein "U" für User-Richtlinien und ein "C" für Computerrichtlinien ergänzen, vermeiden Sie Verwechslungen, wenn Sie Änderungen an den jeweiligen GPOs vornehmen.
Tipp:
Falls die Namenskonvention versehentlich nicht eingehalten werden sollte, können Sie das betreffende GPO mit ADManager Plus übrigens auch nachträglich ganz einfach ändern. Gehen Sie dazu in ADManager Plus zu Management > GPO Management > Manage GPOs und klicken Sie auf das Icon des Group Policy Objects, das Sie ändern möchten.
6. Deaktivieren ungenutzter Benutzer- und Computerkonfigurationen
Wenn Benutzer- und Computerrichtlinien in separaten Gruppenrichtlinienobjekten konfiguriert sind, können Sie durch das Deaktivieren der jeweils nicht verwendeten Konfiguration die Leistung Ihres Desktops verbessern. Wenn beispielsweise in einem GPO nur Computereinstellungen konfiguriert sind, können Sie die Benutzerkonfiguration deaktivieren, um die GPO-Verarbeitung bei der Anmeldung zu beschleunigen.
7. Deaktivieren Sie keine GPOs, die mit mehreren OUs verknüpft sind
Wenn ein Group Policy Object mit mehreren Organisationseinheiten verknüpft ist, führt die Deaktivierung in einer OU dazu, dass die Anwendung des GPO auch in allen anderen OUs deaktiviert wird. Seien Sie also vorsichtig mit dem Deaktivieren von GPOs!
Falls Sie auf Nummer sicher gehen wollen, dass Sie eine Gruppenrichtlinie nicht versehentlich in anderen Bereichen deaktivieren, sollten Sie stattdessen deren Verknüpfungen bearbeiten. Um zu verhindern, dass ein Gruppenrichtlinienobjekt in einer bestimmten Organisationseinheit angewendet wird, entfernen Sie einfach die GPO-Verknüpfung in der betreffenden OU.
Sie wollen sehen, welche GPOs kürzlich verändert wurden?
Dann rufen Sie den Report „Recently Modified GPOs“ in ADAudit Plus unter Reports > GPO Management auf.
8. Verzichten Sie auf GPO-Filterung
Wenn Sie GPOs auf höheren Ebenen Ihrer Active-Directory-Hierarchie verknüpfen und dann Sicherheits- oder WMI-Filter für diese Gruppenrichtlinienobjekte verwenden, kann das die Verarbeitungszeit verlangsamen. Sie sollten GPO-Filter daher nur dann verwenden, wenn dies wirklich erforderlich ist. Idealerweise verknüpfen Sie Ihre Gruppenrichtlinienobjekte immer so nah wie möglich am beabsichtigten Ziel – das hilft, die Komplexität nicht unnötig zu vergrößern.
Übrigens:
Änderungen an den Verknüpfungen der GPOs lassen sich mit dem „GPO Link Changes“-Bericht in ADAudit Plus (zu finden unter Reports > GPO Management) zuverlässig überwachen. In dem Report finden Sie alle Verlinkungen, die kürzlich zu einem GPO hinzugefügt oder dort entfernt wurden.
9. Vermeiden Sie überfüllte GPOs
Zwar beschleunigen große GPOs, in denen sehr viele Einstellungen konfiguriert werden, die Anmeldung, doch sie erschweren auch die Fehlersuche erheblich. Daher sollten Sie bei der Erstellung eines Gruppenrichtlinienobjekts nicht zu viele Einstellungen in ein Objekt packen und zudem darauf achten, dass der Name der GPO die in ihr enthaltenen Einstellungen möglichst gut widerspiegelt. Finden Sie also das für Sie richtige Gleichgewicht und verteilen Sie die Einstellungen auf eine gute Anzahl von GPOs. Das vereinfacht die Bereitstellung und Verwaltung und erleichtert die Fehlersuche.
Zusatztipp:
Idealerweise gehen Sie bei der Änderung von Gruppenrichtlinien in kleinen Schritten vor. Das minimiert nicht nur die Fehlerwahrscheinlichkeit, sondern hilft – falls doch mal eine falsche Einstellung vorgenommen wird – auch, diese schneller aufzuspüren. Darüber hinaus sollten Sie sich aber trotzdem die Zeit nehmen, bei allen Änderungen zu dokumentieren, warum Sie diese vorgenommen haben, damit Sie diese auch später noch nachvollziehen können.
10. GPO-Änderungen überwachen
Im Laufe der Zeit kann es vorkommen, dass die Verwaltung der Gruppenrichtlinien unübersichtlich wird, vor allem wenn mehrere Administratoren GPOs verändern. Daher sollten Sie alle GPO-Änderungen verfolgen, um sicherzustellen, dass alle von den verschiedenen Benutzern vorgenommenen Änderungen mit den Sicherheits- und Compliance-Anforderungen Ihres Unternehmens übereinstimmen.
Tipp:
ADAudit Plus bietet verschiedene Reports, um alle Änderungen an GPOs zu überwachen. Diese finden Sie unter Reports / GPO Management. Weitere nützliche Berichte zu Änderungen an den GPO-Einstellungen finden Sie unter Reports / GPO Setting Changes.
Auditieren Sie die GPO-Verwaltung mit ADAudit Plus
Für Administratoren kann das Überwachen aller neu angelegten, gelöschten oder geänderten Gruppenrichtlinienobjekte mit den nativen Windows-Tools zu einem mühsamen und zeitaufwändigen Prozess werden. Die AD-Auditing-Lösung ADAudit Plus unterstützt Sie bei dieser Aufgabe unter anderem mit Echtzeitberichten über Änderungen an Ihren GPOs sowie einer GPO-Historie, die alte und neue Werte der geänderten Attribute gegenüberstellt.