Active Directory Tipps: 3 Tipps für die Verwaltung von Group Policy Objects (GPOs)
Egal, wie gut Sie Ihre Group Policy Objekts (GPOs) initial auch durchdacht haben: Gruppenrichtlinienobjekte sind ständig im Einsatz. Sie verändern sich, neue kommen hinzu, während andere nicht mehr benötigt werden.
Auf diese Weise sammelt sich im Laufe der Zeit viel Ballast im Active Directory an. Leere, nicht verknüpfte bzw. nicht verwendete Gruppenrichtlinienobjekte nehmen nicht nur unnötig Platz in Ihrem Active Directory ein, sondern sollten auch aus Sicherheitsgründen regelmäßig bereinigt werden.
Daher sollten Sie die Group Policy Objekts ebenfalls in Ihre Routine für das Active Directory Cleanup einbeziehen, um die Stabilität und Sicherheit Ihres Active Directory zu optimieren. Sie können die GPOs dabei entweder manuell überprüfen und aussortieren oder – deutlich schneller und komfortabler – automatisiert mit einer AD-Management- und -Reporting-Lösung wie ADManager Plus.
Wir haben 3 Tipps rund um das GPO-Management in ADManager Plus für Sie zusammengestellt, die Sie dabei unterstützen, den Überblick über Ihre Gruppenrichtlinienobjekte zu behalten:
ADManager Plus Live-Demo
Wir stellen Ihnen die Funktionen von ADManager Plus gerne in einer unserer regelmäßigen Live-Demos vor - kostenlos und unverbindlich!
10 Best Practices für das Group Policy Management:
Lesen Sie hier, wie Sie geeignete Gruppenrichtlinienobjekte entwerfen und implementieren.
Tipp 1: So finden und löschen Sie leere GPOs
Mit dem Bericht „Alle GPO & verknüpften AD-Objekte“ in ADManager Plus können Sie u. a. längst vergessene GPOs aufspüren, die zu Testzwecken angelegt wurden. Leere Gruppenrichtlinienobjekte enthalten keine Einstellungen und lassen sich durch einen Blick auf die mit ihnen verknüpften Objekte sowie deren Einstellungen erkennen. Ist der Wert bei „Computerversion“ und „Benutzerversion“ Null, hat das Gruppenrichtlinienobjekt keine Einstellungen und kann bedenkenlos gelöscht werden.
- Melden Sie sich bei ADManager Plus an und klicken Sie auf dem Reiter „Berichte“ auf „GPO-Berichte“.
- Öffnen Sie den Bericht „Alle GPO & verknüpften AD-Objekte“, wählen Sie Ihre Domäne aus und klicken Sie auf „Erstellen“.
- Klicken Sie auf „Spalte hinzufügen oder entfernen“ und fügen Sie die Spalten „Benutzerversion“ und „Computerversion“ hinzu.
- Wählen Sie in der Liste der GPO diejenigen aus, bei denen bei „Computerversion“ und „Benutzerversion“ der Wert „0“ eingetragen ist.
- Klicken Sie auf „Löschen“, um die leeren GPOs dauerhaft aus dem AD zu löschen.
Tipp 2: So finden und deaktivieren Sie nicht verknüpfte GPOs im Active Directory
Gruppenrichtlinien können mit einer Organisationseinheit oder auf Domänen-Level verknüpft sein. Es kann allerdings vorkommen, dass Gruppenrichtlinienobjekte durch eine Richtlinienänderung auf einmal nicht mehr mit einem Container verknüpft sind. Diese nicht verknüpften GPOs können zu Problemen in Ihrem Active Directory führen – insbesondere, wenn sie mit einem anderen wichtigen Container verknüpft werden. Daher sollten Sie Ihr AD regelmäßig auf nicht verknüpfte GPOs überprüfen und deaktivieren bzw. löschen.
Schritt 1: So finden Sie nicht verknüpfte GPOs in ADManager Plus
- Öffnen Sie (wie in Tipp 1 beschrieben) den Bericht „Alle GPO & verknüpften AD-Objekte“, wählen Sie die Domäne aus, deren GPOs Sie bearbeiten möchten, und klicken Sie auf „Erstellen“.
- Jetzt wird eine Liste der GPOs mit ihren verknüpften Objekten angezeigt. (Die nicht verknüpften GPOs können Sie am Wert „-“ in der Spalte „Verknüpfte Objekte“ identifizieren).
- Bei Bedarf können Sie den Bericht in das von Ihnen gewünschte Format exportieren, indem Sie die Option „Exportieren als“ direkt über dem Bericht anklicken.
Schritt 2: So deaktivieren Sie alle nicht verknüpften GPOs in ADManager Plus (ab Build 6590)
- Markieren Sie die nicht verknüpften GPOs, die Sie in Schritt 1 identifiziert haben.
- Wählen Sie einfach den durchgestrichenen roten Kreis, um die GPOs zu deaktivieren.
Auf diese Weise werden die ausgewählten, nicht verknüpften GPOs mit den ausgewählten Konfigurationseinstellungen (Benutzer- oder Computerkonfiguration) deaktiviert.
Tipp 3: So identifizieren Sie Gruppenrichtlinienobjekte (GPOs), die mit Organisationseinheiten (OUs) in einer Domäne verknüpft sind
Bei der Verwaltung der Gruppenrichtlinien stehen Administratoren immer wieder vor der Frage, welche GPOs eigentlich genau mit einer bestimmten Organisationseinheit in einer Domäne verknüpft sind. Da GPOs gerade auf Domainlevel die gesamte Organisation betreffen, und somit Änderungen daran weitreichende Folgen haben können, ist es wichtig zu wissen, welche GPOs wo verknüpft sind.
Mit ADManager Plus können Sie sich schnell einen Überblick über alle GPOs verschaffen, die mit den Organisationseinheiten einer bestimmten Domäne verknüpft sind.
- Gehen Sie auf der Registerkarte „Berichte“ zu GPO-Berichte / GPO-Bereich-Berichte / OE-verknüpfte GPOs.
- Wählen Sie die Domänen aus, für die Sie diesen Bericht erstellen möchten.
- Klicken Sie auf „Erstellen“, um alle mit OUs in den ausgewählten Domänen verknüpften GPOs anzuzeigen.
- Um diesen Bericht zu exportieren, verwenden Sie die Option „Exportieren als“ und wählen Sie das gewünschte Format.
Hinweis:
Standardmäßig wird in den Berichten nur eine bestimmte Auswahl an Attributen/Feldern angezeigt. Falls Sie sich andere / weitere Felder bzw. Attribute anzeigen lassen möchten, klicken Sie auf die Option „Spalte hinzufügen oder entfernen“, die sich rechts über der ersten Zeile des Berichts befindet, und wählen Sie die benötigten Felder aus.