Group Policy Schulungen und Weiterbildungen

Gruppenrichtlinien – oder im englischen Group Policy (GPO) – machen genau das nicht, was der Name suggeriert: Gruppen mit Richtlinien / Policies belegen. Hier scheint eine Analogie zum Zitronenfalter vorzuliegen; dieser faltet bekanntlich auch keine Zitronen.

Dennoch sind Gruppenrichtlinien unverändert eines der Standardwerkzeuge, wenn es darum geht große Mengen an Computerobjekten oder Userobjekten homogen zu administrieren / zu konfigurieren bzw. um das Arbeitsgerät im Büroalltag – den Computer – zu konfigurieren. Genau hier liegt der Bereicht der Wirksamkeit von GPOs: Einfluss auf die Registry eines Windows basierten (ab Windows 2000 / Server 2000) und mit einer Domänenmitgliedschaft belegten Computers auszuüben. Dieses schließt Workstations, Memberserver und Domain Controller gleichermaßen ein. Durch eine Schnittstelle zwischen einer GPO und dem Registry-Baum HKEY_LOCAL_MACHINE bzw. HKEY_CURRENT_USER können maschinenspezifische oder anwenderspezifische Einstellung zentral vorgenommen werden und an eine Vielzahl von Objekten angewendet werden (wobei der anwenderspezifische Teil in der Regel den maschinenspezifischen Teil überschreibt).

Historisch betrachtet hat sich dieses Werkzeug aus den alten NT4.0-Policies weiterentwickelt (poledit.exe / ntconfig.pol – Gruseln inklusive). Jeder Windows basierte Computer ab Windows 2000 / Server 2000 verfügt zusätzlich noch über eine lokale Richtlinie welche mit einer GPO (mehr oder minder) zusammenarbeitet. Manchmal werden in dieser Konstellation Einstellungen zusammengeführt, manchmal überschrieben und manchmal schlichtweg ignoriert. Spannend wird dieses Zusammenspiel, wenn mehrere GPOs eingesetzt werden (Vererbung oder Erzwingung) und dieses noch final mit dem Loopback-Processing (Vorzugsweise im Modus „Zusammenführen“ / „Merge“) ausgestattet ist. Zusammenfassend benötigen Sie eine Vorgehensweise (best practise), eine Diagnostik (gpresult.exe /r // gpresult.exe /h – was kommt real an) und was könnte ankommen (Group Policy Modeling – so rein theoretisch zumindest).

Den Aufbau von GPOs verstehen

Um das Verständnis für die Mechanik von Group Policy zu vermitteln müssen wir im Workshop untersuchen, wie GPOs aufgebaut sind (GPO, GPT), wie eine Versionierung durchgeführt wird und warum gelegentlich GPOs nicht mehr sauber abgearbeitet werden (DSA-Replikation vs. DFS-R). Ebenso spielen Filtermechanismen wie ACL und WMI eine wesentliche Rolle wie und wann GPOs beim Client ankommen.

2006 erwarb Microsoft eine Firma, welche das Werkzeug GPO um die sogenannten „Einstellungen“ / „Preferences“ erweiterte. Die Preferences sollen langfristig komplexe Logon- oder Startup-Skript abslösen. Allerdings stellt man später fest, dass Preferences eine eigene Logic (Update, Create, Delete, Modify) aufweisen und (anders als GPO) mit what-you-see-is-what-you-get (WYSIWYG – rot und grün sollten unterschieden werden können – F6 bis F8 nicht vergessen) arbeiten. Durch die historische Entwicklung der Preferences sind auch ein paar Sicherheitsaspekte zu beachten.

Group Policies zur konkreten Problemlösung

Ein sehr großer und zeitlich intensiver Block sind verschiedene Praxis-Szenarien, in denen Group Policy zur konkreten Problemlösung eingesetzt wird. Maßgeblich durch die nun bereits vollzogenen aber auch noch kommenden Migrationen von Windows 7 auf Windows 10 möchten wir hier den Schwerpunkt auf den Datenschutz unter Windows 10 aber auch auf die Kontrolle (oder das Verbot) des Microsoft App-Stores setzen. Die plattformübergreifende Sicherheitsbrille für Kennwortänderungen (User-, Computer- und Dienstkonten-Kennwörter) wird aufgesetzt; ebenso für sicherheitsreleveante Einstellungen rund um Domain Controller oder administrativer Workstations.

Ein hohes Maß an Automatisierung wird auch bei Group Policy durch die Windows Powershell erreicht. Egal ob man die Richtlinien dokumentieren (Get-GPOReport) möchte oder die Zugriffslisten in der breiten Masse kontrollieren möchte (Set-GPPermissions) – überall kommt auch bei GPOs die Windows Powershell zum Einsatz.

Was mache ich aber, wenn die Gruppenrichtlinie nicht mehr wirkt, obwohl alles richtig schein? Troubleshooten! Neben dem Auswerten der relevanten Logs wird noch ein erweiterter Loggingmodus aktiviert und die EventLogs werden effizient durch XPath-Filter durchforstet. Gruppenrichtlinien werden automatisiert (Powershell) nach Versionierung, Replikation und inhaltlicher Konsistenz untersucht. In diesem Rahmen kann auch Gleichzeit nach Konsolidierungsmöglichkeiten per GPOTool geschaut werden.

In der Zusammenarbeit können sich Gruppenrichtlinien als Herausforderung herausstellen. Was mache ich, wenn viele Mitarbeiter gleichzeitig mit diesem Werkzeug arbeiten? Advanced Group Policy Managment kann hier ein Lösungsansatz sein. Durch die Installation eines AGPM-Servers und in Verbindung mit den AGPM-Clients kann konfliktärmer mit GPOs gearbeitet werden.

Zum Abschluss wird noch Desired State Configuration (DSC) in Verbindung mit der Azure-Cloud von Microsoft gearbeitet. Sofern der Pull-Server in Azure-Cloud steht können nicht nur Domänenmitglieder administriert werden (was auch GPO kann), sondern auch Workgroup-Maschinen und zwei Linux-Derivate (welche sich erst mal GPOs entziehen). Die Einrichtung und Konfiguration mit fertigen Lösungen von einem Pull-Server, sowie das Anbinden der DSC-Clients werden durchgeführt.