Gruppenrichtlinien – Group Policy

Gruppenrichtlinien – oder im englischen Group Policy (GPO) – machen genau das nicht, was der Name suggeriert: Gruppen mit Richtlinien / Policies belegen. Hier scheint eine Analogie zum Zitronenfalter vorzuliegen; dieser faltet bekanntlich auch keine Zitronen.

Dennoch sind Gruppenrichtlinien unverändert eines der Standardwerkzeuge, wenn es darum geht große Mengen an Computerobjekten oder Userobjekten homogen zu administrieren / zu konfigurieren bzw. um das Arbeitsgerät im Büroalltag – den Computer – zu konfigurieren. Genau hier liegt der Bereicht der Wirksamkeit von GPOs: Einfluss auf die Registry eines Windows basierten (ab Windows 2000 / Server 2000) und mit einer Domänenmitgliedschaft belegten Computers auszuüben. Dieses schließt Workstations, Memberserver und Domain Controller gleichermaßen ein. Durch eine Schnittstelle zwischen einer GPO und dem Registry-Baum HKEY_LOCAL_MACHINE bzw. HKEY_CURRENT_USER können maschinenspezifische oder anwenderspezifische Einstellung zentral vorgenommen werden und an eine Vielzahl von Objekten angewendet werden (wobei der anwenderspezifische Teil in der Regel den maschinenspezifischen Teil überschreibt).

Historisch betrachtet hat sich dieses Werkzeug aus den alten NT4.0-Policies weiterentwickelt (poledit.exe / ntconfig.pol – Gruseln inklusive). Jeder Windows basierte Computer ab Windows 2000 / Server 2000 verfügt zusätzlich noch über eine lokale Richtlinie welche mit einer GPO (mehr oder minder) zusammenarbeitet. Manchmal werden in dieser Konstellation Einstellungen zusammengeführt, manchmal überschrieben und manchmal schlichtweg ignoriert. Spannend wird dieses Zusammenspiel, wenn mehrere GPOs eingesetzt werden (Vererbung oder Erzwingung) und dieses noch final mit dem Loopback-Processing (Vorzugsweise im Modus „Zusammenführen“ / „Merge“) ausgestattet ist. Zusammenfassend benötigen Sie eine Vorgehensweise (best practise), eine Diagnostik (gpresult.exe /r // gpresult.exe /h – was kommt real an) und was könnte ankommen (Group Policy Modeling – so rein theoretisch zumindest).

DEN AUFBAU VON GPOS VERSTEHEN

Um das Verständnis für die Mechanik von Group Policy zu vermitteln müssen wir im Workshop untersuchen, wie GPOs aufgebaut sind (GPO, GPT), wie eine Versionierung durchgeführt wird und warum gelegentlich GPOs nicht mehr sauber abgearbeitet werden (DSA-Replikation vs. DFS-R). Ebenso spielen Filtermechanismen wie ACL und WMI eine wesentliche Rolle wie und wann GPOs beim Client ankommen. Hier wird auch ein Blick auf die, mittlerweile friedliche, Koexistenz vom Windows 10 und Windows 11-Central Store gesetzt.

2006 erwarb Microsoft eine Firma, welche das Werkzeug GPO um die sogenannten „Einstellungen“ / „Preferences“ erweiterte. Die Preferences sollen langfristig komplexe Logon- oder Startup-Skript abslösen. Allerdings stellt man bei der Umsetzung fest, dass Preferences eine eigene Logic (Update, Create, Delete, Modify) aufweisen und (anders als GPO) mit what-you-see-is-what-you-get (WYSIWYG – rot und grün sollten unterschieden werden können – F6 bis F8 nicht vergessen) arbeiten. Durch die historische Entwicklung der Preferences sind auch ein paar Sicherheitsaspekte zu beachten.

GROUP POLICIES ZUR KONKRETEN PROBLEMLÖSUNG

Ein sehr großer und zeitlich intensiver Block sind verschiedene Praxis-Szenarien, in denen Group Policy zur konkreten Problemlösung eingesetzt wird. Maßgeblich durch die nun bereits abgeschlossene Transition auf Windows 10 und die nun anstehende Transition auf Windowd 11 möchten wir hier den Schwerpunkt auf den Datenschutz unter Windows 10 / Windows 11 aber auch auf die Kontrolle (oder das Verbot) des Microsoft App-Stores setzen. Die plattformübergreifende Sicherheitsbrille für Kennwortänderungen (User-, Computer- und Dienstkonten-Kennwörter) wird aufgesetzt; ebenso für sicherheitsreleveante Einstellungen rund um Domain Controller oder administrativer Workstations.

Ein hohes Maß an Automatisierung wird auch bei Group Policy durch die Windows Powershell erreicht. Egal ob man die Richtlinien dokumentieren (Get-GPOReport) möchte oder die Zugriffslisten in der breiten Masse kontrollieren möchte (Set-GPPermissions) – überall kommt auch bei GPOs die Windows Powershell zum Einsatz.

Was mache ich aber, wenn die Gruppenrichtlinie nicht mehr wirkt, obwohl alles richtig scheint?

Troubleshooten!

Neben dem Auswerten der relevanten Logs wird noch ein erweiterter Loggingmodus aktiviert und die EventLogs werden effizient durch XPath-Filter durchforstet. Gruppenrichtlinien werden automatisiert (Powershell) nach Versionierung, Replikation und inhaltlicher Konsistenz untersucht. In diesem Rahmen kann auch Gleichzeit nach Konsolidierungsmöglichkeiten per GPOTool geschaut werden.

In der Zusammenarbeit können sich Gruppenrichtlinien als Herausforderung herausstellen. Was mache ich, wenn viele Mitarbeiter gleichzeitig mit diesem Werkzeug arbeiten? Advanced Group Policy Managment kann hier ein Lösungsansatz sein. Durch die Installation eines AGPM-Servers und in Verbindung mit den AGPM-Clients kann konfliktärmer mit GPOs gearbeitet werden.

Tiering

Zum Abschluss wird das Thema Tiering durch Group Policy addressiert. Tiering bezeichnet die logische und administrative Zuordnung von Benutzern und Systemen im Bereich der AD-Zuständigkeiten in verschiedene Zugriffsebenen, dieses führte Microsoft als ESAE (Enhanced Security Administrative Environment) ins Feld*. Tier0 bezeichnet die höchst privilegierte Ebene, Tier1 eine Privilegierung in einer mittleren Ebene und Tier2 kennzeichnet eine niedrig privilegierte Ebene.

Die Privilegierung wiederum bezieht sich auf den Grad der Berechtigungen: Tier0 betrifft Objekte welche im Active Directory sehr mächtig sind, Tier1 sind „mittelmächtig“ und Tier2 mit wenig Macht im Active Directory ausgestattet.

Tier0 kann beispielsweise gleichgesetzt werden mit Domain Admins, Domain Controllern, PKI, Tier1 mit Memberservern und Serveradministratoren und Tier0 mit dem Userhelpdesk und Client-Computern. Das Tiering über Group Policy stellt sicher, dass sich jeder User nur noch in seinem Tier bewegen / anmelden kann. Das ist, so wird man im Workshop sehen, spannender als es klingt.

*ESAE ist gem. Microsoft schon „retired“. Bitte verwenden Sie RAMP anstelle dessen, sofern Sie Azure / EntraID einsetzen, das notwendige Vertrauen in die Microsoft Cloud noch haben und, ganz wichtig, über das notwenige Kleingeld verfügen.