Gruppenrichtlinie ist eine hierarchische Infrastruktur, die es einem Netzwerkadministrator, der für Microsoft Active Directory verantwortlich ist, ermöglicht, bestimmte Konfigurationen für Benutzer und Computer zu implementieren. Gruppenrichtlinien sind in erster Linie ein Sicherheitstool und können verwendet werden, um Sicherheitseinstellungen auf Benutzer und Computer anzuwenden. Mit Gruppenrichtlinien können Administratoren Sicherheitsrichtlinien für Benutzer und Computer definieren. Diese Richtlinien, die gemeinsam als Gruppenrichtlinienobjekte (Group Policy Objects, GPOs) bezeichnet werden, basieren auf einer Sammlung individueller Gruppenrichtlinieneinstellungen. Gruppenrichtlinienobjekte werden über eine zentrale Schnittstelle verwaltet, die als Gruppenrichtlinienverwaltungskonsole bezeichnet wird. Gruppenrichtlinien können auch mit Befehlszeilentools wie gpresult und gpupdate verwaltet werden.
Die Gruppenrichtlinienhierarchie
Gruppenrichtlinienobjekte werden hierarchisch angewendet, und häufig werden mehrere Gruppenrichtlinienobjekte kombiniert, um die effektive Richtlinie zu bilden. Lokale Gruppenrichtlinienobjekte werden zuerst angewendet, gefolgt von Gruppenrichtlinienobjekten auf Standortebene, Domänenebene und Organisationseinheitsebene.
Erweiterbarkeit von Gruppenrichtlinien
Die native Sammlung von Gruppenrichtlinieneinstellungen bezieht sich ausschließlich auf das Windows-Betriebssystem. Ein Administrator kann diese systemeigenen Gruppenrichtlinieneinstellungen beispielsweise verwenden, um eine Mindestkennwortlänge durchzusetzen, die Windows-Systemsteuerung vor Benutzern auszublenden oder die Installation von Sicherheitspatches zu erzwingen. Gruppenrichtlinien sind jedoch durch die Verwendung administrativer Vorlagen erweiterbar. Mit diesen administrativen Vorlagen können verschiedene Anwendungen über Gruppenrichtlinieneinstellungen konfiguriert werden. Eines der bekanntesten Beispiele dafür ist die Sammlung administrativer Vorlagen für Microsoft Office.
Administrative Vorlagen bestehen aus zwei Komponenten. Eine ADMX-Datei ist die XML-Datei, die alle Gruppenrichtlinieneinstellungen enthält, die der Vorlage zugeordnet sind. Eine entsprechende ADML-Datei fungiert als Sprachdatei, mit der die Gruppenrichtlinieneinstellungen in der vom Administrator gewählten Sprache angezeigt werden können.
Lokal vs. zentralisierte Gruppenrichtlinie
Gruppenrichtlinienobjekte können lokal über das eigene Betriebssystem auf einen Windows-Computer angewendet werden, oder Gruppenrichtlinienobjekte können über Active Directory angewendet werden. Mit lokalen Gruppenrichtlinien können Sicherheitseinstellungen entweder auf eigenständige Computer oder auf Computer angewendet werden, die von einem Domänencontroller verwaltet werden. Umgekehrt können Active Directory-basierte Gruppenrichtlinienobjekte zentral verwaltet werden, sie werden jedoch nur implementiert, wenn sich ein Benutzer von einem Computer aus anmeldet, der der Domäne beigetreten ist.
Viele Organisationen verwenden eine Kombination aus lokalen und Active Directory-Gruppenrichtlinienobjekten. Die lokalen Richtlinieneinstellungen bieten Sicherheit, wenn der Benutzer nicht in einer Domäne angemeldet ist, während Active Directory-Gruppenrichtlinienobjekte angewendet werden, sobald sich der Benutzer angemeldet hat.