Gruppenrichtlinien (GPO)

Was sind Gruppenrichtlinien?

Gruppenrichtlinien (Group Policy Objects, GPOs) sind eines der mächtigsten Werkzeuge in Active Directory. Sie erlauben die zentrale, automatische Konfiguration von Windows-Computern und Benutzerumgebungen im gesamten Netzwerk – ohne jeden Rechner einzeln anfassen zu müssen.

Mit Gruppenrichtlinien kannst du beispielsweise:

  • Passwortrichtlinien erzwingen (Mindestlänge, Komplexität)

  • Desktop-Hintergründe und Startmenü-Einstellungen vorgeben

  • USB-Ports sperren

  • Software automatisch installieren

  • Windows-Firewall-Regeln verteilen

  • Laufwerkszuordnungen für alle Benutzer setzen

  • Internet Explorer / Edge-Einstellungen vorgeben

Wie funktionieren GPOs?

Eine GPO ist eine Sammlung von Einstellungen die auf Benutzer oder Computer angewendet werden. GPOs werden mit Active Directory-Containern verknüpft:

  • Standort (Site): Gilt für alle Objekte an einem physischen Standort

  • Domäne: Gilt für alle Objekte in der gesamten Domäne

  • OU (Organisationseinheit): Gilt für alle Objekte in der OU und ihren Unter-OUs

Verarbeitungsreihenfolge – LSDOU

Wenn mehrere GPOs gelten, werden sie in einer festgelegten Reihenfolge angewendet – LSDOU:

  1. Local (lokale Richtlinien des Computers)

  2. Site (Standort-GPOs)

  3. Domain (Domänen-GPOs)

  4. OU (OU-GPOs – von der übergeordneten zur untergeordneten OU)

Wichtig: Später angewendete GPOs gewinnen bei Konflikten. OU-GPOs überschreiben also Domänen-GPOs wenn dieselbe Einstellung in beiden definiert ist.

Verarbeitungsreihenfolge (letzte gewinnt bei Konflikt):

[1] Lokale Richtlinie
[2] Site-GPO
[3] Domänen-GPO  ← z.B. Passwortrichtlinie
[4] OU-GPO (übergeordnet)
[5] OU-GPO (untergeordnet)  ← gewinnt bei Konflikt

Benutzer- und Computerkonfiguration

Jede GPO hat zwei Bereiche:

Computerkonfiguration: Einstellungen die unabhängig vom angemeldeten Benutzer für den Computer gelten. Werden beim Systemstart angewendet. Beispiele: Startdienste, Firewall-Regeln, Software-Installation, Sicherheitseinstellungen des Systems.

Benutzerkonfiguration: Einstellungen die für den angemeldeten Benutzer gelten – egal an welchem Computer er sich anmeldet. Werden bei der Anmeldung angewendet. Beispiele: Desktop-Hintergrund, Startmenü, Laufwerkszuordnungen, Outlook-Einstellungen.

GPO-Filterung

GPOs gelten standardmäßig für alle Objekte in einem Container. Durch Filterung lässt sich die Anwendung einschränken:

Sicherheitsfilterung

Eine GPO wird nur auf Objekte angewendet die in der Sicherheitsfilterung aufgeführt sind. Standardmäßig steht dort "Authentifizierte Benutzer" – also alle. Du kannst eine GPO z.B. nur auf eine bestimmte Gruppe anwenden.

WMI-Filter

Ermöglicht die Anwendung einer GPO nur wenn bestimmte Systembedingungen erfüllt sind – z.B. nur auf Laptops oder nur auf Windows 11.

Erzwingen (Enforce) und Blockieren (Block Inheritance)

  • Enforce (Erzwingen): Eine GPO wird mit "Erzwingen" markiert – sie kann nicht durch untergeordnete GPOs überschrieben werden

  • Block Inheritance (Vererbung blockieren): Eine OU blockiert die Vererbung aller übergeordneten GPOs – außer erzwungenen GPOs

Standardmäßige GPOs

Bei der Einrichtung einer Domäne werden zwei Standard-GPOs erstellt:

  • Default Domain Policy: Verknüpft mit der Domäne – enthält die domänenweiten Passwortrichtlinien und Kontosperrungsrichtlinien

  • Default Domain Controllers Policy: Verknüpft mit der OU "Domain Controllers" – enthält Sicherheitsrichtlinien für Domänencontroller

Diese Standard-GPOs sollten nicht gelöscht werden. Eigene Einstellungen sollten in separaten GPOs konfiguriert werden.

Passwortrichtlinien und Fine-Grained Password Policies

Die Standard-Passwortrichtlinie gilt für alle Benutzer in der Domäne und wird über die Default Domain Policy konfiguriert:

  • Mindestlänge des Passworts

  • Maximales Passwortalter

  • Kennwortchronik (Anzahl alter Passwörter die nicht wiederverwendet werden dürfen)

  • Komplexitätsanforderungen

Fine-Grained Password Policies (FGPP) ermöglichen seit Windows Server 2008 R2 unterschiedliche Passwortrichtlinien für verschiedene Benutzergruppen. Admins können ein strengeres Passwort erhalten als normale Mitarbeiter.

GPO-Verwaltung

GPOs werden mit der Group Policy Management Console (GPMC) verwaltet. Per PowerShell:

# Neue GPO erstellen
New-GPO -Name "USB-Sperre"

# GPO mit OU verknüpfen
New-GPLink -Name "USB-Sperre" -Target "OU=Computer,DC=fisipedia,DC=de"

# GPO-Ergebnis für einen Benutzer anzeigen
gpresult /r

# GPO sofort anwenden (ohne Warten auf nächsten Zyklus)
gpupdate /force

Zusammenfassung

  • GPOs konfigurieren Windows-Computer und Benutzer zentral und automatisch

  • Verknüpfung mit Site, Domäne oder OU

  • Verarbeitungsreihenfolge LSDOU – später angewendete GPOs gewinnen bei Konflikt

  • Computerkonfiguration: gilt beim Systemstart. Benutzerkonfiguration: gilt bei Anmeldung

  • Sicherheitsfilterung und WMI-Filter schränken die Anwendung ein

  • Enforce überschreibt Block Inheritance

  • Default Domain Policy enthält domänenweite Passwortrichtlinien

  • Fine-Grained Password Policies ermöglichen unterschiedliche Richtlinien pro Gruppe