Neue Security-Funktionen unter der Oberfläche

Gruppenrichtlinien unter Windows Vista einrichten und anwenden

06.07.2007 | Autor / Redakteur: Manuela Reiss / Stephan Augsten

Zu den wichtigsten Instrumenten für die zentrale Administration von Einstellungen für Benutzer und Computer in Unternehmensnetzwerken gehören Gruppenrichtlinien. Auf den ersten Blick ändert sich mit Windows Vista hinsichtlich der Verwaltung von Gruppenrichtlinien nicht allzu viel. Unter der Oberfläche aber ist einiges Neues zu entdecken.

Mit der Einführung von Windows 2000 entwickelten sich die ehemaligen Systemrichtlichtlinien, die unter Windows NT eher ein Schattendasein führten, als Gruppenrichtlinien zu einem der wichtigsten Administrationswerkzeuge. Umso mehr ist zu bedauern, dass immer noch viele Administratoren nur rudimentär damit arbeiten, was sicherlich auch auf deren Komplexität zurückzuführen ist. Eine genauere Beschäftigung aber lohnt sich, denn Gruppenrichtlinien bieten eine Fülle von Möglichkeiten.

Bereits ein Blick in den Gruppenrichtlinieneditor eines Windows-XP-Rechners vermittelt einen Eindruck von der Vielschichtigkeit der Gruppenrichtlinien. Möchte man sich die Mühe machen, kann man hier über 1.700 Richtlinien zählen, mit denen unter anderem lokale Benutzerrechte, Konten- und Kennworteinstellungen sowie Zugriffsmöglichkeiten auf die lokalen Systemkomponenten gesteuert werden können.

Gespeichert werden die Gruppenrichtlinieneinstellungen in den so genannten „Gruppenrichtlinienobjekten“ (Group Policy Objects – GPO). Jeder Computer unter Windows XP und Windows 2000 verfügt über genau einen Satz lokal gespeicherter Richtlinieneinstellungen, der als „Lokales Gruppenrichtlinienobjekt“ bezeichnet wird und für jeden gilt, der sich lokal am Computer anmeldet.

Zentrale Gruppenrichtlinien

In einer Active-Directory-Umgebung stehen zusätzlich „Nichtlokale Gruppenrichtlinienobjekte“ zur Verfügung, die in Active Directory bzw. auf den Domänencontrollern gespeichert werden. Diese ermöglichen es, Richtlinien zentral auf Standorte, Domänen und Organisationseinheiten anzuwenden.

Dabei ist zu beachten, dass sich Gruppenrichtlinien trotz ihres Namens nicht auf Gruppen, sondern immer nur auf Computer- und Benutzerkonten beziehen. Dies ist ein häufiges Missverständnis. Was aber verändert sich in Bezug auf die Gruppenrichtlinienverwaltung, wenn die ersten Windows-Vista-Clients Einzug in das Unternehmensnetzwerk halten?

Mehr Flexibilität

Solange Clientrechner in einem Unternehmensnetzwerk ins Active Directory eingebunden sind, spielen die lokalen Gruppenrichtlinien für diese im Normalfall keine Rolle. Werden hingegen spezielle Systeme, wie beispielsweise allein stehende Kioskrechner eingesetzt, sind die lokalen Gruppenrichtlinien nützlich. Bislang aber stellte die Einschränkung auf ein Gruppenrichtlinienobjekt eine entscheidende Hürde dar, denn eine differenzierte Verwaltung von Einstellungen für unterschiedliche Benutzer ist damit nicht möglich.

Änderungen an den Einstellungen wirken sich immer auf alle lokalen Konten (Benutzer und Administratoren) aus, die diesen Computer verwenden. Genau dieses Problem adressiert Windows Vista. Mit dem neuen Betriebssystem hat Microsoft das Konzept der Multiple Local Group Policy Objects (MLGPO) eingeführt. Mit Hilfe dreier unterschiedlicher Gruppenrichtlinien-Objekttypen ist es möglich, differenzierte Gruppenrichtlinienobjekte für unterschiedliche Benutzer einzurichten.

  • Lokale Gruppenrichtlinie: Das lokale Gruppenrichtlinienobjekt wird auf alle am Computer angemeldeten Benutzer angewendet und entspricht damit dem früherer Versionen.
  • Lokale Gruppenrichtlinie Administratoren/Nichtadministratoren: Die Einstellungen dieser beiden Gruppenrichtlinienobjekte überschreiben die der lokalen Gruppenrichtlinie und gelten jeweils ausschließlich für die administrativen beziehungsweise die nicht administrativen Mitglieder. Per Definition kann sich ein Benutzerkonto nicht in beiden Gruppen befinden.
  • Benutzerspezifische lokale Gruppenrichtlinie: Die höchste Priorität innerhalb der lokalen Gruppenrichtlinien schließlich haben die benutzerspezifischen Einstellungen, die in separaten Gruppenrichtlinienobjekten definiert werden können.

Ist der Rechner Mitglied einer Active-Directory-Domäne, dann werden die lokalen Gruppenrichtlinien wie auch bei den Vorgängerversionen vor den zentralen Einstellungen verarbeitet und haben somit eine geringere Priorität als diese (die zuletzt angewendete Richtlinie gilt). Neu bei Vista ist, dass die Verarbeitung lokaler Gruppenrichtlinien auch vollständig deaktiviert werden kann.

Aus ADM wird ADMX

Seit der Einführung der Gruppenrichtlinien mit Windows 2000 nehmen die administrativen Vorlagen eine Sonderstellung ein. Diese dienen zur Konfiguration von Registry-Einstellungen, was sie von allen anderen Richtlinien unterscheidet. Die Basis hierfür bilden Vorlagendateien (als ADM-Dateien bezeichnete Textdateien) die festlegen, welche Einstellungen in der Registry mithilfe des Gruppenrichtlinienobjekt-Editors geändert werden können. Sie ermöglichen es, die Funktionalitäten von Gruppenrichtlinien um fast jeden beliebigen Registrykey zu erweitern.

Mit Windows Vista führt Microsoft die ADMX-Dateien und damit ein neues Format für die registrierungsbasierten Richtlinien ein. Zum Lieferumfang von Windows Vista gehören ca. 130 ADMX-Dateien. Diese basieren auf XML und ersetzen die bisherigen ADM-Dateien. ADMX-Dateien bieten vor allem den Vorteil, dass sie im Gegensatz zu den ADM-Dateien sprachneutral sind. Sie müssen zwar noch mit einer sprachspezifischen ADML-Datei verbunden werden, können damit aber auf beliebige Sprachversionen angewendet werden.

Außerdem müssen ADMX-Dateien anders als ADM-Dateien nicht mehr einzeln in jedes Gruppenrichtlinienobjekt geladen werden, was bei Verwendung vieler ADM-Dateien zu einem nicht unerheblichen Speicher-Overhead führt. Stattdessen verwaltet Vista ADMX-Dateien in einem zentralen Speicher. Das Management registrierungsbasierter Richtlinien wird damit wesentlich vereinfacht. So genügt es beispielsweise zur Aktualisierung einer ADMX-Datei, die aktualisierte Datei im zentralen Speicher zu sichern.

In einer Domäne muss der zentrale Speicherort im Ordner SYSVOL auf einem Domänencontroller einmalig für jede Active-Directory-Domäne manuell eingerichtet werden. Hierbei spielt es keine Rolle, ob es sich um einen Windows-2000-, Windows-Server-2003- oder Longhorn-Server handelt. Die Vorteile können also bereits jetzt genutzt werden.

Jedoch können nur Computer mit Windows Vista und nur diejenigen, die einer Active-Directory-Domäne angehören, das Vorhandensein eines zentralen Speichers überprüfen und die dort gespeicherten Dateien verwenden. Wenn der zentrale Speicherort nicht verfügbar ist, werden die lokal gespeicherten Dateien verwendet, die sich im Ordner \Windows\PolicyDefinitions befinden. Die zugehörigen ADML-Dateien sind in sprachspezifischen Unterverzeichnissen gespeichert (beispielsweise de-DE oder en-US).

ADM und ADMX gemeinsam im Einsatz

ADMX-Dateien können derzeit nur von Windows Vista verarbeitet werden. Der Gruppenrichtlinienobjekt-Editor zeigt die Einstellungen aus den ADMX-Dateien automatisch wie bisher im Container „Administrative Vorlagen“ an – egal, ob diese lokal oder im Netzwerk gespeichert sind. Zusätzlich ist es problemlos möglich, auch weiterhin eigene ADM-Dateien zu verwenden. Diese werden im Unterordner „Klassische Administrative Vorlagen“ (ADM) aufgelistet.

Zu beachten ist jedoch, dass die vom System gelieferten und durch ADMX-Dateien ersetzten ADM-Dateien nicht mehr angezeigt werden. Hierbei handelt es sich um die Dateien System.adm, Inetres.adm, Conf.adm, Wmplayer.adm und Wuau.adm. Auch Anpassungen in diesen Dateien werden ignoriert.

Die Verbesserungen liegen im Detail

Wie bei den meisten Komponenten von Windows Vista wurden auch bei den Gruppenrichtlinien viele kleine Details neu hinzugefügt oder verbessert. Dazu gehört beispielsweise, dass die Gruppenrichtlinien-Verwaltungskonsole (GPMC), die bei Windows XP und Windows Server 2003 noch als zusätzlicher Download zur Verfügung stand, nun direkt in Windows Vista integriert ist.

Neu sind auch die etwa 800 Richtlinieneinstellungen. Diese befinden sich verstreut sowohl in den altbekannten Kategorien als auch in einigen neuen, die mit Vista eingeführt wurden.

Zu letzteren gehört beispielsweise die Kategorie „Geräteinstallation“. Diese enthält Richtlinien, mit denen differenziert gesteuert werden kann, welche USB-Geräte bzw. -Typen zugelassen werden. Zudem befinden sich bei den neuen Vista-Funktionen – wie beispielsweise der Benutzerkontensteuerung (User Access Control – UAC) und der erweiterten Firewall – neue Kategorien und eine Reihe von Richtlinien.

Fazit

Zu den wichtigsten Neuerungen gehört sicherlich die Bereitstellung mehrerer lokaler Gruppenrichtlinienobjekte. Allerdings muss die Konfiguration einzeln für jeden Computer erfolgen, was einen erheblichen Verwaltungsaufwand bedeuten kann. Zur Absicherung einzelner spezieller Systeme steht damit aber endlich eine funktionale Lösung zur Verfügung.

Neu und richtungweisend ist die Einführung der XML-basierten ADMX-Dateien. Da sowohl Windows Vista als auch der zukünftige Longhorn Server aber auch die konventionellen ADM-Dateien unterstützen, ist ein gemischter Einsatz in heterogenen Umgebungen problemlos möglich.

Dass die Vista-spezifischen Gruppenrichtlinien nur auf Computern unter Windows Vista bearbeitet und verwendet werden können, ist nachvollziehbar, aber bedauerlich. Hier bleibt nur das Warten auf den Longhorn Server, der eine zentrale Anwendung der neuen Richtlinien innerhalb von Active Directory ermöglichen wird.

Dieser Artikel stammt aus der März/April-Ausgabe unserer Fachzeitschrift INFORMATION SECURITY. Wenn Sie Beiträge wie diesen und weitere hochklassige Analysen und Interviews in Zukunft regelmäßig und kostenlos nach Hause geliefert bekommen möchten, registrieren Sie sich jetzt bei Security-Insider.de (Link unten). Mit dem Experten-Know-how von INFORMATION SECURITY finden Sie dann künftig mehr Zeit für die wichtigen Dinge Ihres Jobs!

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2005907 / Betriebssystem)