Gruppenrichtlinien-Verwaltungskonsole (GPMC)
Was ist die Gruppenrichtlinien-Verwaltungskonsole (GPMC)?
Die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) ist ein Snap-In für die Microsoft Management Console, das eine grafische Benutzeroberfläche bereitstellt, mit der Active-Directory-Administratoren Gruppenrichtlinienobjekte (GPOs) von einer einzigen Konsole aus verwalten können.
Vor GPMC mussten Administratoren viele Tools verwenden, um Einstellungen zu erstellen, zu bearbeiten und zu importieren, GPOs zu sichern und zu verwalten und sie auf bestimmte Benutzer oder Computer in der Domäne anzuwenden. GPMC bietet einen Überblick über alle GPOs, Organisationseinheiten (OUs), Domänen und Standorte im gesamten Unternehmen und ermöglicht die Bearbeitung von Einstellungen innerhalb einzelner GPOs. Außerdem kombiniert GPMC die Funktionalität von Tools wie AD Users and Computers, AD Sites and Services, Resultant Set of Policy, Access Control List Editor und GPMC Delegation Wizard.
Für Entwickler enthält der GPMC eine Reihe von programmierbaren Schnittstellen für die Verwaltung von Gruppenrichtlinien mit Skripten oder C/C++, die das Erstellen, Sichern, Wiederherstellen, Importieren, Kopieren, Löschen und Umbenennen von GPOs, das Verknüpfen von GPOs und Filtern der Windows Management Instrumentation sowie das Ausführen verschiedener Berichtsaufgaben ermöglichen.
Was ist Enforce in der Gruppenrichtlinien-Verwaltungskonsole?
Enforce (erzwingen) ist eine Einstellung in der GPMC, die festlegt, ob die in einem GPO konfigurierten Richtlinieneinstellungen auf den Computern und Benutzern, die von diesen Einstellungen abgedeckt werden, aktiv erzwungen werden. Wenn die GPMC auf Enforce eingestellt ist, werden alle konfigurierten Richtlinienstellungen auf diese Computer und Benutzer angewendet. Wenn er nicht auf Enforce eingestellt ist, werden keine der Richtlinieneinstellungen des Gruppenrichtlinienobjekts angewendet, selbst wenn sie konfiguriert sind.
Gruppenrichtlinieneinstellungen werden standardmäßig von übergeordneten Containern an untergeordnete Container in einer hierarchischen Struktur vererbt. Wenn eine Einstellung das Gruppenrichtlinienobjekt eines untergeordneten Containers nicht definiert, erbt dieser die Einstellung vom Gruppenrichtlinienobjekt seines übergeordneten Containers.
Wenn ein GPO erzwungen wird, stellt es sicher, dass seine Einstellungen auf alle Benutzer und Computer innerhalb seines Geltungsbereichs angewendet werden, unabhängig von anderen widersprüchlichen GPOs, die mit übergeordneten Containern verknüpft sind.
Durch das Erzwingen eines GPOs wird für das GPO die Richtlinieneinstellung No override (kein Überschreiben) erstellt, die verhindert, dass andere mit übergeordneten Containern verknüpfte GPOs die Einstellungen des GPOs überschreiben. Wenn mehrere GPOs auf verschiedenen Ebenen in der Hierarchie erzwungen werden, hat das GPO mit der höchsten Erzwingungsebene Vorrang vor allen widersprüchlichen Einstellungen von GPOs auf niedrigerer Ebene.
Die Option Enforce muss mit Vorsicht verwendet werden, da sie zu unerwarteten Konsequenzen führen kann, insbesondere wenn sie nicht korrekt verwaltet wird. Organisationen sollten ein GPO nur dann erzwingen, wenn das erforderlich ist, um beispielsweise sicherzustellen, dass wichtige Einstellungen konsistent und konfliktfrei angewendet werden.
So öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole
Gehen Sie folgendermaßen vor, um die GPMC auf einem Windows-Gerät zu öffnen:
1. Drücken Sie die Windows-Taste und R, um das Dialogfeld Run (ausführen) zu öffnen.
2. Geben Sie im Dialogfeld Run den Befehl gpmc.msc ein und drücken Sie die Eingabetaste oder klicken Sie auf OK.
3. Das GPMC-Fenster wird geöffnet und zeigt eine hierarchische Ansicht der AD-Gesamtstruktur und der Domänen an.
Alternativ können Sie GPMC auch mit der folgenden Methode öffnen:
1. Klicken Sie auf das Menü Start. Suchen Sie nach Gruppenrichtlinien-Verwaltungskonsole oder GPMC.
2. Klicken Sie auf das Suchergebnis, um die GPMC zu öffnen.
So bearbeiten Sie GPO in Active Directory
Gehen Sie folgendermaßen vor, um ein GPO in AD zu bearbeiten:
1. Öffnen Sie die GPMC, indem Sie gpmc.msc in das Dialogfeld Run eingeben oder im Startmenü nach Group Policy Management Console suchen.
2. Navigieren Sie zum GPO-Ordner für die Domäne oder OU und suchen Sie das GPO, das Sie bearbeiten möchten.
3. Klicken Sie mit der rechten Maustaste auf das GPO, das Sie bearbeiten möchten, und wählen Sie im Kontextmenü Edit (bearbeiten). Dadurch wird das GPO im Gruppenrichtlinienobjekt-Editor geöffnet.
4. Sie können durch die verschiedenen Richtlinienabschnitte navigieren, indem Sie die Ordner im linken Bereich des Gruppenrichtlinien-Editors erweitern. Jeder Richtlinienabschnitt enthält eine Reihe von Richtlinien, die für das GPO konfiguriert werden können.
5. Um eine Richtlinieneinstellung zu bearbeiten, doppelklicken Sie darauf, oder klicken Sie mit der rechten Maustaste darauf und wählen Sie Edit. Dadurch wird das Dialogfeld für die Richtlinienkonfiguration geöffnet, in dem Sie die Einstellung ändern können.
6. Nachdem Sie die Richtlinieneinstellungen geändert haben, klicken Sie auf OK, um die Änderungen zu speichern und das Konfigurationsdialogfeld zu schließen.
Wenn Sie die Bearbeitung abgeschlossen haben, schließen Sie den Gruppenrichtlinienobjekt-Editor und die GPMC. Es ist wichtig zu beachten, dass die Änderungen erst dann wirksam werden, wenn das GPO mit einer Site, Domäne oder OU verknüpft ist. Alle betroffenen Benutzer oder Computer müssen außerdem ihre Gruppenrichtlinie neu starten oder aktualisieren.