Lokaler Gruppenrichtlinien-Editor
Was ist der lokale Gruppenrichtlinien-Editor?
Der lokale Gruppenrichtlinien-Editor ist ein Snap-In für die Microsoft Management Console (MMC), das eine Benutzeroberfläche für die Verwaltung lokaler Gruppenrichtlinieneinstellungen auf einem Windows-Computer bietet. Die Einstellungen sind im Gruppenrichtlinienobjekt (GPO) des lokalen Computers enthalten, einer Sammlung von Einstellungen, die Computer- und Benutzerkonfigurationen auf dem lokalen System steuern.
Die Gruppenrichtlinie ist eine hierarchische Infrastruktur, die es IT-Administratoren ermöglicht, Einstellungen auf Windows-Computern zu konfigurieren. Die Konfigurationen werden durch Richtlinien gesteuert, die logisch in GPOs gruppiert sind. Eine dieser Gruppenrichtlinien ist Lokaler Computer, die auf jedem Windows-Computer definiert wird. Unabhängig davon, ob er Teil einer Active-Directory-Domäne ist oder nicht.
Um Einstellungen im GPO für den lokalen Computer zu verwalten, verwenden Administratoren das Snap-Ins Editor für lokale Gruppenrichtlinien. Das GPO enthält zwei Kategorien von Einstellungen:
1. Computerkonfiguration: Die Einstellungen gelten für alle Benutzer, die sich an dem Computer anmelden. Sie umfassen Richtlinien in Bezug auf Start- und Shutdown-Skripts, bereitgestellte Drucker, Systemsicherheit und Dienstqualität. Diese Kategorie enthält auch administrative Vorlagen für die Definition von Registrierungseinstellungen.
2. Benutzerkonfiguration: Die Einstellungen gelten für Benutzer, unabhängig davon, an welchem Computer sie sich anmelden. Sie umfassen spezifische Einstellungen für Windows und andere Software. Diese Kategorie enthält auch administrative Vorlagen für die Definition von Registrierungseinstellungen.
Wie funktioniert der lokale Gruppenrichtlinien-Editor?
Abbildung 1 zeigt den lokalen Gruppenrichtlinien-Editor mit dem erweiterten GPO Lokaler Computer. Die Einstellungen sind in hierarchischen Gruppen organisiert, durch die man im linken Bereich navigieren kann. Die Gruppe Zuweisung von Benutzerrechten ist ausgewählt (Computerkonfiguration/Windows-Einstellung/Sicherheitseinstellungen/Lokale Richtlinien/Zuweisung von Benutzerrechten). Die Richtlinien in dieser Gruppe werden im rechten Fensterbereich aufgelistet.
Mit dem Editor für lokale Gruppenrichtlinien konfigurieren Administratoren eine Vielzahl von Computer- und Benutzereinstellungen. Sie können Auditing aktivieren, festlegen, welche Skripts beim Starten oder Herunterfahren ausgeführt werden sollen, Richtlinien für öffentliche Schlüssel definieren, Softwareeinschränkungen festlegen, Richtlinien für öffentliche Windows-Schlüssel konfigurieren und eine Vielzahl andere Konfigurationen aktualisieren oder deaktivieren.
Im rechten Fenster zeigen Administratoren Richtlinien an und ändern sie. So aktualisiert ein Administrator beispielsweise die Richtlinie Lokale Anmeldung zulassen im Abschnitt Computerkonfiguration, indem er zur Gruppe Zuweisen von Benutzerrechten navigiert und auf die Richtlinie im rechten Fensterbereich doppelklickt. Dadurch wird das Dialogfeld Eigenschaften für diese Richtlinie geöffnet, wie in Abbildung 2 dargestellt.
In diesem Dialogfeld kann der Administrator Benutzer oder Gruppen hinzufügen oder entfernen, um zu steuern, wer sich am Computer anmelden darf. Der Administrator zeigt auch die Registerkarte Erklärung an, um mehr über die Richtlinie zu erfahren (siehe Abbildung 3).
Benutzer benötigen Administratorrechte, um den lokalen Gruppenrichtlinien-Editor zu verwenden. Das Snap-In ist in den meisten Windows-Editionen standardmäßig aktiviert. Die einzige Ausnahme ist die Windows Home Edition. Benutzer können es zu ihren Systemen hinzufügen, müssen dafür aber mehrere Schritte ausführen. Hierfür sollten sie die Windows-Dokumentation oder andere Ressourcen zu Rate ziehen.
Administratoren haben mehrere Möglichkeiten, den Editor für lokale Gruppenrichtlinien zu starten, auch wenn sie sich von einer Windows-Edition zur nächsten unterscheiden können. In Windows 11 muss ein Administrator zum Beispiel nur gpedit in das Windows-Suchfeld auf der Taskleiste eingeben und dann die Eingabetaste drücken. Diese Vorgehensweise ist jedoch spezifisch für das Standard-Lokalcomputer-GPO. Ein Administrator greift auch auf Lokalcomputer-GPOs für andere Computer oder für bestimmte Benutzer oder Gruppen zu, aber das erfordert einen separaten Prozess.
Um auf verschiedene GPOs zuzugreifen, muss der Administrator die MMC starten und dann ein Gruppenrichtlinienobjekt-Editor-Snap-In für jeden Computer, jede Gruppe oder jeden Benutzer, der/die einbezogen werden soll, hinzufügen. Abbildung 4 zeigt beispielsweise MMC mit zwei lokalen Computer-GPOs: eines für die Gruppe Administratoren und eines für das Benutzerkonto usr1.
In diesem Fall ist die Gruppe Public Key Polices (Richtlinien für öffentliche Schlüssel) für das GPO Local Computer\usr1 ausgewählt. Die Richtlinien in dieser Gruppe werden im rechten Bereich zusammen mit den beiden Untergruppen der Gruppe aufgelistet. Beide Gruppenrichtlinien für den lokalen Computer enthalten nur die Einstellungen für die Benutzerkonfiguration, da die Gruppenrichtlinien spezifisch für Benutzerkonten sind. Wenn ein Administrator ein Gruppenrichtlinienobjekt-Editor-Snap-In zur MMC hinzufügt, gelten die Einstellungen nur für den zugehörigen Computer, Benutzer oder die Gruppe.