hywards - Fotolia

Die Sicherheit mit überwachten Gruppenrichtlinien verbessern

Gruppenrichtlinien gehören zu den wichtigen Funktionen in Windows-Umgebungen, wenn es darum geht, automatische Konfigurationen zu verteilen, und die Sicherheit zu erhöhen.

Werden Gruppenrichtlinien nicht korrekt umgesetzt, gibt es verschiedene Vorgehensweisen, um den Fehler zu finden und zu beheben. Vorab gilt es zu klären, ob die Rahmenbedingungen stimmen.

Natürlich müssen die Domänencontroller fehlerfrei funktionieren und sollten keine Probleme mit der Replikation haben. Das lässt sich mit dcdiag oder repadmin überprüfen.

Selbstverständlich muss auch die Namensauflösung im Netzwerk funktionieren. Und die Ereignisanzeige sollte gleichfalls überprüft werden. Hier sind oft Fehler zu sehen, die mit dem Active Directory und den Domänencontrollern zu tun haben.

Mit Tools Fehler bei Gruppenrichtlinien finden

Wenn Gruppenrichtlinien nicht korrekt funktionieren, kann es daran liegen, dass die Vererbung für eine Gruppenrichtlinie deaktiviert, oder das Erzwingen einer Richtlinie aktiviert ist. Das ist in der Gruppenrichtlinienverwaltungskonsole zu sehen. Hier helfen auch interne Tools bei der Überprüfung.

Mit gpresult >gp.txt lassen sich die Einstellungen, die über Gruppenrichtlinien umgesetzt werden, in einer Textdatei speichern. Neben der Möglichkeit, die Informationen als Textdatei zu speichern, kann der Bericht auch als HTML-Datei ausgegeben werden. Dazu wird die Syntax gpresult /h <HTML-Datei> verwendet.

Zusätzlich sollte noch das Tool Richtlinienergebnissatz verwendet werden. Dieses wird mit rsop.msc gestartet. Dieses Tool  zeigt die Einstellungen der Gruppenrichtlinien an. So lässt sich nachverfolgen, welche Gruppenrichtlinieneinstellungen funktionieren, und wo Probleme auftauchen. Eine erneute Abfrage wird mit Aktion\Abfrage aktualisieren gestartet.

Mit dem Richtlinienergebnissatz werden die Einstellungen der Gruppenrichtlinien überprüft.
Abbildung 1: Mit dem Richtlinienergebnissatz werden die Einstellungen der Gruppenrichtlinien überprüft.

Fehlerbehebung mit Group Policy Log

Wenn Gruppenrichtlinien nicht korrekt funktionieren, kann das kostenlose Microsoft Tool Group Policy Log View hilfreiche Dienste leisten. Das Tool wird auf dem Rechner installiert, auf dem die Ausführung der Gruppenrichtlinien getestet werden sollen. Um eine Analyse der Gruppenrichtlinien durchzuführen, wird das Tool mit der Syntax gplogview -o gpevents.txt gestartet.

In größeren Netzwerken können Administratoren das Tool über ein Anmeldeskript starten, und die Analysedatei in einer Freigabe im Netzwerk speichern. Es ist mit dem Tool möglich, für jeden PC, auf dem das Tool gestartet wird, eine eigene Datei zu erstellen. Die Syntax dazu sieht zum Beispiel folgendermaßen aus:

Gplogview -o \\<Server>\<Freigabe>\%computername%-gpevent.txt

Grafisch ansprechender ist ein HTML-Bericht, mit dem sich Fehler schneller finden lassen:

Gplogview -h -o \\<Server>\<Freigabe>\%computername%-gpevent.html

Wer umfassend die Ausführung von Gruppenrichtlinien auf einem Server oder Computer testen will, zum Beispiel um die Leistung zu messen oder Fehler in Echtzeit zu finden, kann das Tool auch im Monitormodus starten. In diesem Fall wertet es in Echtzeit die Umsetzung von Gruppenrichtlinien auf dem PC aus:

Gplogview -m

Anschließend kann in einem weiteren Eingabeaufforderungsfenster die Ausführung der Gruppenrichtlinien erneut gestartet werden. Dazu steht unter Windows der Befehl gpupdate /force zur Verfügung. Das Fenster, in dem Gplogview gestartet wurde, zeigt dann die Ausführung der Richtlinien an.

Gruppenrichtlinienmodellierung

Mit der Gruppenrichtlinienmodellierung aus der GPMC (Gruppenrichtlinien-Verwaltungskonsole, Group Policy Management Console) lassen sich die Auswirkungen von Gruppenrichtlinien simulieren. Durch diese Funktion können die Einstellungen vor der eigentlichen Inbetriebnahme einer Gruppenrichtlinie ausführlich getestet werden. Das vermeidet Probleme bei der Umsetzung von Gruppenrichtlinien.

Gruppenrichtlinien erzwingen und Priorität erhöhen

Da mehrere GPOs mit einer OU (Organisationseinheit) verknüpft sein können, lässt sich auch die Priorität von Richtlinien so setzen, dass eine Richtlinie vor einer anderen gestartet wird. Außerdem besteht die Möglichkeit, eine Einstellung in einer Richtlinie zu setzen und in einer anderen Richtlinie wieder zurückzunehmen, zum Beispiel in einer untergeordneten OU.

Es besteht auch die Möglichkeit, die Erzwingung einer Einstellung zu veranlassen. Das heißt, selbst wenn in untergeordneten OUs eine Einstellung wieder rückgängig gemacht wird, bleibt die Einstellung so gesetzt, wie in der erzwungenen Richtlinie konfiguriert.

Gruppenrichtlinien lassen sich erzwingen, damit kann ein Überschreiben verhindert werden.
Abbildung 2: Gruppenrichtlinien lassen sich erzwingen, damit kann ein Überschreiben verhindert werden.

Durch die Vererbung von Gruppenrichtlinien besteht die Möglichkeit, dass die Einstellung einer Gruppenrichtlinie durch eine andere Gruppenrichtlinie, die in einer untergeordneten OU definiert ist, überschrieben wird. Administratoren können eine Gruppenrichtlinie erzwingen lassen, indem sie auf der rechten Seite der Gruppenrichtlinienverwaltung auf der Registerkarte Verknüpfte Gruppenrichtlinienobjekte die Verknüpfung mit der rechten Maustaste anklicken. Im daraufhin geöffneten Kontextmenü wird der Eintrag Erzwungen ausgewählt.

Für manche Gruppenrichtlinien ist es unter Umständen sinnvoll, die standardmäßige Vererbung zu deaktivieren. Wenn zum Beispiel in allen OUs einer Domäne Einstellungen weitergegeben werden sollen, in einer bestimmten OU aber nicht, kann in dieser OU die Verwendung der Richtlinie deaktiviert werden, auch wenn diese mit der ganzen Domäne verknüpft ist.

Registry-Einstellungen von Gruppenrichtlinien ermitteln

Eine Möglichkeit, um nach Gruppenrichtlinien-Einstellungen zu suchen, ist das Angebot Group Policy Search. Hier kann innerhalb einer Baumstruktur nach bestimmten Einstellungen gesucht werden. Die Darstellung kann auch in deutscher Sprache erfolgen.

Wird auf der linken Seite eine Richtlinie in der Baumstruktur ausgewählt, erscheinen die Details inklusive der genauen Bezeichnung sowie die Registry-Schlüssel und -Werte, die geändert werden. Das ist insbesondere dann hilfreich, wenn entsprechende Einstellungen auf Windows-Rechnern angewendet werden sollen, die ihrerseits gar keine Gruppenrichtlinien unterstützen. Zudem kann man in diesem Angebot auch nach Gruppenrichtlinien suchen.

Das Tool NIT-GPOSearch liest hingegen die Gruppenrichtlinien-Vorlagen im Netzwerk ein und erlaubt die Suche nach bestimmten Einstellungen. Wird als Suchbegriff beispielsweise „Desktop“ eingegeben, erhält man alle relevanten Einstellungen, die für die Konfiguration des Desktops von Systemen in Frage kommen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Windows Server: Die Sicherheit mit Gruppenrichtlinien erhöhen

Windows 10: Best Practices für mehr Sicherheit

Organisationseinheiten im Active Directory besser schützen

Erfahren Sie mehr über IT-Sicherheits-Management