wachiwit - stock.adobe.com
Sechs Best Practices für Gruppenrichtlinien in Windows 10
Gruppenrichtlinien sind ein wichtiges Werkzeug für Windows-Administratoren. In diesem Artikel haben wir sechs Best Practices für ihre Verwaltung in Windows 10 zusammengestellt.
Gruppenrichtlinien sind ein praktisches Werkzeug für Desktop-Administratoren. Doch bei ineffizienter Nutzung können sie ihnen auch einiges an Kopfschmerzen bereiten.
Gruppenrichtlinien sind die erste Wahl, wenn es darum geht, Einstellungen in Windows durchzusetzen. Daher ist es von entscheidender Bedeutung, dass Sie als Administrator überlegt vorgehen und dass Sie Richtlinien auf eine übersichtliche und reibungslose Weise erstellen und pflegen.
Wenn es um Windows-10-Desktops geht, sollten Sie zunächst festlegen, was Sie durch den Einsatz von Gruppenrichtlinien erreichen wollen. In den meisten Fällen konfigurieren Administratoren Gruppenrichtlinien mit dem Ziel, den Zustand und die Sicherheit des Betriebssystems aufrechtzuerhalten.
Gruppenrichtlinieneinstellungen kommen am häufigsten für das Durchsetzen von Kennwortanforderungen zum Einsatz, aber es gibt noch viele andere potenzielle Verwendungszwecke. Sie können zum Beispiel mit Gruppenrichtlinieneinstellungen den Benutzerzugriff auf einige der sensibleren Bereiche des Betriebssystems, wie die Systemsteuerung oder die Eingabeaufforderung, blockieren. Sie können Gruppenrichtlinien auch verwenden, um zu verhindern, dass Benutzer Wechselmedien anschließen, oder ausführbaren Code von Wechselmedien ausführen. Das sind jedoch nur einige wenige Beispiele für die tausenden Einstellungsmöglichkeiten, die Gruppenrichtlinien Ihnen bieten.
Es gibt eine Vielzahl von bewährten Verfahren für die Verwendung von Gruppenrichtlinieneinstellungen mit Windows 10-Desktops.
1. Lokale Sicherheitsrichtlinien verwenden
Sie sollten lokale Sicherheitsrichtlinien in Verbindung mit Sicherheitsrichtlinien auf Active-Directory-Ebene verwenden. Letztere gelten je nach Konfiguration im gesamten Standort, der Organisationseinheit (Organisational Unit, OU) oder der Domäne. Die lokalen Richtlinien tragen dazu bei, die Sicherheit von Windows-10-Rechnern zu gewährleisten, wenn Windows sich nicht bei der Domäne anmelden kann.
2. Mit einem Image einheitliche Konfigurationen sicherstellen
Ein weiteres bewährtes Verfahren für Gruppenrichtlinie ist das Erstellen von Windows 10 Images, anhand derer alle zukünftigen Windows 10 Desktops bereitgestellt werden. Auf diese Weise können Sie sicherstellen, dass die Desktops einheitlich konfiguriert sind, einschließlich der lokalen Sicherheitsrichtlinie.
Im Laufe der Zeit müssen Sie die vorgenommenen Konfigurationen unweigerlich immer wieder anpassen. Sie sollten deshalb am Besten in ein Tool eines Drittanbieters investieren, das in regelmäßigen Abständen nach abweichenden Konfigurationen suchen kann.
Das Microsoft Security Compliance Toolkit enthält zwar ein Tool namens Microsoft Policy Analyzer. Mit diesem Tool können Sie auch die lokale Sicherheitsrichtlinie eines Desktops mit einer Basisgruppenrichtlinie vergleichen. Hierbei handelt es sich jedoch um einen manuellen Prozess und das Tool ist nicht dafür ausgelegt, Desktops in großen Mengen zu untersuchen. Tools von Drittanbietern eignen sich deshalb besser für alles, was über die gelegentliche, manuell durchführbare Evaluierung hinausgeht.
3. Gruppenrichtlinien nach Funktionen trennen
Anstatt eine große monolithische Gruppenrichtlinie zu schaffen, die alle Einstellungen des Betriebssystems kontrolliert, sollten Sie in Betracht ziehen, eine Reihe kleinerer Richtlinien zu erstellen, die sich auf bestimmte Funktionen konzentrieren. Beispielsweise können Sie eine Gruppenrichtlinie erstellen, die Browsereinstellungen steuert und eine weitere Gruppenrichtlinie, die AppLocker steuert und so weiter. Das Trennen von Gruppenrichtlinien nach Funktionen führt zwar zu leichten Verzögerungen für die Benutzer bei der Anmeldung, kann aber den Fehlerbehebungsprozess erheblich vereinfachen.
4. Vererben und Durchsetzen von Richtlinien genehmigen
Sie sollten niemals das Vererben von Richtlinien oder ihre Durchsetzung in den Konfigurationen sperren, wenn dies nicht absolut notwendig ist; sie erschweren sich damit in vielen Fällen die Suche nach Fehlern.
5. Widersprüchliche Einstellungen vermeiden
Sie können sich wahrscheinlich denken, dass widersprüchliche Einstellungen zu Problemen führen. Konfigurieren Sie aber in mehreren Schritten Gruppenrichtlinien auf vielen Ebenen, unterlaufen solche Fehler schnell. Ein Administrator kann zum Beispiel eine Richtlinie auf Domänenebene erstellen, die 8-stellige Passwörter erfordert, dann aber eine Richtlinie auf OU-Ebene erstellen, die 12-stellige Passwörter erfordert.
Wenn Widersprüche auftreten, entscheidet Windows anhand der Hierarchie, welche Gruppenrichtlinie es durchsetzt. Die Gruppenrichtlinien-Verwaltungskonsole enthält eine Schnittstelle, mit der Sie herausfinden können, wo eine bestimmte Richtlinieneinstellung angewendet wurde, aber Ihr Leben wird viel einfacher, wenn Sie die Erstellung widersprüchlicher Einstellungen von Anfang an vermeiden.
6. Änderungsmanagement formalisieren
Nicht nur aus diesem Grund ist es wichtig, einen formalisierten Änderungsmanagementplan für Gruppenrichtlinieneinstellungen zu haben und Änderungen zu dokumentieren. Andernfalls passiert es schnell, dass Administratoren spontan Konfigurationen anpassen, ohne diese zu dokumentieren.
Wenn andere, ohne davon zu wissen, ihrerseits an Gruppenrichtlinien arbeiten, kann das unvorhergesehene Folgen haben. Microsoft bietet ein Tool namens Advanced Group Policy Management an, das bei der Kontrolle und Planung von Änderungen an Gruppenrichtlinien helfen kann.