Der Inside-Out-Sicherheits Blog Blog   /  

12 Best Practices für Gruppenrichtlinien: Einstellungen und Tipps für Administratoren

12 Group Policy Best Practices: Settings and Tips for Admins | Varonis

Die Active-Directory-Gruppenrichtlinie ist ein grundlegender Baustein von Unternehmensnetzwerken. Gruppenrichtlinienobjekte (Group Policy Objects, GPOs) konfigurieren Einstellungen, Verhalten und Berechtigungen für Benutzer und Computer, die mit der Active-Directory-Domäne verbunden sind. Unabhängig davon, ob Sie eine neue Domäne erstellen oder eine bestehende Domäne verwalten möchten, können Sie die Best Practices für Gruppenrichtlinien befolgen, um eine effiziente Bereitstellung zu gewährleisten.

In diesem Artikel erfahren Sie mehr über 12 Best Practices für Gruppenrichtlinien und Tipps für ihre Verwaltung.

Eine Einführung in die Bearbeitung von Gruppenrichtlinien finden Sie in Jeff Petters’ Artikel Leitfaden zum Gruppenrichtlinieneditor: Zugriffsoptionen und Verwendung.

Tipp 1. Minimieren Sie Änderungen an den Standardrichtlinien

Active Directory enthält zwei Standardrichtlinien: die Standarddomänenrichtlinie und die Standard-Domänencontrollerrichtlinie. Die folgende Abbildung zeigt die beiden Richtlinien und wo Active Directory sie in Bezug auf die Domäne verknüpft.


Bild: default_policies.png

 Standarddomänenrichtlinie

Die Standarddomänenrichtlinie wendet Einstellungen auf Domänenebene an, die alle Benutzer und Computer betreffen. Auch wenn es verlockend ist, hier domänenweite Einstellungen vorzunehmen, sollten Sie das eher vermeiden. In der Standarddomänenrichtlinie sollte nur Folgendes festgelegt werden:

  • Passwortrichtlinie
  • Richtlinie zur Sperrung von Domänenkonten
  • Kerberos-Richtlinie für die Domäne

Standard-Domänencontrollerrichtlinie

Die Standard-Domänencontrollerrichtlinie wendet Einstellungen für die Domänencontroller in der Active-Directory-Umgebung an. Sie ist mit einer speziellen Domänencontroller-Organisationseinheit (Organizational Unit, OU) verknüpft. Die OU des Domänencontrollers ist eine integrierte, geschützte OU, in der Active Directory alle Computerkonten der Domänencontroller ablegt. Die Standard-Domänencontrollerrichtlinie sollte nur die folgenden Konfigurationen festlegen:

  • Richtlinie zur Vergabe von Benutzerrechten
  • Audit-Richtlinie

Tipp 2. Minimieren Sie GPOs auf der Stammdomänenebene

Wie bereits im vorherigen Tipp erwähnt, befindet sich die Standarddomänenrichtlinie auf der Stammdomänenebene. Sie sollten möglichst wenige weitere GPOs benutzen, die auf der Stammdomänenebene verknüpft sind, da diese Richtlinien für alle Benutzer und Computer in der Domäne gelten. Wenn Sie eine andere Richtlinie auf Domänenebene benötigen, erstellen und verknüpfen Sie ein neues GPO über der Standardrichtlinie.

Tipp 3. Organisieren Sie Ihre OU-Struktur

Eine gute OU-Struktur erleichtert die Verwaltung und Fehlerbehebung bei mehreren Gruppenrichtlinien. Vermeiden Sie vor allem die Vermischung verschiedener Arten von Active-Directory-Objekten (wie Benutzer und Computer) in derselben OU. Trennen Sie stattdessen Benutzer und Computer in separate OUs. Sie können diese OUs sogar nach Abteilung organisieren. Durch die Trennung von Benutzern und Computern ist es einfacher, Computerrichtlinien nur auf die Computer und Benutzerrichtlinien nur auf die Benutzer anzuwenden.

Hier ist beispielsweise eine Struktur mit zwei verschiedenen OUs der obersten Ebene für Benutzer und Computer. Jede Struktur enthält dann OUs für bestimmte Abteilungen.

Bild: ou_structure_1.png

Eine weitere Methode besteht darin, auf höchster Ebene Domänen zu jeder Abteilung zuzuweisen und dann separate OUs für Benutzer und Computer zu erstellen. Hier ist ein Beispiel für die Vertriebsabteilung.

Bild: ou_structure_2.png

Tipp 4. GPOs auf OU-Stammebene verknüpfen

Wenn Ihre OU-Struktur eingerichtet ist, können Sie mit der Verknüpfung von GPOs beginnen. Mit verknüpften GPOs auf der obersten Ebene können untergeordnete OUs die jeweiligen Einstellungen erben. Diese Methode vermeidet die Verknüpfung desselben GPOs mit mehreren OUs. Das folgende Bild zeigt beispielsweise das GPO für „Computer - Security Settings“ (Computer - Sicherheitseinstellungen), das mit der Stammdomäne von Corp Computers verknüpft ist. Dieses GPO gilt für alle Computer in der Organisation.

Ebenso gilt „User - Microsoft Office Settings“ (Benutzer - Microsoft-Office-Einstellungen) für alle Benutzer in der Organisation. Führungskräfte benötigen jedoch bestimmte individuelle Einstellungen, die für andere Abteilungen nicht gelten sollten. Daher verknüpfen Sie das GPO „User - Executives Custom Settings“ (Benutzer – Führungskräfte, benutzerdefinierte Einstellungen) mit der jeweiligen OU und verhindern so, dass die Einstellungen auf andere Benutzer angewendet werden. 

Bild: gpo_linking.png

Tipp 5. Vermeiden Sie die Blockierung der Richtlinienvererbung und -durchsetzung

Das Blockieren der GPO-Vererbung auf OU-Ebene verhindert, dass Richtlinien auf höherer Ebene, z. B. von einer übergeordneten OU oder der Stammdomäne, angewendet werden. Die Richtliniendurchsetzung stellt sicher, dass eine spätere Richtlinie die GPO-Einstellungen und -Konfiguration nicht überschreibt.

Durch diese Methoden wird die Fehlerbehebung mitunter verwirrend. Sie sind sich möglicherweise nicht bewusst, dass eine bestimmte Richtlinie blockiert ist oder eine höhere Richtlinie durchgesetzt wird. Wenn eine Richtlinie auf höherer Ebene durchgesetzt wird, später jedoch durch Vererbung blockiert wird, hat die durchsetzte Richtlinie Vorrang.

Tipp 6. Löschen Sie GPO-Verknüpfungen, anstatt sie zu deaktivieren

Wenn Sie ein GPO aus einer OU entfernen möchten, löschen Sie die Verknüpfung, anstatt das GPO zu deaktivieren. Wenn Sie eine Verknüpfung entfernen, wird das GPO selbst nicht gelöscht. Stattdessen wird so sichergestellt, dass die Einstellungen nicht mehr angewendet werden. Wenn Sie ein GPO deaktivieren, stoppt Active Directory die Verwendung des GPO in der gesamten Domäne. Das kann zu Problemen mit Objekten in einer anderen OU führen, da die Objekte die Einstellungen nicht mehr erhalten.

Tipp 7. Verwenden Sie beschreibende GPO-Namen

Verwenden Sie beschreibende Namen, damit Sie den Zweck von GPOs schnell erkennen können. Wenn Sie auf Tipp 4 zurückdenken, sehen Sie, dass die GPO-Namen mit „User“ „Computer“ anfangen, um die in der Richtlinie konfigurierten Einstellungen anzugeben. Der Richtlinienname zeigt dann den Zweck der Richtlinie an, z. B. Konfiguration von „Microsoft Office oder der Computersicherheitseinstellungen.

Tipp 8. Deaktivieren Sie nicht benutzte Computer- und Benutzerkonfigurationen

Fortsetzung von Tipp 7: Wenn eine Richtlinie nur Computer- oder Benutzereinstellungen enthält, deaktivieren Sie die anderen Konfigurationseinstellungen. Diese Aktion kann die GPO-Verarbeitungszeit ein wenig erhöhen, da der Computer oder das Benutzerkonto sich nicht um Einstellungen kümmern, die nicht zutreffen.

So deaktivieren Sie Benutzer- oder Computerkonfigurationseinstellungen:

  1. Erweitern Sie die Gruppenrichtlinienobjekte (GPOs) in der Konsole zur Gruppenrichtlinienverwaltung.
  2. Klicken Sie mit der rechten Maustaste auf die Richtlinie und navigieren Sie zum GPO-Status.
  3. Wählen Sie entweder Benutzerkonfigurationseinstellungen deaktiviert oder Computerkonfigurationseinstellungen deaktiviert aus. Der folgende Screenshot zeigt die für das GPO „User - Microsoft Office Settings“ (Benutzer - Microsoft-Office-Einstellungen) deaktivierten Computerkonfigurationseinstellungen.

Bild: disable_gpo_status.png

Tipp 9. Vereinfachen Sie die Verwaltung mit kleineren GPOs

Vermeiden Sie es, alle Einstellungen und Konfigurationen in ein einziges, großes GPO zu packen. Kleinere GPOs ermöglichen eine einfachere Verwaltung sowie Entwicklung und Umsetzung. Wie in den vorangegangenen Tipps gezeigt zielen die GPOs auf bestimmte Einstellungen ab, z. B. auf Microsoft Office oder die Computersicherheit. Hier sind einige weitere Ideen für kleinere Richtlinien:

  • Windows-Update
  • Browser-Einstellungen
  • Netzwerkeinstellungen
  • Bitlocker
  • Applocker
  • Firewall-Regeln

Und viele mehr!

Tipp 10. Seien Sie sparsam mit WMI-Filtern

Mit WMI-Filtern (Windows Management Instrumentation, Windows-Verwaltungsinstrumentation) können Sie GPOs anhand von Computer- oder Benutzerattributen auswählen. Die WMI-Attribute umfassen beispielsweise die Betriebssystemversion oder -architektur (32 oder 64 Bit). Wenn man zu viele WMI-Filter benutzt, verlangsamt das den Computerstart und die Benutzeranmeldung und wirkt sich so negativ auf die Benutzererfahrung aus.

Versuchen Sie, anstelle von WMI-Filtern GPO-Sicherheitsfilter zu verwenden. Sicherheitsfilter steuern, für welche Benutzer, Gruppen oder Computer die GPO-Einstellungen gelten. Standardmäßig ist jede Richtlinie auf Authenticated Users (authentifizierte Benutzer) beschränkt und gilt für alle authentifizierten Benutzer in der OU.

Tipp 11. Sichern Sie Ihre Gruppenrichtlinien

Gruppenrichtlinien sind eine wichtige Komponente Ihrer Active-Directory-Infrastruktur und sollten entsprechend behandelt werden. Daher sollten Sie im Rahmen Ihrer Notfallwiederherstellungspläne regelmäßige Sicherungskopien der Richtlinien erstellen. Dafür können Sie Tools von Drittanbietern verwenden oder mit dem Befehl Backup-GPO ein benutzerdefiniertes PowerShell-Skript erstellen.

Erfahren Sie mehr über die Active-Directory-Verwaltung und PowerShell in Adam Bertrams Kurs PownsanerShell and Active Directory Essentials course (Grundlagen von PownsanerShell und Active Directory)!

Tipp 12. Vermeiden Sie die Verwendung der Ordner „Benutzer“ oder „Computer“ in Active Directory

Active Directory enthält Standardordner für Benutzer und Computer auf der Stammdomänenebene. Diese Ordner sind jedoch keine OUs, und damit lassen sich keine GPOs verknüpfen. Die einzige Möglichkeit, GPOs für diese Ordner zu verwenden, besteht darin, das GPO auf der Ebene der Stammdomäne zu verknüpfen, was Sie nach Möglichkeit vermeiden sollten (Tipp 2).

Apropos Standardordner: Es gibt eine Standard-OU für Domänencontroller, die Sie für Domänencontroller-Computerkonten verwenden sollten. Indem Sie diese Computerkonten in dieser OU halten, können Sie sicherstellen, dass die domänencontrollerspezifischen Einstellungen konsistent auf alle Domänencontroller in der Umgebung angewendet werden.

Gruppenrichtlinien-FAQ

Was ist eine Gruppenrichtlinie?

Die Gruppenrichtlinie ist ein Active-Directory-Dienst, der die Konfigurationen für Benutzer und Computer in der Domäne verwaltet.

Was ist ein Beispiel für eine Gruppenrichtlinie?

Beispiele für Gruppenrichtlinien sind die Konfiguration der Sicherheit des Betriebssystems, das Hinzufügen von Firewall-Regeln oder die Verwaltung von Anwendungen wie Browser oder Microsoft Office. Gruppenrichtlinien installieren auch Software und führen Start- und Anmeldeskripte aus.

Fazit

Die Gruppenrichtlinie ist ein zentraler Dienst, der Planung und Sorgfalt erfordert, um eine optimale Umgebung zu gewährleisten. In diesem Artikel erfahren Sie mehr über 12 Tipps und Best Practices bei der Arbeit mit Gruppenrichtlinien. Auch wenn Sie nicht jedem Szenario begegnen werden, ist es wichtig, das „Warum“ hinter bestimmten Verfahren zu verstehen, um eine optimale Active-Directory-Umgebung bereitzustellen.