Gruppenrichtlinien

Das gesamte Berechtigungskonzept von Windows-Domänen baut auf sogenannten Gruppenrichtlinien (Group Policies) auf. Diese steuern, ggf. anhand verschiedener Kriterien wie Benutzergruppen oder Hardware, bestimmte Einstellungen an einem Computer und/oder einer Benutzersitzung. Diese Richtlinien werden auf dem AD-Server hinterlegt und von den Client-Computern bei der Anmeldung übernommen.

Gruppenrichtlinienobjekte (GPO)

Gespeichert werden Richtlinien in Gruppenrichtlinienobjekten (Group Policy Objects, GPO). Jedes GPO kann beliebig viele Richtliniendefinitionen enthalten. Diese können auch von Objekt zu Objekt gegensätzlich sein, so kann zum Beispiel ein Objekt einen Zugriff erlauben, den die gleiche Richtlinie eines anderen Objekts verbietet. Die gesamte, effektive Gruppenrichtlinie für die jeweilige Benutzer-/Computerkombination ergibt sich immer aus der Summe aller angewendeten Objekte und deren Anwendungsreihenfolge (Priorität). Initial hat jede Richtlinie den „Wert“ nicht konfiguriert, sodass im jeweiligen GPO immer nur effektive Richtlinien gespeichert werden.

Sinn und Vorteile

GPO erlauben bei guter Planung, selbst extrem große Organisationen mit vielen tausend Clients und Benutzern mit relativ wenig Aufwand zu administrieren. Statt für jeden einzelnen Benutzer und Computer eine individuelle Richtlinie zu erstellen, werden sinnvolle Gruppenstrukturen und Organisationseinheiten entworfen, und diesen dann jeweils und nach Bedarf einzelne Richtlinienobjekte zugewiesen („verknüpft“).