Gruppenrichtlinien: LSDOU und Vererbung

Gruppenrichtlinien sind das mächtigste Werkzeug zur zentralen Windows-Konfiguration. Aber wenn mehrere GPOs gleichzeitig auf ein Objekt wirken – Domain-GPO, OU-GPO, vielleicht noch eine Standort-GPO – welche Einstellung gilt dann? Die Antwort ist LSDOU: eine strikte Verarbeitungsreihenfolge. Diese Lektion geht tiefer als K27 – wir schauen uns die Ausnahmeregeln an (Enforce, Block Inheritance, Loopback) und lernen wie man GPO-Konflikte diagnostiziert.

Das Grundprinzip bleibt: Zuletzt verarbeitet gewinnt. Die Reihenfolge ist L (Lokal) → S (Site) → D (Domain) → O (OU). Mehrere GPOs auf derselben Ebene: Die mit der höchsten Link-Order (niedrigste Zahl = höchste Priorität) gewinnt. Die folgende Simulation zeigt wie das in einem konkreten Szenario aussieht:

1) LSDOU-Simulator – Einstellungskonflikte verstehen

Im folgenden Szenario bekommt ein Workstation-Computer in der OU=Workstations GPOs von mehreren Ebenen. Das Ziel: eine USB-Sperr-Einstellung. Klicke auf eine Ebene um zu sehen welche GPO dort aktiv ist und ob die Einstellung gesetzt wird. Die zuletzt geklickte Ebene gewinnt – es sei denn, Enforce ist aktiv:

LSDOU-Verarbeitungsreihenfolge – Ebene anklicken

L – Lokal Keine lokale GPO konfiguriert

S – Site GPO-Site-Proxy: setzt Proxy-Einstellungen, keine USB-Einstellung

D – Domain Default Domain Policy: Passwortrichtlinien, Account Lockout Enforce ✓

O – OU Firma GPO-Firma: Desktop-Hintergrund, keine USB-Einstellung

O – OU Workstations GPO-Workstations: USB gesperrt ✓ Block Inherit

← Klicke eine Ebene für Details zur Verarbeitung.

Ergebnis im Beispiel: USB ist gesperrt (OU-GPO). Passwortrichtlinie gilt trotzdem (Enforce auf Domain-GPO überschreibt Block Inheritance). Block Inheritance blockiert nur GPOs ohne Enforce-Flag. Das ist der wichtigste Unterschied: Enforce schlägt Block Inheritance immer.

2) Loopback Processing – wenn der Computer wichtiger ist als der Benutzer

Normal: Computerkonfiguration gilt beim Systemstart (wer auch immer sich anmeldet). Benutzerkonfiguration gilt beim Login des Benutzers (egal an welchem Computer). Was aber wenn ein Benutzer sich an einem Terminal-Server oder einem Kiosk-System anmeldet – und trotzdem spezielle Einschränkungen gelten sollen unabhängig davon wer er ist?

Die Lösung ist GPO Loopback Processing. Es gibt zwei Modi: Im Replace-Modus ersetzen die Benutzer-Richtlinien des Computers (aus dessen OU) die normalen Benutzerrichtlinien vollständig. Im Merge-Modus werden die Computer-seitigen Benutzerrichtlinien zusätzlich zu den normalen Benutzerrichtlinien angewendet (mit Computer-Seite als Gewinner bei Konflikten).

Modus	Was passiert	Typischer Einsatz
Replace	Nur die Benutzer-GPOs aus der Computer-OU gelten – normale Benutzer-GPOs werden ignoriert	Kiosk-Systeme, Terminal-Server, Schulungsräume – maximale Einschränkung
Merge	Benutzer-GPOs aus Computer-OU + normale Benutzer-GPOs, Computer-OU-GPO gewinnt bei Konflikten	Zusätzliche Einschränkungen auf bestimmten Systemen ohne normale Rechte zu entfernen

3) GPO-Diagnose in der Praxis

Wenn eine GPO scheinbar nicht greift – oder zu viel greift – sind diese zwei Werkzeuge deine erste Anlaufstelle. Das Verstehen welche GPOs auf einem System aktiv sind ist entscheidend für effektives Troubleshooting:

GPO-Diagnose-Werkzeuge

gpresult /r

Zeigt auf dem lokalen System welche GPOs angewendet wurden – für Computer und den angemeldeten Benutzer getrennt. Zeigt auch welche GPOs gefiltert wurden (Sicherheitsfilterung, WMI-Filter) und warum sie nicht griffen.

gpresult /h C:\gpo-report.html

Erstellt einen HTML-Bericht mit vollständiger GPO-Auswertung. Viel übersichtlicher als /r bei komplexen Umgebungen. Jede angewendete GPO mit allen Einstellungen aufgelistet.

gpresult /r /user mueller.hans /s PC-001

Remotezugriff: GPO-Auswertung für Benutzer mueller.hans auf Remote-PC PC-001. Ohne Neustart oder Login direkt vom DC aus.

gpupdate /force

Erzwingt sofortige GPO-Aktualisierung. Standardmäßig werden GPOs alle 90 Minuten (+/- 30 Min. Zufall) aktualisiert. Computer-GPOs erst nach Neustart vollständig aktiv.

Häufigster GPO-Fehler: GPO ist verknüpft aber das Computerkonto oder Benutzerkonto ist nicht in der richtigen Sicherheitsgruppe die die GPO-Sicherheitsfilterung voraussetzt. Standard-Filter ist „Authenticated Users" – wenn du eigene Sicherheitsfilter setzt, muss das Objekt darin sein.

Zusammenfassung

LSDOU: Lokal → Site → Domain → OU. Zuletzt verarbeitet gewinnt. Enforce: überschreibt alle nachfolgenden GPOs inklusive Block Inheritance. Block Inheritance: erbt keine übergeordneten GPOs (außer Enforce). Loopback Processing: Computer-OU steuert Benutzer-GPOs (Replace oder Merge). Diagnose: gpresult /h für vollständige Auswertung, gpupdate /force zum Testen.

Gruppenrichtlinien: LSDOU und Vererbung

1) LSDOU-Simulator – Einstellungskonflikte verstehen

2) Loopback Processing – wenn der Computer wichtiger ist als der Benutzer

3) GPO-Diagnose in der Praxis

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title