GPOs – Group Policy Objects
1. Warum gibt es überhaupt Gruppenrichtlinien?
Stell dir vor, dein Unternehmen hat 80 PCs.
Jemand soll den Desktop-Hintergrund auf allen Geräten anpassen, den Bildschirmschoner deaktivieren und bestimmte Programme verbieten.
Ohne Gruppenrichtlinien müsste das jemand auf jedem einzelnen PC einstellen.
Das kostet Stunden – und ein einziger Mitarbeiter könnte danach wieder alles ändern.
Mit einer Gruppenrichtlinie (Group Policy Object) geht das zentral:
Du legst die Regeln einmal am Domänencontroller fest.
Die Computer und Benutzer holen sich die Einstellungen automatisch bei Anmeldung oder Neustart.
Änderungen sind einheitlich, kontrollierbar und nachvollziehbar.
2. Was kann man mit GPOs steuern?
| Bereich | Konkretes Beispiel aus dem Alltag |
|---|---|
| Sicherheit | Passwort muss 12 Zeichen haben, Sperre nach 3 Fehlversuchen |
| Desktop | Firmenhintergrund „firma.png“ als Standardbild |
| Software | 7-Zip wird automatisch installiert, Spotify ist gesperrt |
| System | Windows-Updates starten nur zwischen 22 und 5 Uhr |
| Netzwerk | Netzlaufwerk „H:“ wird beim Login verbunden |
| Energiesparen | Bildschirm schaltet sich nach 10 Minuten aus |
| Browser | Startseite auf „intranet.firma.local“ setzen |
Eine GPO ist also keine einzelne Einstellung,
sondern ein Container für viele Richtlinien, die du beliebig kombinieren kannst.
3. Wo findet man Gruppenrichtlinien in der Praxis?
Im Unternehmensnetzwerk über die Gruppenrichtlinienverwaltung
(Group Policy Management Console, GPMC).
Pfad:
Start → Verwaltung → „Gruppenrichtlinienverwaltung“
Hier siehst du:
deine Domäne, z. B.
firma.localalle vorhandenen Organisationseinheiten (OUs)
und die verknüpften Richtlinien.
4. Wie erstellt man eine neue Gruppenrichtlinie?
Beispiel: Du möchtest, dass alle Clients in der OU „Azubis“
den gleichen Desktop-Hintergrund und ein gemeinsames Netzlaufwerk bekommen.
Schritt-für-Schritt-Anleitung
Öffne die Gruppenrichtlinienverwaltung (GPMC).
Rechtsklick auf „Gruppenrichtlinienobjekte“ → „Neu“.
Gib der Richtlinie einen sprechenden Namen, etwa
Azubi-Standard.Ziehe oder verknüpfe sie mit der OU „Azubis“.
Rechtsklick auf die neue GPO → „Bearbeiten“.
Es öffnet sich der Gruppenrichtlinien-Editor (gpedit.msc).Navigiere zu:
Benutzerkonfiguration → Administrative Vorlagen → Desktop → DesktopDoppelklick auf „Desktop-Hintergrund“, aktiviere „Aktiviert“ und gib den Pfad an,
z. B.\\dc01\netlogon\hintergrund\firma.jpg.Zusätzlich unter
Benutzerkonfiguration → Einstellungen → Windows Einstellungen → Laufwerkszuordnungen
ein Netzlaufwerk „H:“ mit Pfad\\srv01\azubi-datenerstellen.
Kontrolle
Auf einem Client in dieser OU:
gpupdate /force
Danach abmelden / anmelden – der Hintergrund und das Laufwerk werden automatisch gesetzt.
5. Wie werden Richtlinien angewendet? (L – S – D – OU)
Beim Start bzw. bei der Anmeldung liest Windows die Richtlinien in dieser Reihenfolge:
| Reihenfolge | Ebene | Beschreibung | Beispiel |
|---|---|---|---|
| 1 | Local | Lokale Richtlinien des PCs | Änderungen über „gpedit.msc“ direkt auf dem Gerät |
| 2 | Site | GPOs, die an eine AD-Site gebunden sind | Standort „Stuttgart“ |
| 3 | Domain | GPOs, die für die gesamte Domäne gelten | firma.local |
| 4 | OU | GPOs, die an eine OU gebunden sind | OU=Azubis,DC=firma,DC=local |
Die Regel lautet:
Je tiefer, desto stärker.
OU-Richtlinien überschreiben Domain- und Site-Richtlinien,
sofern keine „Erzwingung“ aktiv ist.
6. Vererbung, Blockieren und Erzwingen
Diese drei Punkte entscheiden, ob und wie eine GPO weitergegeben wird.
| Funktion | Beschreibung | Beispiel |
|---|---|---|
| Vererbung | GPOs der Domäne wirken automatisch auf untergeordnete OUs. | Eine Passwort-Policy gilt auch in OU=Azubis. |
| Vererbung blockieren | OU kann verhindern, dass höhere GPOs übernommen werden. | In OU=Testsysteme sollen Firmenrichtlinien nicht greifen. |
| Erzwingen (Enforce) | GPO wird in jeder OU angewendet, egal ob blockiert wird. | Sicherheits-GPO darf nicht deaktiviert werden. |
7. Fehleranalyse
Wenn etwas nicht funktioniert, hilft:
gpresult /h c:\temp\report.html
Im Bericht steht:
welche GPOs angewendet wurden,
in welcher Reihenfolge,
und ob etwas blockiert oder überschrieben wurde.
Praxisbeispiel:
Ein Azubi meldet, dass sein Netzlaufwerk fehlt → im Report siehst du,
dass die OU „Azubis“ keine GPO-Verknüpfung mehr hat oder ein Filter aktiv ist.
8. Visualisierung: Ablauf der GPO-Verarbeitung
Verarbeitungsreihenfolge von Gruppenrichtlinien (L – S – D – OU)
Computerkonfiguration (beim Start des Rechners)
Benutzerkonfiguration (bei der Anmeldung)
Zuerst werden Computerrichtlinien beim Start angewendet, danach Benutzerrichtlinien bei der Anmeldung. OU-Richtlinien haben die höchste Priorität.
9. Zusammenfassung
| Thema | Kernaussage |
|---|---|
| Gruppenrichtlinie (GPO) | Zentrale Sammlung von Einstellungen für Benutzer und Computer |
| Erstellung | Über die Gruppenrichtlinienverwaltung (GPMC) |
| Anwendung | In Reihenfolge: Local → Site → Domain → OU |
| Vererbung | Kann blockiert oder erzwungen werden |
| Kontrolle | gpresult /h report.html zeigt aktive Richtlinien |
| Praxisbeispiel | Einheitlicher Hintergrund und Netzlaufwerk für Azubis |