Gruppenrichtlinien (GPO) erstellen

Gruppenrichtlinien (GPO) erstellen und verknüpfen

Gruppenrichtlinien (GPO – Group Policy Objects) sind eines der mächtigsten Werkzeuge in der Windows-Administrationswelt. Stell dir vor, du willst dass auf allen 500 Firmencomputern der Bildschirmschoner nach 10 Minuten aktiviert wird, USB-Sticks gesperrt sind und alle Desktops denselben Hintergrund haben. Ohne GPOs müsstest du jeden Computer einzeln konfigurieren. Mit GPOs erstellst du eine einzige Richtlinie, verknüpfst sie mit der richtigen OU – und alle betroffenen Computer ziehen die Einstellungen beim nächsten Start automatisch.

GPOs greifen auf Computer- und Benutzerkonfiguration. Du kannst damit Sicherheitseinstellungen vorgeben, Software verteilen, Laufwerke mappen, Registrierungseinträge setzen, Windows-Firewall konfigurieren und vieles mehr. Insgesamt gibt es über 4.000 konfigurierbare Einstellungen in einer GPO. Das klingt überwältigend – in der Praxis nutzt du aber immer dieselben 20–30 Einstellungen.

1) Verarbeitungsreihenfolge: LSDOU

Was passiert, wenn verschiedene GPOs widersprüchliche Einstellungen haben? Zum Beispiel: Eine Domain-GPO erlaubt USB-Sticks, eine OU-GPO verbietet sie. Wer gewinnt? Windows verarbeitet GPOs immer in einer festen Reihenfolge: LSDOU – Local, Site, Domain, OU. Später verarbeitete Richtlinien überschreiben frühere. Die OU-Richtlinie gewinnt also – USB gesperrt. Verschachtelte OUs folgen dabei der Hierarchie von oben nach unten.

LSDOU – Verarbeitungsreihenfolge von Gruppenrichtlinien

L – Lokal

Lokale Gruppenrichtlinie des einzelnen Computers (gpedit.msc). Gilt nur für diesen einen Rechner. Niedrigste Priorität – wird von allen Domain-GPOs überschrieben.

↓ wird überschrieben von ↓

S – Site

AD-Site-GPO. Gilt für alle Computer an einem Standort. Selten genutzt – meist nur für standortspezifische Proxy-Einstellungen oder ähnliches.

↓ wird überschrieben von ↓

D – Domain

Domänen-GPO. Gilt für alle Objekte in der Domain. Hier gehören domänenweite Sicherheitseinstellungen rein: Passwortrichtlinien, Account-Lockout, Windows-Update-Einstellungen.

↓ wird überschrieben von ↓

OU – Org. Unit

OU-GPO. Gilt nur für Objekte in dieser OU. Höchste Priorität. Verschachtelte OUs: Kind-OU überschreibt Eltern-OU. Hier landen spezifische Abteilungs- oder Standortrichtlinien.

Merkhilfe: „Last wins" – die zuletzt verarbeitete Einstellung gilt. OU ist das Letzte was verarbeitet wird – also höchste Priorität. Ausnahme: „Enforce" (früher: Kein Überschreiben) und „Block Inheritance" können die Reihenfolge beeinflussen.

Wenn eine GPO scheinbar nicht greift: gpresult /r auf dem Client zeigt welche GPOs angewendet wurden und warum manche nicht gegriffen haben. gpupdate /force erzwingt sofortige Anwendung statt beim nächsten Neustart/Login.

2) Typische GPO-Einstellungen in der Praxis

Damit du ein Gefühl bekommst was GPOs können: Hier sind die häufigsten Einstellungen die du in der Praxis konfigurierst. Alle sind über den Gruppenrichtlinien-Editor (gpmc.msc) oder gpedit.msc erreichbar:

Häufige GPO-Einstellungen nach Kategorie

Sicherheit

Passwortrichtlinien

Mindestlänge, Komplexität, Ablaufzeit. Gilt für die gesamte Domain.

Computer → Windows Settings → Security → Account Policies → Password Policy

Sicherheit

USB-Massenspeicher sperren

Verhindert das Einbinden von USB-Sticks auf allen Rechnern der OU.

Computer → Admin Templates → System → Removable Storage Access

Desktop

Firmenwallpaper setzen

Hintergrundbild für alle Benutzer der OU festlegen – nicht änderbar.

User → Admin Templates → Desktop → Desktop Wallpaper

Netzwerk

Netzlaufwerk mappen

Beim Login automatisch ein Netzlaufwerk (z.B. H: = Heimlaufwerk) verbinden.

User → Windows Settings → Drive Maps (GPP)

Updates

WSUS-Server konfigurieren

Clients auf internen WSUS-Server zeigen lassen statt Windows Update.

Computer → Admin Templates → Windows Components → Windows Update

Software

Software verteilen (MSI)

MSI-Pakete beim Computer-Start oder Benutzer-Login automatisch installieren.

Computer/User → Software Settings → Software Installation

GPOs haben zwei Hauptbereiche: Computerkonfiguration (gilt beim Systemstart, unabhängig wer sich anmeldet) und Benutzerkonfiguration (gilt beim Login des Benutzers). Wenn du z.B. USB für alle sperren willst egal wer sich anmeldet, nutze die Computerkonfiguration.

3) GPO erstellen und verknüpfen – Kurzanleitung

Schritt	GUI (gpmc.msc)	PowerShell
GPO erstellen	Group Policy Objects → Rechtsklick → New	`New-GPO -Name "USB-Sperre"`
GPO bearbeiten	Rechtsklick → Edit → gpedit öffnet	–
GPO verknüpfen	OU rechtsklicken → Link an Existing GPO	`New-GPLink -Name "USB-Sperre" -Target "OU=Workstations,DC=..."`
GPO sofort anwenden	–	`gpupdate /force` auf Client
GPO-Ergebnis prüfen	–	`gpresult /r` oder `gpresult /h c:\gpo.html`

Zusammenfassung

GPOs = zentrale Konfiguration für alle Computer und Benutzer in einer AD-Umgebung. Verarbeitungsreihenfolge LSDOU: Local → Site → Domain → OU, letzte gewinnt. Getrennte Einstellungen für Computer (beim Start) und Benutzer (beim Login). gpresult /r zur Fehlerdiagnose, gpupdate /force zur sofortigen Anwendung.

Gruppenrichtlinien (GPO) erstellen

1) Verarbeitungsreihenfolge: LSDOU

2) Typische GPO-Einstellungen in der Praxis

3) GPO erstellen und verknüpfen – Kurzanleitung

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title