Next: Anmerkungen zu Hardwarevoraussetzung eines
Up: Active Directory im Detail
Previous: Authentifizierung
  Contents
Gruppenrichtlinie
Ein Werkzeug, welches bereits aus dem WindowsNT-Umfeld
bekannt ist und im AD-Kontext weiter
ausgebaut wurde, ist die Gruppenrichtlinie. Gruppenrichtlinien dienen
der Steuerung von Konfigurationen von Benutzern und Computern und
können auf Ebene von Standorten, Domänen oder Organisationseinheiten
Anwendung finden. Mit ihrer Hilfe werden Vorgaben der
Unternehmenspolitik auf Benutzer angewandt, der Zugriff auf Ressourcen,
die für den Benutzer in der Domäne verfügbar sind, gesteuert und
Software beziehungsweise Startmenü-Einträge dem Benutzer zugewiesen
oder vor ihm verborgen. Nicht zuletzt Einträge in der Registry werden
auf Domänencomputern durch Gruppenrichtlinien festgelegt oder
angepasst. Auf jeder Ebene, die oben genannt wurde, können mehrere
Gruppenrichtlinienobjekte definiert werden, die dann Anwendung finden.
Im Zusammenhang mit Gruppenrichtlinien fallen 3 Begriffe, die nur kurz
Erwähnung finden sollen: Das GPO, der GPC und das GPT. GPO steht für
Group Policy Object, also ein Objekt im AD, welches eine
Gruppenrichtlinie enthält. Versionsinformationen, der Aktivitätsstatus
und Strukturinformationen eines GPOs sind im zugehörigen GPC, dem
Group Policy Container, aufbewahrt. Die Informationen, die die im GPC
beschriebene Struktur mit Daten füllen, befinden sich im Group Policy
Template.
Gruppenrichtlinien können und werden verschachtelt. Somit stellt sich
die Frage, in welcher Reihenfolge GPOs abgearbeitet werden, welche
Regelungen also letztendlich Anwendung finden - vor allem, bei sich
widersprechenden Anweisungen unterschiedlicher GPOs. Grundlegend
herrscht folgende Hierarchie zwischen den Richtlinien der genannten
Ebenen:
- Lokales GPO des einzelnen Rechners
- GPO des Standortes
- GPO der Domäne
- GPO der Organisationseinheit
Gibt es innerhalb der Organisationseinheit weitere Strukturierungen in
OUs werden die GPOs der OUs sozusagen spezialisierend der Struktur
folgend angewandt.
Wie bereits erwähnt, kann die Definition mehrerer GPOs für ein Objekt,
beispielsweise durch Zuweisung eines GPOs zum Standort und eines zur
Domäne des Objektes, zu Konflikten oder widersprüchlichen
Einstellungen führen. Zur Vorhersage solcher Konflikte oder um das
Ergebnis der gemachten Einstellungen zu kontrollieren, gibt es ein
MMC-SnapIn "`Richtlinienergebnissatz"' beziehungsweise "`Resultant Set
of Policy"' (kurz RSoP) unter Windows XP und 2003. In dessen
Protokollierungsmodus wird für ein ausgewähltes Benutzer- oder
Computerobjekt die Anwendung der eingerichteten GPOs simuliert. Somit
lassen sich die Auswirkungen von einer Vielzahl verschachtelter GPOs
auf einen Benutzer oder Computer nachvollziehen, aber es sei auch zu
Bedenken gegeben, dass jedes GPO bei der Anmeldung des Nutzers oder
beim Systemstart abzuarbeiten ist, was zu einer Verzögerung selbigen
führt. Aber Richtlinien bieten eine einfache und meist konsistente Art
der zentralen Administration, stellen jedoch dank der Hierarchie von
GPOs auch die Möglichkeit bereit, administrative Aufgaben zu
delegieren.
In die Details der Möglichkeiten, die Gruppenrichtlinien
bereitstellen, wird an dieser Stelle nicht eingegangen, da dies den
Rahmen der Arbeit sprengen würde und es wird dazu erneut auf die
umfangreiche Literatur zum Thema verwiesen. Jedoch ein interessanter
Aspekt des Einsatzes soll kurz angesprochen werden. Mit Hilfe von
Gruppenrichtlinien ist es möglich, Software auf beliebigen Systemen der
Gesamtstruktur zu installieren, zu warten und zu aktualisieren. Dazu
wird der Gruppe von Benutzern oder Computern, auf die das GPO
angewendet wird, ein Paket mittels Microsoft Installer während des
Systemstarts beziehungsweise der Nutzeranmeldung auf dem Zielrechner
installiert und bereitgestellt. Außerdem ist es ebenfalls möglich,
dem Nutzer Software nur zu veröffentlichen. Während bei der Zuweisung
von Software
diese
sofort und ohne Rückfrage auf das System installiert wird, hat bei der
Veröffentlichung der Nutzer die Wahlmöglichkeit. Die Bereitstellung
des Paketes wird dem Anwender signalisiert und bei Bedarf kann er
dieses über das Software-Element der Systemsteuerung installieren und
auch deinstallieren. Eine weitere Möglichkeit ist das Veröffentlichen
mit gleichzeitigem Verbergen des Paketes in der Systemsteuerung, so
dass der Nutzer dieses nicht eigenständig installieren kann. Zu einer
sinnvollen Installation des Paketes kommt es in diesem Falle nur, über
die dem Paket zugeordneten Dateierweiterungen, was im GPO ebenfalls
festgelegt werden kann.
Nach gleichem Muster ist eine Deinstallation oder Unterbindung
weiterer Neuinstallationen von Paketen einstellbar.
Voraussetzung einer Installation mittels GPO ist die Verfügbarkeit
eines msi- oder msp-Paketes für die zu installierende Software. Im
Rahmen der Einrichtung ist es auch möglich, einem msi-Paket
verschiedene mst-Pakete zuzuordnen, die dann ebenfalls Anwendung
finden. Dabei ist zu beachten, dass dies umgehend bei der Einrichtung
des Paketes im GPO in den erweiterten Einstellungen zu erfolgen hat,
da bei Abschluss der Einbindung sofort eine Veröffentlichung des GPOs
stattfindet und das mst-File nicht mehr wirksam werden kann. Hierbei
ist bereits ersichtlich, dass für den Einsatz der Installation via GPO
durch den Hersteller der Software ein msi-Paket bereitgestellt werden
muss oder eine Paketierung mit Hilfe externer Software notwendig ist.
Eine weitere Voraussetzung ist die Bereitstellung des Paketes auf einer
Netzfreigabe, die von allen betroffenen Objekten lesbar sein muss.
Standardmäßig wird dazu im AD ein freigegebener Ordner erstellt, der
dann die zu installierenden Pakete enthält. Alternativ ist auch die
Bereitstellung über einen anderen Netzwerkpfad realisierbar, was zu
einer Frage mehr bei der Einrichtung des GPOs führt. Somit sollte auch
eine Bereitstellung via Samba möglich sein.
Next: Anmerkungen zu Hardwarevoraussetzung eines
Up: Active Directory im Detail
Previous: Authentifizierung
  Contents
Marko Damaschke
2006-03-25