next up previous contents
Next: Anmerkungen zu Hardwarevoraussetzung eines Up: Active Directory im Detail Previous: Authentifizierung   Contents


Gruppenrichtlinie

Ein Werkzeug, welches bereits aus dem WindowsNT-Umfeld[*] bekannt ist und im AD-Kontext weiter ausgebaut wurde, ist die Gruppenrichtlinie. Gruppenrichtlinien dienen der Steuerung von Konfigurationen von Benutzern und Computern und können auf Ebene von Standorten, Domänen oder Organisationseinheiten Anwendung finden. Mit ihrer Hilfe werden Vorgaben der Unternehmenspolitik auf Benutzer angewandt, der Zugriff auf Ressourcen, die für den Benutzer in der Domäne verfügbar sind, gesteuert und Software beziehungsweise Startmenü-Einträge dem Benutzer zugewiesen oder vor ihm verborgen. Nicht zuletzt Einträge in der Registry werden auf Domänencomputern durch Gruppenrichtlinien festgelegt oder angepasst. Auf jeder Ebene, die oben genannt wurde, können mehrere Gruppenrichtlinienobjekte definiert werden, die dann Anwendung finden.
Im Zusammenhang mit Gruppenrichtlinien fallen 3 Begriffe, die nur kurz Erwähnung finden sollen: Das GPO, der GPC und das GPT. GPO steht für Group Policy Object, also ein Objekt im AD, welches eine Gruppenrichtlinie enthält. Versionsinformationen, der Aktivitätsstatus und Strukturinformationen eines GPOs sind im zugehörigen GPC, dem Group Policy Container, aufbewahrt. Die Informationen, die die im GPC beschriebene Struktur mit Daten füllen, befinden sich im Group Policy Template.
Gruppenrichtlinien können und werden verschachtelt. Somit stellt sich die Frage, in welcher Reihenfolge GPOs abgearbeitet werden, welche Regelungen also letztendlich Anwendung finden - vor allem, bei sich widersprechenden Anweisungen unterschiedlicher GPOs. Grundlegend herrscht folgende Hierarchie zwischen den Richtlinien der genannten Ebenen:
  1. Lokales GPO des einzelnen Rechners
  2. GPO des Standortes
  3. GPO der Domäne
  4. GPO der Organisationseinheit
Gibt es innerhalb der Organisationseinheit weitere Strukturierungen in OUs werden die GPOs der OUs sozusagen spezialisierend der Struktur folgend angewandt.
Wie bereits erwähnt, kann die Definition mehrerer GPOs für ein Objekt, beispielsweise durch Zuweisung eines GPOs zum Standort und eines zur Domäne des Objektes, zu Konflikten oder widersprüchlichen Einstellungen führen. Zur Vorhersage solcher Konflikte oder um das Ergebnis der gemachten Einstellungen zu kontrollieren, gibt es ein MMC-SnapIn "`Richtlinienergebnissatz"' beziehungsweise "`Resultant Set of Policy"' (kurz RSoP) unter Windows XP und 2003. In dessen Protokollierungsmodus wird für ein ausgewähltes Benutzer- oder Computerobjekt die Anwendung der eingerichteten GPOs simuliert. Somit lassen sich die Auswirkungen von einer Vielzahl verschachtelter GPOs auf einen Benutzer oder Computer nachvollziehen, aber es sei auch zu Bedenken gegeben, dass jedes GPO bei der Anmeldung des Nutzers oder beim Systemstart abzuarbeiten ist, was zu einer Verzögerung selbigen führt. Aber Richtlinien bieten eine einfache und meist konsistente Art der zentralen Administration, stellen jedoch dank der Hierarchie von GPOs auch die Möglichkeit bereit, administrative Aufgaben zu delegieren.

In die Details der Möglichkeiten, die Gruppenrichtlinien bereitstellen, wird an dieser Stelle nicht eingegangen, da dies den Rahmen der Arbeit sprengen würde und es wird dazu erneut auf die umfangreiche Literatur zum Thema verwiesen. Jedoch ein interessanter Aspekt des Einsatzes soll kurz angesprochen werden. Mit Hilfe von Gruppenrichtlinien ist es möglich, Software auf beliebigen Systemen der Gesamtstruktur zu installieren, zu warten und zu aktualisieren. Dazu wird der Gruppe von Benutzern oder Computern, auf die das GPO angewendet wird, ein Paket mittels Microsoft Installer während des Systemstarts beziehungsweise der Nutzeranmeldung auf dem Zielrechner installiert und bereitgestellt. Außerdem ist es ebenfalls möglich, dem Nutzer Software nur zu veröffentlichen. Während bei der Zuweisung von Software[*] diese sofort und ohne Rückfrage auf das System installiert wird, hat bei der Veröffentlichung der Nutzer die Wahlmöglichkeit. Die Bereitstellung des Paketes wird dem Anwender signalisiert und bei Bedarf kann er dieses über das Software-Element der Systemsteuerung installieren und auch deinstallieren. Eine weitere Möglichkeit ist das Veröffentlichen mit gleichzeitigem Verbergen des Paketes in der Systemsteuerung, so dass der Nutzer dieses nicht eigenständig installieren kann. Zu einer sinnvollen Installation des Paketes kommt es in diesem Falle nur, über die dem Paket zugeordneten Dateierweiterungen, was im GPO ebenfalls festgelegt werden kann.
Nach gleichem Muster ist eine Deinstallation oder Unterbindung weiterer Neuinstallationen von Paketen einstellbar.
Voraussetzung einer Installation mittels GPO ist die Verfügbarkeit eines msi- oder msp-Paketes für die zu installierende Software. Im Rahmen der Einrichtung ist es auch möglich, einem msi-Paket verschiedene mst-Pakete zuzuordnen, die dann ebenfalls Anwendung finden. Dabei ist zu beachten, dass dies umgehend bei der Einrichtung des Paketes im GPO in den erweiterten Einstellungen zu erfolgen hat, da bei Abschluss der Einbindung sofort eine Veröffentlichung des GPOs stattfindet und das mst-File nicht mehr wirksam werden kann. Hierbei ist bereits ersichtlich, dass für den Einsatz der Installation via GPO durch den Hersteller der Software ein msi-Paket bereitgestellt werden muss oder eine Paketierung mit Hilfe externer Software notwendig ist. Eine weitere Voraussetzung ist die Bereitstellung des Paketes auf einer Netzfreigabe, die von allen betroffenen Objekten lesbar sein muss. Standardmäßig wird dazu im AD ein freigegebener Ordner erstellt, der dann die zu installierenden Pakete enthält. Alternativ ist auch die Bereitstellung über einen anderen Netzwerkpfad realisierbar, was zu einer Frage mehr bei der Einrichtung des GPOs führt. Somit sollte auch eine Bereitstellung via Samba möglich sein.


next up previous contents
Next: Anmerkungen zu Hardwarevoraussetzung eines Up: Active Directory im Detail Previous: Authentifizierung   Contents
Marko Damaschke 2006-03-25