Gruppenrichtlinien: Design-Überlegungen

Mehr oder weniger Richtlinien?

Das führt automatisch auch zur Frage, ob man mit mehr oder weniger Richtlinien arbeiten sollte. Die Erfahrung zeigt, dass eine Aufteilung von Richtlinien grundsätzlich die bessere Lösung ist. Man kann mit Richtlinien für bestimmte Bereiche der Systemkonfiguration arbeiten, also beispielsweise den Internet Explorer, Desktop-Richtlinien und Sicherheitsrichtlinien, wobei letztere für verschiedene Arten von Systemen in unterschiedlicher Weise definiert werden müssen.

Mehr ist weniger: Im Fall von Gruppenrichtlinien kann eine höhere Zahl von einzelnen GPOs zu einer deutlich geringeren Komplexität führen – zumindest, wenn man genau festlegt, welcher Teil der Konfiguration über welche Richtlinien erfolgen soll.
Mehr ist weniger: Im Fall von Gruppenrichtlinien kann eine höhere Zahl von einzelnen GPOs zu einer deutlich geringeren Komplexität führen – zumindest, wenn man genau festlegt, welcher Teil der Konfiguration über welche Richtlinien erfolgen soll.

Diese grundlegenden Richtlinien werden auf der Ebene der Domäne definiert. Anschließend kann man, soweit erforderlich, für untergeordnete organisatorische Einheiten noch spezielle Richtlinien erstellen. Dort kann man entweder nur eine Richtlinie definieren, die alle übergeordneten Richtlinien modifiziert oder mehrere Richtlinien für spezielle Zwecke. Solche Richtlinien braucht man beispielsweise für Domänencontroller, aber auch für Administratoren und Helpdesk-Mitarbeiter.

Wenn man sich an die genannten Überlegungen zum Design von Gruppenrichtlinien hält, kann nicht mehr so viel schief gehen. Die wichtigste Regel ist in jedem Fall, dass man mit wenigen Konzepten durchgängig arbeitet und nicht durch Sonderfälle zusätzliche Komplexität schafft.

Modellierung und Ergebnisse

Best Practices

Add-Ons zu Gruppenrichtlinien und weitere Tools