Mittwoch, 28. Dezember 2011

The lies of GPOs! #3

# 3

"Gruppenrichtlinien wirken auf Gruppen"

Diesmal ein Mythos aus der Kategorie Basics, der jedoch immer wieder
anzutreffen ist.

In den Einstellungen einer GPO besteht die Möglichkeit eine Sicherheitsfilterung einzustellen.




An dieser Stelle können einzelne Benutzer, Gruppen und Computerkonten eingetragen werden. Der Name Gruppenrichtlinie lässt vermuten, dass diese
über Gruppen angewandt werden.
Einige Admins tragen an dieser Stelle die gewünschte Gruppe von Usern ein, für die die Policy gelten soll. Dies reicht jedoch noch nicht aus um eine Policy anzuwenden. Policies werden erst dann angewandt, wenn diese "verlinkt" sind.


Würde man also beispielsweise die Gruppe "Einkauf" in der Sicherheitsfilterung hinzufügen und die Policy nicht mit einer Organisationseinheit verlinken, hätte dies keine Auswirkung. Die GPO wird nicht angewandt.

Wird die Richtlinie jedoch mit einer Organisationseinheit oder ganz oben auf der Domäne verlinkt, so wird diese angewandt.

Die Sicherheitsfilterung kann die Anwendung der GPO beschränken, Richtlinien werden jedoch nicht auf Gruppen angewandt!

Jede Richtlinie ist in Computer- und Benutzereinstellungen aufgeteilt.
Beinhaltet eine Richtlinie beispielsweise Benutzereinstellungen, so muss diese auch mit einer OU verknüpft werden die User enthält.


Einfaches Beispiel, wir haben eine "Test-GPO-USR" die ausschließlich Benutzereinstellungen enthält. Die Active Directory Struktur schaut wie folgt aus:

└───domain.intern
    ├───germany
    │   ├───com
    │   └───usr
    └───usa
        ├───com
        └───usr


Die Policy soll nun für alle Benutzer der OU "germany" angewandt werden.
Dies wird erreicht, indem die Policy wie folgt verlinkt wird:

└───domain.intern
├───germany
│ ├───com
│ └───usr  ---- Test-GPO-USR
└───usa
├───com
└───usr


Wird die Policy fälschlicherweise wie folgt verlinkt, hat diese keine Auswirkung:

└───domain.intern
├───germany
│ ├───com --- Test-GPO-USR
│ └───usr
└───usa
├───com
└───usr


Die Policy muss also immer anhand ihrer Einstellungen verlinkt werden.
Enhält sie nur Computereinstellungen:
Mit einer OU, die Computerkonten enthält.

Enhält sie nur Benutzereinstellungen:
Mit einer OU, die Benutzerkonten enthält.

Natürlich gibt es auch hier, wie überall, Ausnahmen.
Diese werden allerdings an dieser Stelle nicht behandelt.

Enhält eine Policy beides, also User- und Computereinstellungen, muss diese
in unserem Beispiel wie folgt verlinkt werden:

└───domain.intern
├───germany --- Test-GPO-USR-COM
│ ├───com
│ └───usr
└───usa
├───com
└───usr


Zurück also zum Beispiel mit der Sicherheitsgruppenfilterung der Gruppe "Einkauf". Sollten in diesem Fall also nur die User der Gruppe Einkauf die Policy erhalten?
Nein. Standardmäßig ist folgende Gruppe in der Sicherheitsfilterung vorhanden:

Authentifizierte Benutzer:
Lesen
Gruppenrichtlinie übernehmen

Diese Gruppe beinhaltet alle Computer- und Benutzerkonten im AD.
Soll also anhand der Gruppe "Einkauf" gefiltert werden, muss der
Gruppe "Authentifizierte Benutzer" das Recht genommen werden, die Policy zu übernehmen.


Bedacht werden sollte allerdings, dass dies auch bedeutet, dass ebenfalls (falls vorhanden) die Computereinstellungen nicht mehr angewandt werden.

Alle Computer die den Anteil der Computereinstellungen übernehmen sollen, müssen also dazu berechtigt werden die Policy zu übernehmen.
Dies kann ebenfalls einzeln geschehen, in dem die Computerkonten in den ACLs der Sicherheitsfilterung eingetragen werden oder durch eine Gruppe, die die betreffenden Computerkonten beinhaltet.

Näheres zum Thema Sicherheitsfilterung findet ihr bei MVP Mark Heitbrink:

http://www.gruppenrichtlinien.de/index.html?/HowTo/Richtlinien_pro_Benutzer_einrichten.htm

Der Mythos Gruppenrichtlinien wirken auf Gruppen ist also falsch.

Gruppenrichtlinien wirken immer auf
Computer- bzw. Benutzerkonten.


Kommentare:

  1. Die Aussage, dass GPO nicht auf Gruppen angewendet werden können, verwirrt mich.

    Wenn ich ein GPO mit Benutzereinstellungen erstellen, diese auf die Domain verlinke und in den Sicherheitsfilterungen die Gruppe Einkauf hinzufüge (Authentifizierte Benutzer entferne ich), dann funktioniert das doch?

    AntwortenLöschen
  2. Hallo,

    die Aussage, dass die Richtlinie nicht auf Gruppen angewendet wird ist erst einmal richtig.
    Die Richtlinie wird nur durch Gruppen gefiltert.
    Viele denken, es würde reichen eine Richtlinie zu erstellen und dann in der Richtlinie einzustellen, welche Gruppen die Richtlinie übernehmen sollen.
    Verknüpfe doch zum Beispiel mal eine Richtlinie mit einer OU die nur Gruppen enthält. Was passiert? Nix.
    Technisch betrachtet ist es ebenfalls das Benutzerkonto und Computerkonto das die Richtlinien anwendet.

    AntwortenLöschen
  3. Ok, ich verstehe. Man muss zwischen den Objekten innerhalb einer OU und den Objekten, die man in die Sicherheitsfilterung aufnimmt unterscheiden. Danke für die Aufklärung! :-)

    AntwortenLöschen