How to – So erstellt man eine Gruppenrichtlinie in der Active Directory

Grundlegendes

Wenn man ein typisches Serverclient Modell hat, wo ein Server als Domänencontroller fungiert und die Clients Mitglieder davon sind, gibt es verschiedene Varianten um die Arbeitsplätze der einzelnen Clients zu konfigurieren. Eine Variante ist eben die Erstellung einer Gruppenrichtlinie in der Active Directory.

Neben Scripten und dem Benutzerprofil gibt es noch die Gruppenrichtlinien, welches ein sehr mächtiges Werkzeug sind. Mit einem sogenannten Gruppenrichtlinienobjekt (GPO Group Policy Object) hat man eine Vielzahl an Einstellungsmöglichkeiten für Computer und Benutzer.

Nach der Installation eines Domänencontrollers mit dessen Active Directory sind neben der Default-Domain Policy keine weiteren GPOs vorhanden.

Wenn man neue erstellen möchte, muss man dieses erzeugen sowie anschließend mit der Domäne, einem Standort oder eine Organisationseinheit verknüpfen.

Konfiguration der Gruppenrichtlinie in der Active Directory

In der folgenden Anleitung soll die grundlegende Bearbeitung und Erstellung einer Gruppenrichtlinie erläutert werden.

Dabei soll per Richtlinien die Struktur der Domäne so konfiguriert werden, dass jeder Domänen-Benutzer ein Passwort mit mindestens 6 Zeichen haben muss und sein Account nach fünfmaligem falsch Anmelden gesperrt wird.

Gruppenrichtlinie in der Active Directory erstellen
Konfiguration einer Gruppenrichtlinie im Server 2016 – Öffnen der Gruppenrichtlinienverwaltung

Im ersten Schritt öffnet man dazu die Gruppenrichtlinienverwaltung. Diese erreicht man über den Server-Manager und anschließend Tools. Auf der linken Seite sieht man jetzt die Domäne mit dem Namen schule.local.

Darunter befindet sich ganz oben die Default Domain Policy und anschließend darunter die Organisationseinheiten wie z.B. Domain Controllers oder wie in meiner Konfiguration die OU SperrenVerweigert.

Gruppenrichtlinie in der Active Directory
Konfiguration einer Gruppenrichtlinie im Server 2016 – Öffnen der Gruppenrichtlinienverwaltung Überblick

Per Rechtsklick auf die Default-Domain Policy erhält man dazu ein Kontextmenü. Mit „Bearbeiten“ kann man jetzt die Richtlinie konfigurieren. Es öffnet sich jetzt der Gruppenrichtlinienverwaltungs-Editor.

Auch hier ist links wieder ersichtlich, wofür Einstellungen vorgenommen werden können. Also entweder auf Computer oder Benutzer.

Da in dieser Anleitung die Richtlinie für das Passwort geändert werden soll, wird die Computerkonfiguration benötigt. Der komplette Pfad ist dabei folgender:

Computerkonfiguration -> Richtlinien -> Windows-Einstellungen ->Sicherheitseinstellungen -> Kontorichtlinien -> Kennwortrichtlinien

Gruppenrichtlinie in der Active Directory
Windows Server 2016 – Domäne – Gruppenrichtlinie bearbeiten – Kontorichtlinien

Unter diesem Menüpunkt sind verschiedene Richtlinien zum Kennwort vorhanden. U. a. findet man dort auch das maximale Kennwortalter, die Komplexitätsvoraussetzungen und natürlich auch die minimale Kennwortlänge.

Auch hier werden über einen Rechtsklick die Einstellungen konfiguriert. Sobald man einen neuen Benutzer in der Active Directory anlegen möchte, muss er ein Passwort verwenden, welches mindestens 6 Zeichen enthält.

Sollte übrigens die Richtlinie bisher nicht aktiv sein, was in der Regel immer etwas Zeit in Anspruch nimmt, kann man auch mit der Kommandozeile ein Update der Gruppenrichtlinien erzwingen.

gpupdate /force

Die zweite Einstellung in dieser Struktur soll sein, dass der Benutzer nach dreimaligem falschen Anmelden gesperrt wird. Auch diese Richtlinie befindet sich fast im gleichen Pfad.

Wenn man jetzt die Kontosperrungsschwelle aktiviert und dort angibt, dass der Account nach drei falschen Anmeldeversuchen gesperrt wird, so wird auch automatisch die Richtlinie für die Kontosperrdauer und die Zurücksetzungsdauer des Kontosperrungszählers aktiviert.

Standardmäßig sind diese Werte bei 30 Minuten. Natürlich kann man diese beliebig anpassen.

Fazit

Diese Erklärung soll die grundlegende Konfiguration von Gruppenrichtlinien zeigen. Dabei gibt es generell bei der Planung von den Richtlinien noch viele Sachverhalte, welche unbedingt beachtet werden müssen. So können z. B. Gruppenrichtlinien nur auf Standorte, Domänen und Organisationseinheiten angewendet werden. Jedoch nicht direkt auf Benutzergruppen.

Solche detaillierten Konfigurationen kann man über die Sicherheitsfilterung implementieren. Auch muss man beachten, dass die Richtlinien nach einer gewissen Reihenfolge abgearbeitet werden.

So könnte man sich als Faustregel merken:

0d20c7de5ccf49ada1339ec3b9ce3ce7
Der Blogbetreiber und Autor: Markus Elsberger

Über den Autor

Mein Name ist Markus Elsberger und ich beschäftige mich mit der Administration von Windows und Linux Systemen sowie mit diversen Themen bzgl. Netzwerktechnik. In meiner Lehrtätigkeit erstelle ich verschiedene Szenarien und teste auch verschiedene Konfigurationen, welche ich in diesem Blog festhalten möchte.


Kostenlose Befehlsreferenzen und E-Books
(Netzwerkanalyse, Benutzerverwaltung, Festplattenkonfiguration, u. v. m.)


3 Kommentare zu „How to – So erstellt man eine Gruppenrichtlinie in der Active Directory“

  1. Hallo und guten Abend,
    habe zu den GPOs eine Frage, dies müsste doch auch mit PowerShell funktionieren, bzw. mit einer Remote-PowerShell-Sitzung.
    Den ich habe das Problem, wenn ich GPOs mit PowerShell anlege, werden diese zwar erstellt, aber es werden keine Werte definiert.

    1. Markus Elsberger

      Hallo Mike,
      auch mit der Windows PowerShell sollten die GPOs verteilt werden können! Was meinst du genau mit Werte definiert? Einstellungen in den GPOs?

  2. Hallo Markus,
    leider hab ich keine Nachricht bekommen dass Du schon geantwortet hast.
    folgender Schnipsel
    try {
    # Definieren des Zeitlimits für den Bildschirmschoner in Sekunden (300 Sekunden = 5 Minuten)
    $ScreensaverTimeoutSeconds = 300

    # GPO Display TimeOut
    $GPO = New-GPO -Name „ScreenTimeoutPolicy“ -Comment „Setzt den Bildschirm-Timeout auf 300 Sekunden“

    # überprüfen, ob der Registrierungsschlüssel existiert
    $keyPath = „HKCU:\\Software\\Policies\\Microsoft\\Control Panel\\Desktop“
    if (!(Test-Path -Path $keyPath)) {
    New-Item -Path $keyPath -Force | Out-Null
    }

    # Festlegen der Gruppenrichtlinieneinstellungen für den Bildschirmschoner
    Set-GPRegistryValue -Name $GPO.DisplayName -Key „HKCU\\Software\\Policies\\Microsoft\\Control Panel\\Desktop“ -ValueName ScreenSaveTimeOut -Type STRING -Value $ScreensaverTimeoutSeconds
    Set-GPRegistryValue -Name $GPO.DisplayName -Key „HKCU\\Software\\Policies\\Microsoft\\Control Panel\\Desktop“ -ValueName ScreenSaverIsSecure -Type STRING -Value 1
    Set-GPRegistryValue -Name $GPO.DisplayName -Key „HKCU\\Software\\Policies\\Microsoft\\Control Panel\\Desktop“ -ValueName ScreenSaveActive -Type STRING -Value 1

    # Richtlinieneinstellung im GPO setzen
    New-GPLink -Name $GPO.DisplayName -Target „dc=$using:DomainName,dc=$using:TopLevelDomain“ -LinkEnabled Yes
    } catch {
    Write-ErrorLog „$_ – $($_.Exception.Message)“
    }

    es wird die GPO zwar erstellt, aber wenn ich in am Server die Gruppenrichtlinien prüfe bei Bearbeiten, wird mir angezeigt, dass die nicht definiert ist.
    Egal ob ich das jetzt direkt am Server mache oder per Remote-PowerShell-Sitzung, immer das gleiche Ergebnis das nichts definiert wird.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

×