Wie kann man in der Active Directory im Windows Server 2016 eine Gruppenrichtlinie erstellen

Per Gruppenrichtlinie im Windows Server 2016 die Default Domain Policy bearbeiten - Kontorichtlinien ändern

Grundlegendes

Wenn man ein typisches Server Client Modell hat, wo ein Server als Domänencontroller fungiert und die Clients Mitglieder davon sind, gibt es verschiedene Varianten um die Arbeitsplätze der einzelnen Clients zu konfigurieren. Neben Scripten und dem Benutzerprofil gibt es noch die Gruppenrichtlinien, welches ein sehr mächtiges Werkzeug sind. Mit einem sogenannten Gruppenrichtlinienobjekt (GPO Group Policy Object) hat man eine Vielzahl an Einstellungsmöglichkeiten für Computer und Benutzer. Nach der Installation eines Domänencontrollers mit dessen Active Directory sind neben der Default Domain Policy keine weiteren GPOs verhanden. Wenn man neue erstellen möchte, muss man dieses Erzeugen sowie anschließend mit der Domäne einem Standort oder eine Organisationseinheit verknüpfen.

Konfiguration einer Richtlinie

Im Folgendem Tutorial soll die grundlegende Bearbeitung und Erstellung einer Gruppenrichtlinie erläutert werden. Dabei soll per Richtlinien die Struktur der Domäne so konfiguriert werden, dass jeder Domänen Benutzer ein Passwort mit mindestens 6 Zeichen haben muss und sein Account nach fünfmaligem falsch Anmelden gesperrt wird.

Konfiguration einer Gruppenrichtlinie im Server 2016 – Öffnen der Gruppenrichtlinienverwaltung

Im ersten Schritt öffnet man dazu die Gruppenrichtlinienverwaltung. Diese erreicht man über den Server-Manager und anschließend Tools. Auf der linken Seite sieht man jetzt die Domäne mit dem Namen schule.local. Darunter befindet sich ganz oben die Default Domain Policy und anschließend darunter die Organisationseinheiten wie z.B. Domain Controllers oder wie in meiner Konfiguration die OU SperrenVerweigert.

Konfiguration einer Gruppenrichtlinie im Server 2016 – Öffnen der Gruppenrichtlinienverwaltung Überblick

Per Rechtsklick auf die Default Domain Policy erhält man dazu ein Kontextmenü. Mit “Bearbeiten” kann man jetzt die Richtlinie konfigurieren. Es öffnet sich jetzt der Gruppenrichtlinienverwaltungs-Editor. Auch hier ist links wieder ersichtlich für was Einstellungen vorgenommen werden können. Also entweder auf Computer oder Benutzer. Da in diesem Tutorial die Richtlinie für das Passwort geändert werden soll, wird die Computerkonfiguration benötigt. Der komplette Pfad ist dabei folgender:

Computerkonfiguration -> Richtlinien -> Windows-Einstellungen ->Sicherheitseinstellungen -> Kontorichtlinien -> Kennwortrichtlinien

Windows Server 2016 – Domäne – Gruppenrichtlinie bearbeiten – Kontorichtlinien

Unter diesem Menüpunkt sind verschiedene Richtlinien zum Kennwort vorhanden. U.a. findet man dort auch das maximale Kennwortalter die Komplexitätsvoraussetzungen und natürlich auch die minimale Kennwortlänge. Auch hier werden über einen Rechtsklick die Einstellungen konfiguriert. Sobald man einen neuen Benutzer in der Active Directory anlegen möchte, muss er ein Passwort verwenden, welches mindestens 6 Zeichen enthält.

Sollte übrigens die Richtlinie noch nicht aktiv sein, was in der Regel immer etwas Zeit in Anspruch nimmt, kann man auch mit der Kommandozeile ein Update der Gruppenrichtlinien erzwingen.

gpupdate /force

Die zweite Einstellung in dieser Struktur soll sein, dass der Benutzer nach dreimaligem falschen anmelden gesperrt wird. Auch diese Richtlinie befindet sich fast im gleichen Pfad. Wenn man jetzt die Kontosperrungsschwelle aktiviert und dort angibt, dass der Account nach drei falschen Anmeldeversuchen gesperrt wird, so wird auch automatisch die Richtlinie für die Kontosperrdauer und die Zurücksetzungsdauer des Kontosperrungszählers aktiviert. Standardmäßig sind diese Werte bei 30 Minuten. Natürlich kann man diese beliebig anpassen.

Fazit

Diese Tutorial soll die grundlegende Konfiguration von Gruppenrichtlinien zeigen. Dabei gibt es generell bei der Planung von den Richtlinien noch viele Sachverhalte, welche unbedingt beachtet werden müssen. So können z.B. Gruppenrichtlinien nur auf Standorte, Domänen und Organisatonseinheiten angewendet werden. Jedoch nicht direkt auf Benutzergruppen. Solche detaillierte Konfigurationen kann man über die Sicherheitsfilterung implementieren. Auch muss man beachten, dass die Richtlinien nach einer gewissen Reihenfolge abgearbeitet werden. So könnte man sich als Faustregel merken: Es gilt immer die Richtlinie, welche am nächsten bei dem Objekt ist. Wenn jetzt z.B. ein Benutzer in einer OU ist, welche für das Passwort eine andere Richtlinie hat, als in der Default Domain Policy steht. So wird letztendlich die der OU angewendet.