# Group Policy Basics: Zentrale Steuerung im Enterprise

TL;DR / Management Summary Group Policy Objects (GPOs) ermöglichen die zentrale Konfiguration von Tausenden Windows-Clients. Der Schlüssel zum Erfolg ist das Verständnis der LSDOU-Reihenfolge (Local, Site, Domain, OU): Die Richtlinie, die näher am Objekt (Client/User) liegt, gewinnt. Wir nutzen GPOs für Security-Hardening, Software-Verteilung (MSI) und Desktop-Standardisierung.

# 1. Einführung & Architektur

Wie Richtlinien fließen.

Eine GPO ist eine Sammlung von Einstellungen, die in der Datenbank des Active Directory gespeichert wird. Der Client lädt diese via LDAP/SMB vom Domain Controller herunter.

# Die Verarbeitungshierarchie (LSDOU)

Wenn Einstellungen widersprüchlich sind, gilt folgende Priorität (von schwach nach stark):

  1. Local (Lokale Richtlinie auf dem PC)
  2. Site (Standort im AD)
  3. Domain (Die gesamte Domäne)
  4. Organizational Unit (Die OU, in der das Objekt liegt)

# Architektur-Diagramm (Mermaid)

graph TD
    DC[Domain Controller / SYSVOL] -->|LDAP / SMB| PC[Windows Client]
    PC -->|1. Check| GPC[Group Policy Container - AD Object]
    PC -->|2. Download| GPT[Group Policy Template - Files in SYSVOL]
    GPT -->|3. Trigger| CSE[Client Side Extensions]
    CSE -->|4. Apply| REG[Registry / Security / Files]

# 2. GPO Design & Erstellung

Struktur statt Chaos.

# Best Practices für Admins

# 3. Deep Dive: Client Side Extensions (CSE)

Die Arbeiter im Hintergrund.

Der Gruppenrichtlinien-Dienst selbst ändert nichts. Er ruft spezialisierte DLLs auf, die CSEs.

# GPP (Group Policy Preferences) vs. Policies

Preferences sind flexibler. Sie können vom User überschrieben werden (falls gewünscht) und bieten mächtiges Item-Level Targeting (z.B. “Mappe Laufwerk P: nur, wenn der User in Gruppe ‘Buchhaltung’ ist”).

# 4. Day-2 Operations: Analyse & Fehlersuche

Warum zieht die Richtlinie nicht?

# gpresult: Die Wahrheit auf dem Client

# Erstellt einen detaillierten HTML-Report der angewendeten Richtlinien
gpresult /h report.html /f

# gpupdate: Den Sync erzwingen

# Aktualisiert nur geänderte Einstellungen
gpupdate /force

# 5. Troubleshooting & “War Stories”

Wenn die GPO zum Bumerang wird.

# Top 3 Fehlerbilder

  1. Symptom: GPO wird nicht angewendet, obwohl sie verlinkt ist.

    • Ursache: Fehlende Leserechte für “Authenticated Users” (Sicherheitsfilterung).
    • Lösung: Fügen Sie “Authenticated Users” mit Leseberechtigung auf dem Tab “Delegierung” hinzu.

  2. Symptom: Settings werden beim nächsten Reboot wieder gelöscht.

    • Ursache: Konflikt mit einer höherwertigen OU-Policy oder “Enforced” Flag auf Domain-Ebene.
    • Lösung: Nutzen Sie den “Policy Modeling Wizard” in der GPMC.

  3. Symptom: Startvorgang dauert 10 Minuten (“Applying Group Policy…”).

    • Ursache: Zu viele WMI-Filter oder langsame Skripte.
    • Lösung: Skripte auf Asynchron schalten oder in Task Scheduler auslagern.

# “War Story”: Die “Wall of Death”

Wir hatten einen Fall, bei dem ein Admin eine GPO erstellte, um den Desktop-Hintergrund auf allen 2000 Clients auf ein 50MB hochauflösendes Foto zu setzen. Impact: Beim morgendlichen Login-Peak versuchten 2000 Clients gleichzeitig das 50MB File vom Domain Controller (SYSVOL) zu laden. Das Netzwerk kollabierte, und kein User konnte sich anmelden. Lehre: Nutzen Sie GPOs niemals für den Transfer großer Dateien. Kopieren Sie Daten lokal (via Preferences) und verlinken Sie dann darauf.

# 6. Monitoring & Auditing

Änderungen verfolgen.

# GPO Health Check

Überwachen Sie den Replikationsstatus zwischen Ihren Domain Controllern:

# Prüft, ob alle GPTs (Files) auf allen DCs identisch sind
dcdiag /test:replications

# 7. Fazit & Empfehlung

GPOs sind das mächtigste Werkzeug für Windows-Admins, aber sie erfordern Disziplin.

# Anhang: Cheatsheet

Tool / Befehl Zweck
gpmc.msc Die Management Konsole (auf dem Admin-PC)
rsop.msc Resultant Set of Policy (Alt, aber nützlich für UI-Check)
gpresult /r Schnelle Übersicht auf der CMD
Get-GPO -All Alle GPOs via PowerShell auflisten

# Referenzen