Die Sicherheitsfilterung von Gruppenrichtlinienobjekten (GPOs) ist eine Funktion von Microsoft Windows, die es ermöglicht, eine Gruppenrichtlinie nur auf bestimmte Benutzer oder Benutzergruppen anzuwenden, anstatt sie auf alle Benutzer und Computer in einer Organisationseinheit (OU) einer Domäne zu übertragen. Dies ermöglicht eine zielgerichtete Kontrolle und die Anwendung bestimmter Richtlinien nur auf bestimmte Benutzer oder Gruppen, was zu einer flexibleren und sichereren Verwaltung von Richtlinien führt.
Die Sicherheitsfilterung funktioniert, indem die GPO mit bestimmten Sicherheitsprinzipalen (z.B. Benutzerkonten oder Gruppen) verknüpft wird. Nur die definierten Benutzer oder Gruppen haben dann die Berechtigung, die Richtlinie anzuwenden, während andere Benutzer oder Gruppen von dieser Richtlinie ausgeschlossen werden.
Sicherheitsfilterung
In einem Gruppenrichtlinienobjekt in einer Active Directory Domäne können verschiedene Einstellungen vorgenommen werden, die auf Benutzer oder Computer in der Domäne angewendet werden können. In einem neuen Gruppenrichtlinienobjekt haben standardmäßig alle authentifizierten Benutzer oder Computer der Organisationseinheit (OU), mit der die GPO verknüpft ist, das Recht, diese GPO zu lesen und anzuwenden.
Zu Demonstrationszwecken wird eine Sicherheitsgruppe Disable Startmenu Items sowie ein gleichnamiges Gruppenrichtlinienobjekt erstellt. Die Namensgebung spielt im Prinzip keine Rolle, jedoch erleichtert das Konzept der gleichnamigen Sicherheitsgruppen und Richtlinienobjekte später die Administration und das Troubleshooting:
Anschließend wird in der Sicherheitsfilterung des Gruppenrichtlinienobjekts die Gruppe Authentifizierte Benutzer entfernt und die Sicherheitsgruppe Disable Menu Items hinzugefügt. Im Register Delegation wird der Sicherheitsgruppe Disable Menu Items das Recht Lesen und Gruppenrichtlinie übernehmen zugewiesen. Fügen Sie hier auch wieder die Gruppe Authentifizierte Benutzer hinzu, jedoch nur mit dem Recht Lesen.
Verknüpfen Sie das Gruppenrichtlinienobjekt mit einer übergeordneten OU in Ihrem AD-Baum und fügen Sie der Sicherheitsgruppe die Benutzer bzw. Computer hinzu, für die diese Richtlinie gelten soll. Solange die Vererbung der Richtlinien nicht explizit deaktiviert ist, gelten die Richtlinien für alle untergeordneten Organisationseinheiten und deren Objekte (Abhängig von den Berechtigungseinstellungen). Bei widersprüchlichen Einstellungen entscheidet die Reihenfolge der Abarbeitung bzw. bei unterschiedlichen Prioritäten die höhere Priorität.
Der umgekehrte Fall, einer Gruppe explizit das Recht zu entziehen, Gruppenrichtlinien zu lesen und zu übernehmen, wird nicht empfohlen, da diese Gruppe sonst aus der Anzeige der Sicherheitsfilterung und Delegation entfernt wird. Dies erschwert die Verwaltung der Gruppenrichtlinien erheblich.
Das System wendet nun die Richtlinien auf die in der Sicherheitsgruppe definierten Objekte an. Richtlinien für Computereinstellungen werden auf Computerobjekte und Richtlinien für Benutzereinstellungen auf Benutzerobjekte angewendet:
C:\>gpresult /R
COMPUTEREINSTELLUNGEN
----------------------
CN=11-PC-1,OU=Computer,OU=Test-Lab,DC=PROSYS,DC=intern
Letzte Gruppenrichtlinienanwendung: 29.12.2024, um 18:41:44
Gruppenrichtlinieanwendung von: DC1.PROSYS.intern
Schwellenwert für langsame Verbindung:500 kbps
Domänenname: PROSYS
Domänentyp: Windows 2008 oder höher
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Disable Starmenu Items
Default Domain PolicyEinige Gruppenrichtlinien erfordern einen Neustart, damit die Änderungen vollständig übernommen werden, auch wenn gpupdate /force ausgeführt wird. Dies kann insbesondere bei Richtlinien der Fall sein, die tief in das Betriebssystem integriert sind, wie z. B. Änderungen an der Benutzeroberfläche (z. B. Entfernen von Optionen aus dem Startmenü), oder bei Richtlinien, die nach dem Systemstart neu geladen werden müssen.
WMI-Filterung
Die WMI-Filterung (Windows Management Instrumentation) in der Gruppenrichtlinienverwaltung ermöglicht die selektive Anwendung von Gruppenrichtlinienobjekten (GPOs) nur auf bestimmte Computer oder Benutzer, basierend auf bestimmten Systemeigenschaften oder -zuständen, die durch WMI-Abfragen definiert werden.
Die WMI-Filterung verwendet WMI-Abfragen, um Gruppenrichtlinien basierend auf bestimmten Attributen des Zielsystems anzuwenden. Beispielsweise können Gruppenrichtlinien nur auf Computer mit einer bestimmten Windows-Version oder Hardwarekonfiguration oder auf Benutzer mit einer bestimmten installierten Software angewendet werden.
Informationen zu WMI-Objekten und WMI-Klassen finden Sie im Artikel Windows Management Instrumentation (WMI)
