GPO/Gruppenrichtlinien: Das ist neu bei Windows Server 2016

0

Die neuen Gruppenrichtlinien für Windows Server 2016 bieten vor allem ein Mehr an Sicherheit. Hinzu kommen zahlreiche neue Templates, die den Funktionsumfang erweitern.

Wozu dienen die neuen Gruppenrichtlinien?

Die Gruppenrichtlinien (GPOs) von Windows Server dienen dazu, Nutzer verschiedener Zugangsstufen sowie Netzwerkanbindungen und Sicherheitsregeln zu verwalten. Eine Gruppenrichtlinie gilt dabei jeweils für bestimmte Standorte, Domains, Organisationseinheit oder Nutzerkonten. Mit dem Erscheinen von Windows Server 2016 bekommen Administratoren auch neue GPOs an die Hand. Nun hat Windows neue Richtlinien herausgegeben, den Admins mehr Kontrolle in Sicherheitsfragen geben. Ausgelegt sind die neuen GPOs für den Windows-Server. Wie in den früheren Versionen von Windows Server können Admins auch ein neue Gruppenrichtlinie entsprechend ihren eigenen Bedürfnissen erzeugen. Leider unterstützten die neuen GPOs den Windows Nano Server nur indirekt.

Eine Gruppenrichtlinie kann sich sowohl auf Benutzer wie auf Computer und ganze Netze beziehen. Sie wirkt jedoch nicht auf Gruppen, sondern auf Computer- oder Benutzerkonten. Admins können dabei auf den Ebenen Sites, Domäne, Organisationseinheit und lokaler Computer eine oder mehrere GPOs einrichten.

Dabei sind Sites Standorte, an denen eine einheitliche Normierung herrschen muss. So müssten im Webauftritt eines global präsenten Unternehmens mit Sitzen in Deutschland, USA und Japan Unterauftritte und mit ihnen die GPOs jeweils auf das betreffende Land zugeschnitten werden. Auf der Domain-Ebene werden GPOs für die gesamte Domain festgelegt. Ausnahme sind die Domain Controller, die eine eigene Gruppenrichtlinie brauchen.

Eine Gruppenrichtlinie kann sich sowohl auf Benutzer wie auf Computer und ganze Netze beziehen. (#01)

Eine Gruppenrichtlinie kann sich sowohl auf Benutzer wie auf Computer und ganze Netze beziehen. (#01)

Was die neuen Gruppenrichtlinien leisten

Für den Windows Server 2016 hat Windows diese Gruppenrichtlinien in mehreren Punkten verändert. Sie sind gerade für Admins wichtig, die mobile Geräte verwalten. So bietet das Template apprivacy.admx nun eine Sammlung von Applikationen zur Gruppenverwaltung. Über dieses Template können Admins den Zugriff auf verschiedene Funktionen kontrollieren.

Das umfasst den Zugriff auf lokale Tools. Im Einzelnen sind das der Kalender, Kamera, E-Mail, Position, Mikrofon, Bewegung, Funkmodule, Account-Daten, vertraute Geräte sowie der Datenabgleich.

Gruppenrichtlinien werden wie bei Windows Server 2012 über die Window Power Shell verwaltet. Allerdings hat Microsoft den Konfigurationsprozess für eine neue Gruppenrichtlinie gegenüber älteren Versionen verändert. Der Grund dafür ist, dass Windows-Admins nach Möglichkeit Server mit dem kleinstmöglichen Footprint anlegen sollen. Also bietet einem Windows als ideale Lösung eine Variante ohne grafische Benutzeroberfläche zur Installation an.

Außerdem empfiehlt das Unternehmen, Windows Server 2016 nur dann mit den lokalen Administrationswerkzeugen zu installieren, wenn das Programm rückwärts kompatibel sein soll. Nur dann halten die Windows-Entwickler eine direkt auf dem jeweiligen Server liegenden Verwaltung von GPOs für sinnvoll. Ansonsten empfiehlt Windows die Fernkonfiguration, zumal die Power Shell für Windows Server 2016 noch nicht verfügbar ist.

Video: Windows Server 2016: Arbeiten mit Gruppenrichtlinien (GPO) in Active Directory

Die Gruppenrichtlinien und ihre Funktionen im Einzelnen

Mit Hilfe verschiedener Templates lassen sich die neuen Gruppenrichtlinien verwalten:

  • Das Template „cloudcontent.admx“ schaltet die Berichtsfunktion für das Microsoft Consumer Reporting Program ab. Diese Funktion ist besonders für Anwender interessant, die großen Wert auf die Vertraulichkeit ihrer eigenen Unternehmensdaten legen.
  • Mit Hilfe von „globalization.admx“ können Personalisierungen erlaubt oder verboten werden.
  • Über „grouppolicy.admx“ können Admins nicht vertrauenswürdige Schriftarten blockieren.
  • Durch „datacollection.admx“ kann Nutzern die Nutzung von Telemetriedaten sowie die Kontrolle über Software-Builds erlaubt oder verboten werden.
  • Zudem enthält Windows Server 2016 zahlreiche neue Gruppenrichtlinien und Funktionen. Somit erhalten Admins mehr Möglichkeiten, auch eine einzelne neue Gruppenrichtlinie ihren Bedürfnissen entsprechend zu konfigurieren. Unter den neuen GPOs finden sich die folgenden Möglichkeiten, Aktivitäten und Zugangsstufen von Nutzern zu regulieren:
  • Die Funktion „credentialproviders.admx“ weist Standard-Provider von Anmeldedaten zu.
  • Mit „biometrics.admx“ lässt sich die Verwendung erweiterter Anti-Spoofing-Techniken steuern.
  • Das Key Management Service Clients-System sowie das Online Adress System kann mit „avsvalidationgp.admx“ abgeschaltet werden.
  • Admins, die die Einstellungen oder Vorabfunktionen außer Funktion setzen möchten, können das mit „datacollection.admx“ tun.
Zudem enthält Windows Server 2016 zahlreiche neue Gruppenrichtlinien und Funktionen. Somit erhalten Admins mehr Möglichkeiten, auch eine einzelne neue Gruppenrichtlinie ihren Bedürfnissen entsprechend zu konfigurieren.(#02)

Zudem enthält Windows Server 2016 zahlreiche neue Gruppenrichtlinien und Funktionen. Somit erhalten Admins mehr Möglichkeiten, auch eine einzelne neue Gruppenrichtlinie ihren Bedürfnissen entsprechend zu konfigurieren.(#02)

Gruppenrichtlinien für verbesserte Verschlüsselung

Einige der neuen Gruppenrichtlinien-Einstellungen beziehen sich auf kryptografische Funktion, also auf die Datenverschlüsselung. Mit dem „ciphersuiteorder.admx“ können Admins die Stärke der Verschlüsselung durch elliptische Kurven-Kryptografie (ECC) steuern. ECC ist ein so genanntes „public key“-Verfahren, das auf der Berechnung elliptischer Kurven basiert.

Bei „public key“-Verfahren nutzen Anwender einen öffentlich zugänglichen Schlüssel, um einen Geheimtext zu erzeugen. Der Empfänger des Textes verfügt über einen eigenen Geheimschlüssel, um den Text in Klartext zurückzuverwandeln. Weil dieser Geheimschlüssel nicht öffentlich ist, können unerwünschte Mitleser einen nach diesem Verfahren kodierten Text nicht entschlüsseln; ECC ist also eine recht sichere Verschlüsselung.

Zudem können Administratoren mit dem Security Compliance Manager (SCM) Vorlagen für Gruppenrichtlinien erzeugen, mit denen sich Server und Workstations absichern lassen. Diese Vorlagen sind mit den Sicherheitseinstellungen vorkonfiguriert, die Microsoft für die jeweiligen Serverlösungen vorschlägt.


Bildnachweis:©Shutterstock-Titelbild:wavebreakmedia – #01:Syda Productions  – #02:garagestock

Über 

Marius Beilhammer, Jahrgang 1969, studierte Journalismus in Bamberg. Er schreibt bereits viele Jahre für technische Fachmagazine, außerdem als freier Autor zu verschiedensten Markt- und Businessthemen. Als fränkische Frohnatur findet er bei seiner Arbeit stets die Balance zwischen Leichtigkeit und umfassendem Know-how durch seine ausgeprägte Affinität zur Technik.

Share.

Leave A Reply