Im Zusammenhang mit meiner Zertifizierungsvorbereitung zum Thema Active Directroy habe ich mich auch aus dienstlichem Hintergrund am Freitag sehr stark mit Gruppenrichtlinien beschäftigt.
Der Regelfall für eine Gruppenrichtlinie (GPO) ist, in dem man seine entsprechenden Einstellungen konfiguriert und die Ricktlinie an die Domäne oder eine Organisationseinheit (OU) bindet.
Mehrere Passwortrichtlinien können inzwischenzeit unter Windows Server 2008 und der entsprechenden Domänenfunktion erstellt und verwaltet werden.
Nun trat allerdings das Problem auf, daß mehrere Richtlinien verschachtelt werden mussten und nicht jeder Anwender jede Group Policy erhalten sollte. Es gab nun mehrere Varianten:
Variante A: für jede Gruppenrichtlinie eine eigene OU
Wenn man nur eine Gruppenrichtlinie einsetzt, okay. Leider ist dieses allerdings selten der Fall.
Variante B: Vererbung in bestimmten OUs unterbrechen
Durch die Beendigung der Vererbung ist es schwierig Änderungen in der gesammten Directory-Struktur unterzubringen. Ausserdem können bei der Auflösung der Vererbung weitere Richtlinien beendet werden, die händisch nach gesteuert werden müssen.
Variante C: WMI-Filterung
Vielleicht kann man es durch einen WMI-Wert filtern, welcher Client die Richtlinie verarbeiten soll. Zum Beispiel wäre eine Richtlinie denkbar für alle Systeme, die mit Windows XP arbeiten erhalten Richtlinie 1 sowie alle Systeme, die mit Windows Vista arbeiten, erhalten Richtlinie 2.
Dieses funktioniert so lange gut, bis 2 Faktoren erreicht sind:
Faktor 1: Die WMI-Filterung verlangsamt das Start des Rechners so stark, dass die Anwender sich beschweren, da das Auslesen der WMI-Daten Rechnerleistung benötigt.
Faktor 2: Es werden noch Windows 2000-Systeme genutzt. Bei diesen Systemen ist eine WMi-Filterung nicht möglich, so dass beide Richtlinien auf dem System greifen würden entsprechend der Rangfolge
Variante D: Sicherheitsfilterung
Über diesen Weg ist es möglich Domänen-Gruppen zu berechtigen und entsprechend die User bzw. Computer zu steuern, die diese Richtlinie abarbeiten soll. Ein weiterer Vorteil ist, dass ein Helpdesk ohne Kenntnis über Gruppenrichtlinien diese Verwalten kann in der für Sie bekannten Form per SnapIn für die MMC über „Active Directory Benutzer und Computer“