Zukunft der Gruppenrichtlinien

27. Juli 2016

In welchen Aufgabenfeldern soll der Administrator die Gruppenrichtlinien einsetzen – und welche Konkurrenz stellen Konzepte wie Intune, der System Center Configuration Manager (SCCM) aber auch die Powershell kombiniert mit DSC (Desired State Configuration)? Antworten auf diese Fragen gibt dieser Beitrag. Er zeigt deutlich: Die Gruppenrichtlinien verlieren nicht an Gewicht, vor allem bei der Verwaltung von Endgeräten, die zu einer AD-Domäne gehören.

 

Der IT-Einsatz im Unternehmen ändert sich massiv. Vieles wird aus der Cloud bezogen, Mobility steht ebenfalls weit oben auf der Wunschliste, denn Tablets und Smartphones mit schicken Apps haben längst Einzug im Unternehmensalltag gefunden. Das ändert auch die Arbeit der Administratoren – viele gewohnte Tools und Konzepte stehen auf dem Prüfstand. Dazu gehören auch die Gruppenrichtlinien – eine wesentliche Komponente des Active Directory (AD).

Generell herrscht eine gewisse Unsicherheit, ob dieses Konzept noch in „die heutige Zeit“ passt. Denn das Thema „Mobile Device Management“ (MDM) kann mit Tools wie Intune angegangen werden. Zudem lassen sich mit dem System Center Configuration Manager (SCCM) viele Verwaltungsaufgaben gut abdecken. Eine andere Verwaltungsmethodik steht mit der Powershell zur Verfügung: Mit dieser Skriptumgebung lassen sich ebenfalls viele Aufgaben stemmen, vor allem wenn man sich ab der Version 4.0 der Powershell auf die „Desired State Configuration“ (DSC) fokussiert. Und speziell bei der Kombination von Cloud mit der Inhaus-IT kommt noch das „Azure Active Directory“ mit ins Spiel. All diese Faktoren können zu der Einschätzung führen, dass man die Gruppenrichtlinien eigentlich gar nicht mehr benötigt.

Doch wer diese Entwicklungen nüchtern betrachtet, der wird erkennen: Die Gruppenrichtlinien sind nach wie vor die beste Option, um Windows-PCs und -Tablets, die zu einem Unternehmensnetzwerk mit einem AD gehören, möglichst detailliert mit Windows-Tools konfigurieren zu können. Deswegen bringt Microsoft auch mit jeder neuen Windows-Version zusätzliche Einstellungen bei den Gruppenrichtlinien ins Spiel. Um den IT-Verantwortlichen in Unternehmen die logische Entscheidungsfindung zu vereinfachen, hat Microsoft einen Ablaufplan publiziert. Er zeigt klar, wie sich der Einsatz von Gruppenrichtlinien (mit den Gruppenrichtlinienobjekten, GPOs, Group Policy Objects) vom Anwendungsbereich von Intune MDM abgrenzt. Wenn man sich diese Entscheidungsfindung Schritt für Schritt vornimmt, kommt man zu den folgenden Ergebnissen:

Die erste Fragestellung lautet: Hat man in seinem Unternehmensnetzwerk ein AD im Einsatz und sind die Endgeräte – genauer Windows-PCs und Tablets – Mitglieder der Domäne. Das wird bei den allermeisten Organisationen zutreffen – das dürften weit über 90 Prozent aller Systeme im produktiven Einsatzbereich der Unternehmen sein. Diese Klientel ist bestens beraten, nach wie vor mit Hilfe der Gruppenrichtlinien diese Endgeräte zu verwalten.

Die zweite Entscheidung bezieht sich auf den Grad der Granularität bei den Einstellungen – bei Systemen, die keiner Domäne beigetreten sind. Wer hier sehr detaillierte Vorgaben machen möchte, ist ebenfalls gut beraten, die Gruppenrichtlinien einzusetzen.

Wer zudem beabsichtigt, auf Windows 10 umzusteigen (oder diese Migration bereits vollzogen hat), auch für den empfiehlt Microsoft, dass er mit den Gruppenrichtlinien die neuen Einstellungen (die speziell mit Windows 10 ins Spiel gekommen sind) verwalten soll.

Wer weitere Argumente für den Einsatz der Gruppenrichtlinien benötigt: Sie verfügt über die meisten Einstellmöglichkeiten, bietet die größte Funktionalität, erweist sich als die flexibelste Lösung und ist bereits beim Windows enthalten. Sie arbeitet beim Anmelden und auch bei einem Neustart, bietet ein vernünftiges Reporting. Zudem gibt es dazu weitere Tools (auch von Drittherstellern) und das wichtigste: Die Gruppenrichtlinien arbeiten in der Regel so, wie man es erwartet – mittlerweile bei Millionen von PCs und bei zahllosen Änderungen oder Aktualisierungen.

Daher muss man allerdings auch herausarbeiten, für welche Einsatzfelder sich die anderen Verwaltungs-Tools von Microsoft eignen und wo sie ihre absoluten Stärken haben.

 

System Center Configuration Manager (SCCM)

Wenn es darum geht, Betriebssysteme auszurollen oder andere Software auf einem PC aufzuspielen, hat der SCCM seine Stärken. Dazu gehört auch noch der Aspekt der Software-Inventarisierung sowie das Patchen und Einspielen von Windows-Updates. Zudem ist das Reporting des SCCM sehr mächtig. Der SCCM verfügt auch noch über eine Vielzahl von anderen Funktionalitäten, doch die hier erwähnten sind seine absoluten Stärken. Klar mit dem SCCM ist der Administrator in der Lage, eine Einstellung in der Registry zu setzen, die ähnlich einer Gruppenrichtlinien-Einstellung ist oder er kann mit dem SCCM eine Datei auf einen Desktop-Rechner kopieren . Doch der SCCM ist sicher nicht das beste Tool, um derartige Aufgaben zu absolvieren.

Allerdings gibt es beim SCCM einige vordefinierten Funktionen, die sich mit den bestehenden Gruppenrichtlinien-Einstellungen überlappen. Das bezieht sich zum Beispiel auf die Themenbereiche Power Management-Einstellungen oder die Vorgaben für die Folder Redirection. Hier sollte sich der Administrator auf eine Lösung konzentrieren und nicht mit verschiedenen Techniken dieselben Einstellungen bearbeiten.

Microsoft Intune

Seine absolute Stärke hat Intune bei der Verwaltung von Smartphones (iOS, Android und Windows Phones) und wenn es darum geht, einige Aspekte bei Windows-PCs zu verwalten. Dabei bekommt man einige Fähigkeiten für das Management von Systemen, die nicht einer Domäne hinzugefügt worden sind. Auch wenn man Mitarbeiter mit ihren eigenen Endgeräte auf Unternehmensdaten zugreifen lassen möchte (oder muss), kann Intune punkten.

Intune arbeitet auf zwei unterschiedliche Arten. Zum einen ist der Intune-Client-Ansatz zu nennen. Dabei muss – wie auch beim SCCM – spezielle Software auf dem betreffenden Endgerät installiert werden. Diese Client-Software nimmt dann die Vorgaben entgegen. Der Intune-Client kann allerdings nur auf echten Windows-PCs installiert werden, nicht dagegen auf den Smartphones (wie iOS und Android). Wenn man nun aber auf seinen Endgeräten keine Zusatzsoftware installieren möchte (oder kann), dann stehen einem einige Vorteile von Intune zur Verfügung, aber eben nicht alle.

Intune oder entsprechende Produkte von Drittherstellern (wie Airwatch oder MobileIron) können alle dieselbe Receiver-Plattform verwenden, um die neuesten Vorgaben auszuführen – dieser Receiver trägt die Bezeichnung „Mobile Device Management Client“. Diese Software ist sozusagen ein naher Verwandter von den Gruppenrichtlinien. Denn wie auch die Gruppenrichtlinien ist der MDM Client bereits im Umfang des Betriebssystems (zumindest bei Windows 10 enthalten und kann Anweisungen bzw. Vorgaben umsetzen, ganz so wie das auch bei den Gruppenrichtlinien gemacht wird. Trotz dieser Ähnlichkeit unterscheiden sich die beiden Ansätze:

Microsoft formuliert, dass der MDM-Ansatz die Einstellungen vornimmt, die der Administrator beabsichtigt vorzugeben. Es geht dabei um die „beabsichtigten Vorgaben“, nicht aber um jede der zugehörigen, einzelnen Einstellung. Bei den Gruppenrichtlinien aber werden die sehr detaillierten Einstellungen – auch für einzelne Systeme – angesprochen, die der Administrator genau kontrollieren kann.

Bei den „beabsichtigten Vorgaben“ kann der Administrator eher generelle Vorgaben machen, etwa um bestimmte Sicherheitskriterien zu erfüllen. Dazu gehören zum Beispiel die Einstellungen für VPN (Virtual Private Networks), die Mail-Einstellungen oder die Mindestlänge der Kennwörter. Doch bei diesen Vorgaben kümmert es den Administrator nicht, wie das sozusagen unter der Haube realisiert wird – und manchmal hat er auch gar keine Möglichkeit, das zu wissen. Hier funktioniert Intune gut – es nimmt die Einstellungen vor, aber man muss nicht genau wissen, was dazu gemacht wird. Dieser Charakter kann für einige Administratoren passend sein, andere wird das dagegen massiv stören.

Generell arbeitet das MDM-Konzept mit XML-basierten Informationen, damit sind alle Vorgaben sehr knapp gehalten und lassen sich gut über schmale Bandbreiten versenden sowie empfangen. Damit ist MDM dort die beste Wahl, wo die Endgeräte praktisch allzeit im mobilen Einsatz – also im Bereich der Mobilfunknetze – sind, wie eben ein Handy.

Powershell und DSC

Die Stärken der Powershell selbst sind das Ausführen von komplexen Aktionen, bei denen eine gewisse Ablauflogik zum Einsatz kommt und bei denen auch im Bereich der Fehlerbehebung Aktionen auszuführen sind. Dabei geht es meist um das Konfigurieren von Objekten, die eine gewisse Methode brauchen (aus den Bereichen WMI, COM oder API). Die Desired State Configuration (DSC) ist ein Bestandteil der Powershell und eignet sich sehr gut, um bei einer beliebig großen Anzahl von Servern ganz bestimmte Spezifikationen zu setzen.

Die Kombination Powershell mit DSC erweist sich in der Realität als sehr mächtig. Doch die Powershell ist nicht dafür konzipiert, permanent Änderungen an den Endgeräten auszuführen. Und DSC ist auch nicht dafür gedacht, Zustände bei Windows-Endgeräten mit Windows 7, 8.1 oder 10) vorzugeben. DSC ist für den Einsatz bei Servern vorgesehen und kann die Endgeräte nicht so gut adressieren wie die Gruppenrichtlinien. DSC ist eher als ein Ersatz für die Gruppenrichtlinien zu sehen. Wenn es darum geht, die – genauer gesagt viele – Server entsprechend zu konfigurieren. Allerdings sollte man noch unbedingt erwähnen, dass ein Zusammenspiel von DSC und den Gruppenrichtlinien schwer machbar ist, denn die beiden Konzepte spielen nicht gut zusammen.

Rainer Huttenloher

Lesen Sie auch