Zum Inhalt springen
sw
en

Tippe um zu suchen

Server & Active Directory

Group Policy (GPO) – Grundlagen

Gruppenrichtlinien zentral verstehen und einsetzen: LSDOU-Verarbeitung, GPO-Erstellung, Troubleshooting und Praxisbeispiele für den KMU-Alltag.

8 Min Lesezeit Fortgeschritten Zuletzt aktualisiert:

Was sind Gruppenrichtlinien (GPOs)?

Gruppenrichtlinien (Group Policy Objects, kurz GPOs) sind das wichtigste Werkzeug, um Windows-Einstellungen in einer Active-Directory-Domäne zentral zu steuern. Statt auf jedem PC einzeln herumzuklicken, definierst du einmal eine Richtlinie – und sie wird automatisch auf alle zutreffenden Computer und Benutzer angewendet.

Ein GPO ist im Kern eine Sammlung von Einstellungen, die du mit einem AD-Container (Domäne, Standort oder OU) verknüpfst. Windows liest diese Einstellungen beim Start des Computers und bei der Benutzeranmeldung ein.

Typische Anwendungsfälle in einem KMU:

  • Passwort-Richtlinien erzwingen (Mindestlänge, Komplexität, Ablaufdauer)
  • Netzlaufwerke automatisch mappen (z.B. \\srv-datei\Projekte als P:)
  • Startseite im Browser für alle setzen
  • USB-Sticks und externe Datenträger sperren
  • Bildschirmschoner mit Passwortsperre nach 10 Minuten
  • Softwarepakete (MSI) automatisch deployen
  • Firmen-Hintergrundbild oder Sperrbildschirm ausrollen
  • Windows Defender Firewall-Regeln definieren
  • Lokale Administratoren verwalten

Aufbau eines GPO

Jedes GPO besteht aus zwei Teilen, die auf allen Domänencontrollern gespeichert und repliziert werden:

KomponenteSpeicherortInhalt
Group Policy Container (GPC)Active Directory (Domänenpartition)Metadaten, GUID, Versionsinfos
Group Policy Template (GPT)\\domain\SYSVOL\...\Policies\{GUID}\Die eigentlichen Einstellungsdateien

Die SYSVOL-Replikation erfolgt via DFSR (Distributed File System Replication). Läuft die Replikation schief, wenden verschiedene DCs unterschiedliche GPO-Versionen an – ein klassischer Troubleshooting-Fall.

Innerhalb eines GPO gibt es zwei Hauptbereiche:

  • Computerkonfiguration: Wird beim Start des Computers angewendet. Gilt für das Gerät, unabhängig davon, wer sich anmeldet.
  • Benutzerkonfiguration: Wird bei der Anmeldung angewendet. Gilt für den angemeldeten Benutzer, unabhängig davon, an welchem PC er sitzt.

Verarbeitungsreihenfolge: LSDOU

Das Akronym LSDOU beschreibt, in welcher Reihenfolge GPOs verarbeitet werden. Jede spätere Stufe kann Einstellungen der früheren überschreiben:

  1. Local – Lokale Gruppenrichtlinie direkt auf dem Gerät (gpedit.msc)
  2. Site – GPOs, die mit einem AD-Standort verknüpft sind
  3. Domain – GPOs auf Domänenebene (z.B. die Default Domain Policy)
  4. OU – GPOs auf OU-Ebene, von oben nach unten (übergeordnete OU zuerst, dann Kind-OU)

Praktisches Beispiel: Du hast eine Domain-GPO, die den Hintergrund auf das Firmenlogo setzt. Eine OU-GPO für die Geschäftsführung setzt einen anderen Hintergrund. Die OU-GPO gewinnt – sie wird zuletzt verarbeitet und überschreibt die Domain-GPO.

Vererbung, Block Inheritance und Enforced

Die Standardeinstellung ist: GPOs werden nach unten vererbt. Eine Kind-OU erbt alle GPOs der übergeordneten OU, der Domäne und des Standorts.

Du kannst das Verhalten mit zwei Optionen steuern:

OptionWo gesetztWirkung
Block InheritanceAn einer OUVerhindert, dass GPOs von höheren Ebenen vererbt werden
Enforced (früher: No Override)Am GPO-LinkErzwingt, dass dieser GPO nicht durch Kind-OUs überschrieben werden kann

Wichtig: Enforced schlägt Block Inheritance immer. Ein Domänen-GPO mit Enforced setzt sich durch, auch wenn die Ziel-OU auf Block Inheritance gesetzt ist.

Wann werden GPOs angewendet?

  • Beim PC-Start: Computerkonfiguration wird angewendet (synchron – der Start wartet auf die GPO-Verarbeitung)
  • Bei der Anmeldung: Benutzerkonfiguration wird angewendet
  • Im Hintergrund: Alle 90 Minuten (plus bis zu 30 Minuten zufälliger Offset) prüft der Client, ob sich GPOs geändert haben

Nicht alle GPO-Erweiterungen unterstützen Hintergrundaktualisierung. Software-Installation und Ordnerumleitung werden beispielsweise nur bei Start bzw. Anmeldung verarbeitet.

Gruppenrichtlinien-Verwaltungskonsole (GPMC)

Die GPMC (gpmc.msc) ist dein zentrales Werkzeug für alles rund um GPOs. Du installierst sie über die Remote Server Administration Tools (RSAT):

# RSAT GPO-Tools unter Windows 10/11 installieren
Add-WindowsCapability -Online -Name "Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0"

In der GPMC kannst du:

  • GPOs erstellen, bearbeiten, kopieren, importieren
  • GPOs mit OUs, Domänen oder Standorten verknüpfen
  • Vererbung und Verknüpfungsreihenfolge einstellen
  • Sicherheitsfilterung konfigurieren
  • WMI-Filter erstellen und zuweisen
  • GPO-Resultate (RSoP) abrufen

GPO erstellen – Schritt für Schritt

1. GPMC öffnen

Win+R, dann gpmc.msc eingeben.

2. Neues GPO erstellen

Rechtsklick auf die Ziel-OU > “Gruppenrichtlinienobjekt hier erstellen und verknüpfen…”. Oder: erst unter “Gruppenrichtlinienobjekte” ein neues GPO erstellen, dann per Drag-and-drop oder Rechtsklick mit einer OU verknüpfen.

3. GPO bearbeiten

Rechtsklick auf das verknüpfte GPO > “Bearbeiten” – der Gruppenrichtlinien-Editor öffnet sich.

4. Einstellung konfigurieren (Beispiel: Bildschirmschoner)

Benutzerkonfiguration
  > Richtlinien
    > Administrative Vorlagen
      > Systemsteuerung
        > Anpassung
          → "Bildschirmschoner aktivieren" = Aktiviert
          → "Kennwortschutz für Bildschirmschoner" = Aktiviert
          → "Wartezeit für Bildschirmschoner" = 600 (Sekunden)

5. Sicherheitsfilterung prüfen

Standardmässig gilt jedes GPO für “Authentifizierte Benutzer”. Du kannst das einschränken, indem du diese Gruppe entfernst und stattdessen eine spezifische Sicherheitsgruppe einträgst.

Praxisbeispiele mit konkreten Pfaden

Netzlaufwerk per GPO mappen

Benutzerkonfiguration
  > Einstellungen
    > Windows-Einstellungen
      > Laufwerkszuordnungen
        → Neu > Zugeordnetes Laufwerk

Felder ausfüllen:

  • Aktion: Erstellen
  • Speicherort: \\srv-datei\Projekte
  • Laufwerkbuchstabe: P
  • Label: Projekte

Tipp: Nutze Item-Level Targeting, um das Laufwerk nur für bestimmte Gruppen oder Abteilungen zu mappen – ohne separate GPOs.

USB-Sticks sperren

Computerkonfiguration
  > Richtlinien
    > Administrative Vorlagen
      > System
        > Wechselmedienzugriff
          → "Wechseldatenträger: Ausführungszugriff verweigern" = Aktiviert
          → "Wechseldatenträger: Schreibzugriff verweigern" = Aktiviert

Passwort-Richtlinie (nur auf Domänenebene!)

Computerkonfiguration
  > Richtlinien
    > Windows-Einstellungen
      > Sicherheitseinstellungen
        > Kontorichtlinien
          > Kennwortrichtlinie

Startskript per GPO ausführen

Computerkonfiguration
  > Richtlinien
    > Windows-Einstellungen
      > Skripts (Start/Herunterfahren)
        → Start > Hinzufügen

Skript-Pfad: Muss in einem UNC-Pfad liegen, auf den der Computeraccount Lesezugriff hat (oder im SYSVOL).

GPO testen und debuggen

Das wichtigste Troubleshooting-Werkzeug ist gpresult:

:: Zusammenfassung anzeigen (welche GPOs greifen)
gpresult /r

:: HTML-Report erstellen (sehr detailliert)
gpresult /h C:\gpo-report.html /f

:: Für einen anderen Benutzer auf diesem PC
gpresult /r /user DOMAIN\benutzername

:: GPO sofort neu einlesen erzwingen
gpupdate /force

:: Nur Computerkonfiguration aktualisieren
gpupdate /target:computer /force

:: Nur Benutzerkonfiguration aktualisieren
gpupdate /target:user /force

Per PowerShell kannst du GPO-Updates auch remote auslösen:

# GPO auf einem Remote-PC aktualisieren
Invoke-GPUpdate -Computer "PC-MUSTER-01" -Force

# Alle PCs in einer OU aktualisieren (aus GPMC: Rechtsklick auf OU > Gruppenrichtlinienaktualisierung)
# Oder per PowerShell:
Get-ADComputer -SearchBase "OU=Workstations,DC=firma,DC=local" -Filter * |
  ForEach-Object { Invoke-GPUpdate -Computer $_.Name -Force }

RSoP – Resultant Set of Policy

RSoP zeigt dir, welche Einstellungen nach allen GPO-Konflikten und Filtern tatsächlich für einen Benutzer oder Computer gelten:

:: RSoP-Konsole starten
rsop.msc

:: Oder in der GPMC: Klick auf einen User/Computer > "Gruppenrichtlinienergebnisse"

In der GPMC findest du unter “Gruppenrichtlinienergebnisse” den Assistenten, der RSoP-Daten remote von einem beliebigen PC einsammelt.

Typische Troubleshooting-Szenarien

GPO erscheint in gpresult, Einstellung gilt trotzdem nicht

Ursachen:

  • Eine GPO auf niedrigerer Ebene überschreibt die Einstellung (LSDOU!)
  • Die Einstellung liegt in der Benutzerkonfiguration, der PC wurde nicht neu gestartet / der User nicht neu angemeldet
  • Lokale Richtlinie (gpedit.msc) überschreibt die Einstellung (selten, aber möglich bei schlecht verwalteten PCs)
:: Detaillierten Report prüfen – zeigt "Gewinnendes GPO" je Einstellung
gpresult /h C:\gpo-report.html /f

GPO erscheint gar nicht in gpresult

Ursachen:

  • Benutzer/Computer liegt in der falschen OU
  • Sicherheitsfilter passt nicht (Gruppe fehlt oder “Gruppenrichtlinie anwenden” nicht gesetzt)
  • WMI-Filter schlägt fehl oder gibt false zurück
  • SYSVOL-Replikation defekt: GPO-Version auf DC1 und DC2 stimmt nicht überein
# SYSVOL-Replikationsstatus prüfen
repadmin /showrepl

# GPO-Version auf DCs vergleichen
Get-GPO -Name "Mein GPO" | Select-Object DisplayName, Id, ModificationTime

gpupdate /force schlägt fehl

:: Detaillierten Fehlercode anzeigen
gpupdate /force /logoff /wait:0

:: Ereignisanzeige prüfen: Anwendungs- und Dienstprotokolle > Microsoft > Windows > GroupPolicy
eventvwr.msc

Im Ereignislog unter Applications and Services Logs > Microsoft > Windows > GroupPolicy findest du detaillierte Fehlermeldungen zu jeder CSE (Client-Side Extension).

GPO-Vorlagen (Administrative Vorlagen / ADMX)

Administrative Vorlagen sind XML-Dateien (.admx + .adml für die Sprachdateien), die Einstellungen in der GPO-GUI verfügbar machen. Microsoft liefert für jedes Windows-Update neue Vorlagen.

Den zentralen Vorlagenspeicher richtest du so ein:

# Verzeichnis auf dem SYSVOL erstellen
$sysvolPath = "\\firma.local\SYSVOL\firma.local\Policies\PolicyDefinitions"
New-Item -ItemType Directory -Path $sysvolPath -Force

# Vorlagen aus einem frischen Windows-11-Client kopieren (Pfade anpassen)
Copy-Item "C:\Windows\PolicyDefinitions\*" -Destination $sysvolPath -Recurse

Wichtige Vorlagen-Downloads (ADMX) für den KMU-Alltag:

  • Windows 11 / Server 2022: Direkt von Microsoft als ZIP verfügbar
  • Microsoft 365 Apps (Office): ADMX-Paket von www.microsoft.com/download
  • Google Chrome / Edge: Eigene ADMX-Pakete der Hersteller
  • Security Baselines: Microsoft Security Compliance Toolkit mit fertigen GPO-Paketen

Weiterlernen

Kommentare

Frage, Verbesserungsvorschlag oder eigene Erfahrung zu diesem Artikel? Schreib einen Kommentar. Neue Beiträge erscheinen nach kurzer Moderation.

  • Lade Kommentare …
Kommentar schreiben