Windows Serverguide

Gruppenrichtlinien (GPO) einrichten – Windows Server Anleitung

Computereinstellungen zentral verwalten mit Group Policy Objects

S
SeeColors IT10. Juni 20265 Min. Lesezeit131 Aufrufe

Was sind Gruppenrichtlinien (GPO)?

Gruppenrichtlinien (englisch: Group Policy Objects, kurz GPO) sind eines der mächtigsten Werkzeuge der Windows-Administration. Sie ermöglichen es, Einstellungen für Hunderte oder Tausende von Computern und Benutzern zentral zu definieren und automatisch anzuwenden – ohne jeden Rechner einzeln anfassen zu müssen.

GPOs sind in Active Directory (AD) integriert und werden über den Gruppenrichtlinien-Verwaltungs-Editor (Group Policy Management Console, GPMC) administriert. Unternehmen in Heidelberg, Mannheim und der gesamten Rhein-Neckar-Region setzen GPOs ein, um:

  • Sicherheitsrichtlinien unternehmensweit durchzusetzen
  • Desktop-Einstellungen zu standardisieren
  • Software automatisch zu verteilen
  • USB-Sticks oder bestimmte Websites zu sperren

Grundlegende GPO-Konzepte

Wo werden GPOs angewendet?

GPOs werden auf Active Directory-Objekte angewendet – also auf Domänen, Organisationseinheiten (OUs) oder Standorte (Sites). Die Vererbung funktioniert von oben nach unten:

  1. Lokale GPOs → Gelten nur für den lokalen Computer
  2. Standort-GPOs → Gelten für alle Computer am physischen Standort
  3. Domänen-GPOs → Gelten für alle Objekte der Domäne
  4. OU-GPOs → Gelten nur für Objekte in der jeweiligen OU

Bei Konflikten gilt: Zuletzt angewendete GPO gewinnt (außer bei "Kein Override").

Computerkonfiguration vs. Benutzerkonfiguration

Jede GPO hat zwei Bereiche:

  • Computerkonfiguration: Einstellungen gelten für den Computer, unabhängig vom angemeldeten Benutzer. Sie werden beim Start angewendet.
  • Benutzerkonfiguration: Einstellungen gelten für den Benutzer, egal an welchem Computer er sich anmeldet. Sie werden bei der Anmeldung angewendet.

GPO erstellen und verknüpfen – Schritt für Schritt

Schritt 1: GPMC öffnen

Öffnen Sie die Gruppenrichtlinien-Verwaltung (gpmc.msc) auf Ihrem Domain Controller oder einem Verwaltungs-PC mit RSAT-Tools.

Schritt 2: Neue GPO erstellen

  1. Rechtsklick auf die gewünschte OU (z. B. "Workstations")
  2. "Gruppenrichtlinienobjekt hier erstellen und verknüpfen..." wählen
  3. Namen vergeben (z. B. "Sicherheitsrichtlinien-Workstations")
  4. OK klicken

Schritt 3: GPO bearbeiten

Rechtsklick auf die neue GPO → Bearbeiten. Der Gruppenrichtlinien-Verwaltungs-Editor öffnet sich.

Navigieren Sie durch die Baumstruktur:

  • Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen
  • Benutzerkonfiguration → Richtlinien → Administrative Vorlagen

Schritt 4: Einstellungen konfigurieren

Doppelklick auf eine Einstellung öffnet deren Eigenschaften:

  • Nicht konfiguriert: GPO hat keinen Einfluss auf diese Einstellung
  • Aktiviert: Einstellung wird durchgesetzt
  • Deaktiviert: Einstellung wird ausgeschaltet

Schritt 5: GPO testen

Wenden Sie die GPO auf eine Test-OU mit einem Testcomputer an. Führen Sie auf dem Testgerät aus:

gpupdate /force

Dann prüfen Sie das Ergebnis mit:

gpresult /r

Oder für eine detaillierte HTML-Auswertung:

gpresult /h C:GPReport.html

Die 10 wichtigsten GPO-Einstellungen für KMU

1. Bildschirmsperre nach Inaktivität

Pfad: Computerkonfiguration → Windows-Einstellungen → Sicherheitseinstellungen → Lokale Richtlinien → Sicherheitsoptionen

Einstellung: Interaktive Anmeldung: Inaktivitätsgrenze für Computer → 10 Minuten

2. Passwort-Richtlinien

Pfad: Computerkonfiguration → Windows-Einstellungen → Sicherheitseinstellungen → Kontorichtlinien → Kennwortrichtlinie

Empfohlene Einstellungen:

  • Minimale Kennwortlänge: 12 Zeichen
  • Kennwort muss Komplexitätsanforderungen entsprechen: Aktiviert
  • Kennwortchronik: 10 Kennwörter merken
  • Maximales Kennwortalter: 90 Tage

3. USB-Sticks sperren

Pfad: Computerkonfiguration → Administrative Vorlagen → System → Wechselmedienzugriff

Einstellung: Wechseldatenträger: Alle Wechselmedienzugriffsklassen verweigern

4. Windows Update zentral steuern (ohne WSUS)

Pfad: Computerkonfiguration → Administrative Vorlagen → Windows-Komponenten → Windows Update

Einstellung: Automatische Aktualisierungen konfigurieren → Option 4: Automatisch herunterladen und zum angegebenen Zeitpunkt installieren

5. Desktop-Hintergrund setzen

Pfad: Benutzerkonfiguration → Administrative Vorlagen → Desktop → Desktop

Einstellung: Hintergrundbild des Desktops → Pfad zum Unternehmensbild

6. Systemsteuerung sperren

Pfad: Benutzerkonfiguration → Administrative Vorlagen → Systemsteuerung

Einstellung: Systemsteuerung verweigern → Aktiviert

7. Software per GPO verteilen (MSI)

Pfad: Computerkonfiguration → Software-Einstellungen → Softwareinstallation

Softwarepaket hinzufügen (MSI-Datei auf einer Netzwerkfreigabe)

8. Lokale Administrator-Konten deaktivieren

Pfad: Computerkonfiguration → Windows-Einstellungen → Sicherheitseinstellungen → Lokale Richtlinien → Sicherheitsoptionen

Einstellung: Konten: Administratorkontenstatus → Deaktiviert

9. PowerShell Execution Policy

Pfad: Computerkonfiguration → Administrative Vorlagen → Windows-Komponenten → Windows PowerShell

Einstellung: Skriptausführung aktivieren → Nur signierte Skripts zulassen

10. Windows Firewall aktivieren erzwingen

Pfad: Computerkonfiguration → Windows-Einstellungen → Sicherheitseinstellungen → Windows Defender Firewall

Domänenprofil, privates und öffentliches Profil auf Ein setzen.

GPO-Fehlerbehebung

GPO wird nicht angewendet:

  • gpupdate /force auf dem Zielcomputer ausführen
  • Sicherstellen, dass der Computer in der richtigen OU ist
  • GPO-Verknüpfung prüfen: Ist die GPO aktiviert?
  • Sicherheitsfilterung prüfen: Hat der Computeraccount die Leseberechtigung?

GPO-Erbschaftsprobleme:
Nutzen Sie Gruppenrichtlinienergebnisse (gpresult) um zu sehen, welche GPOs tatsächlich angewendet werden.

FAQ

Wie lange dauert es, bis eine GPO angewendet wird?
Standardmäßig alle 90–120 Minuten automatisch, sofort mit gpupdate /force.

Kann eine GPO bestimmte Benutzer ausschließen?
Ja, über die Sicherheitsfilterung. Entfernen Sie "Authentifizierte Benutzer" und fügen Sie die gewünschten Gruppen hinzu. Über WMI-Filter können Sie auch nach Betriebssystemversion oder Hardware filtern.

Was ist RSOP?
RSOP (Resultant Set of Policy) zeigt, welche GPO-Einstellungen tatsächlich für einen Benutzer/Computer gelten. Öffnen mit rsop.msc.

Fazit

Gruppenrichtlinien sind unerlässlich für jedes Windows-Active-Directory-Umfeld. Mit den richtigen GPOs sichern Sie Ihre IT-Infrastruktur, standardisieren Arbeitsumgebungen und sparen erheblich Zeit bei der Administration.

Benötigen Sie Hilfe beim Einrichten oder Optimieren Ihrer GPO-Struktur? Als IT-Dienstleister in Heidelberg unterstützen wir Unternehmen in Mannheim, Ludwigshafen und der gesamten Rhein-Neckar-Region. Kontaktieren Sie uns jetzt.

Artikel teilen

LinkedIn X / Twitter Facebook WhatsApp

War dieser Artikel hilfreich?

Dein Feedback hilft uns, bessere Inhalte zu erstellen.

Kommentar hinterlassen

#Windows Server#Active Directory#IT-Administration#Gruppenrichtlinien#GPO

Verwandte Artikel

Active Directory – Fine-Grained Password Policies 2025

4 Min.

WSUS – Windows Updates zentral verwalten 2025

4 Min.

IIS – Windows Webserver mit ASP.NET konfigurieren 2025

4 Min.