Die Modellierung von Gruppenrichtlinienobjekten vereinfacht die Netzwerksicherheit

Wenn es um die Sicherung eines Netzwerks geht, ist Einfachheit normalerweise der beste Ansatz. Nehmen Sie zum Beispiel Gruppenrichtlinien. Gruppenrichtlinienobjekte (Group Policy Objects, GPOs) können auf der Ebene der Organisationseinheit (OU), des Standorts und der Domäne des Active Directory sowie auf der Ebene des lokalen Computers angewendet werden.

Wenn sich ein Benutzer anmeldet, kombiniert Windows alle verschiedenen Gruppenrichtlinien, die für das Benutzerkonto gelten, mit denen, die für den Computer gelten, von dem aus sich der Benutzer anmeldet. Während dies zunächst nicht so schlecht klingt, enthält jede Ebene der Gruppenrichtlinienhierarchie viele der gleichen Einstellungen. Das bedeutet, dass das Verwaltungspersonal möglicherweise widersprüchliche Einstellungen für Gruppenrichtlinien implementiert.

In kleineren Unternehmen können Administratoren möglicherweise Widersprüche zwischen Gruppenrichtlinien vermeiden, indem sie ein einziges Gruppenrichtlinienobjekt verwenden. In größeren Organisationen ist dies jedoch normalerweise nicht praktikabel.

Das Problem sind nicht wirklich die widersprüchlichen Einstellungen selbst. Windows verwendet eine Reihe von Regeln, um zu bestimmen, welche Richtlinieneinstellung im Falle eines Widerspruchs Vorrang hat. Was können Ein Problem besteht darin, herauszufinden, wie die effektive Richtlinie aussehen wird, wenn alle verschiedenen Gruppenrichtlinienobjekte kombiniert sind und Sie sich mit den Widersprüchen befassen. Ich persönlich bin auf Situationen gestoßen, in denen völlig unerwartete Gruppenrichtlinieneinstellungen angewendet wurden, und herauszufinden, woher diese Einstellungen stammen, war aufgrund der Komplexität der verwendeten Gruppenrichtlinienstruktur eine echte Herausforderung.

Glücklicherweise müssen Sie die Gruppenrichtlinieneinstellungen nicht mehr manuell beheben. Stattdessen können Sie eine Technik namens Gruppenrichtlinienobjektmodellierung verwenden, um Ihre Einstellungen schnell und einfach zu beheben. Noch wichtiger ist jedoch, dass Sie diese Technik verwenden können, um Gruppenrichtlinieneinstellungen zu testen, bevor sie angewendet werden. Auf diese Weise wissen Sie, dass die Einstellungen, die Sie implementieren möchten, den beabsichtigten Effekt haben.

Sie können die Gruppenrichtlinienobjektmodellierung in der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) durchführen. Wenn Sie die Konsole öffnen, klicken Sie mit der rechten Maustaste auf den Container Gruppenrichtlinienmodellierung und wählen Sie im Kontextmenü die Option Gruppenrichtlinienmodellierungs-Assistent.

Wenn der Assistent geladen wird, klicken Sie auf Weiter, um den Begrüßungsbildschirm zu verlassen. Dadurch gelangen Sie zum Bildschirm zur Auswahl des Domänencontrollers des Assistenten (siehe Abbildung A). Wählen Sie die Domäne aus, für die Sie die Simulation ausführen möchten, und wählen Sie entweder die Option Beliebiger Domänencontroller, auf dem Windows Server 2003 oder höher ausgeführt wird. Sie können auch einen bestimmten Domänencontroller innerhalb Ihrer ausgewählten Domäne auswählen.

Normalerweise funktioniert die Option Jeder verfügbare Domänencontroller einwandfrei. Das einzige Mal, dass Sie einen bestimmten Domänencontroller angeben müssten, wäre in Situationen, in denen DCs über eine langsame Netzwerkverbindung verbunden waren oder wenn ein Domänencontroller Replikationsprobleme hatte.

Abbildung A (zum Vergrößern anklicken)

Im nächsten Bildschirm werden Sie aufgefordert, einige Informationen zu den Objekten anzugeben, für die Sie die Simulation ausführen möchten. Da Gruppenrichtlinien auf Benutzerobjekte und Computerobjekte angewendet werden können, müssen Sie beide angeben, um zu erfahren, wie Ihre Gruppenrichtlinieneinstellungen ausgeführt werden. Alternativ können Sie den Active Directory-Container angeben, in dem die Benutzer- und Computerobjekte gespeichert sind, die Sie analysieren möchten.

Abbildung B (zum Vergrößern anklicken)

In den meisten Fällen können Sie die Angabe eines einzelnen Benutzers und Computers vermeiden. Dies gilt insbesondere dann, wenn Ihre Benutzer und Computer einheitlich konfiguriert sind. In größeren Organisationen können jedoch mehrere Benutzercontainer oder mehrere Computercontainer im Active Directory vorhanden sein. Geben Sie in diesen Situationen den definierten Namen des Containers an, in dem die Benutzer- oder Computerobjekte gespeichert sind, für die Sie die Simulation ausführen möchten. Wenn Sie beispielsweise die Simulation für den Benutzercontainer in der Contoso.com-Domäne in Abbildung B ausführen möchten, lautet der definierte Name dieses Containers CN = Benutzer, DC = Contoso, DC = com.

Klicken Sie auf Weiter und geben Sie an, ob der Test davon ausgehen soll, dass eine DFÜ-Verbindung verwendet wird. Sie können auch die Loopback-Verarbeitung verwenden. Sehen Sie sich unbedingt die Dropdown-Liste “Standort” an, da Gruppenrichtlinienobjekte auf Standortebene angewendet werden können und Sie möglicherweise keine genauen Ergebnisse erhalten, wenn Sie nicht den richtigen Active Directory-Standort aus der Liste auswählen.

Beachten Sie die Standorteinstellungen, auch wenn auf Site-Ebene keine Gruppenrichtlinienobjekte zugewiesen sind. Standortverknüpfungen spiegeln normalerweise langsame Verbindungen zwischen Netzwerksegmenten wider. Durch Auswahl des richtigen Standorts wird sichergestellt, dass der Test einen Domänencontroller an Ihrem lokalen Standort und nicht einen Remotestandort abfragt.

Als Nächstes werden Sie aufgefordert, die Sicherheitsgruppenmitgliedschaften auszuwählen, die Sie testen möchten. Die Gruppe Authentifizierte Benutzer und die Gruppe Jeder werden standardmäßig getestet. Sie können jedoch alle zusätzlichen Sicherheitsgruppen testen, indem Sie sie der Liste hinzufügen. Wenn Sie die Liste der Sicherheitsgruppen ausgefüllt haben, klicken Sie auf Weiter. Während der Bildschirm zunächst als Duplikat erscheint, schauen Sie genauer hin. Sie haben tatsächlich die Möglichkeit, alle computerbezogenen Sicherheitsgruppen anzugeben, die Sie testen möchten, während der vorherige Bildschirm den Gruppenmitgliedschaften des Benutzers gewidmet war.

Sie werden aufgefordert, alle Windows Management Instrumentation (WMI) -Filter einzugeben, die Sie verwenden möchten. Normalerweise müssen Sie sich für allgemeine Tests nicht um WMI-Filter kümmern. Fahren Sie also einfach über diesen Bildschirm hinaus fort.

Schließlich führt Sie der Assistent zu einem Zusammenfassungsbildschirm. Um genaue Testergebnisse zu erhalten, müssen Sie die richtigen Informationen eingeben. Nehmen Sie sich also einen Moment Zeit, um sicherzustellen, dass alles korrekt ist. Klicken Sie auf Weiter und anschließend auf Fertig stellen, um den Vorgang abzuschließen.

Wenn Sie fertig sind, erstellt Windows einen Container unter dem Container “Gruppenrichtlinienobjektmodellierung”, der den Namen der Benutzer oder Computer trägt, die Sie testen. Wenn Sie auf diesen Container klicken, sehen Sie die Ergebnisse Ihrer Abfrage (siehe Abbildung C).

Abbildung C (zum Vergrößern anklicken)

Der in Abbildung C gezeigte Bildschirm enthält einige grundlegende zusammenfassende Informationen. Sie können beispielsweise sehen, welche Sicherheitsgruppenmitgliedschaften während der Simulation verwendet wurden. Dies ist wichtig, da wahrscheinlich einige Sicherheitsgruppen verwendet werden, auch wenn Sie keine einzeln angeben.

Auf der Registerkarte Zusammenfassung wird auch angezeigt, welche spezifischen Gruppenrichtlinienobjekte beim Kompilieren der effektiven Richtlinie verwendet wurden. Beachten Sie dies, da Sie so überprüfen können, ob alle Gruppenrichtlinienobjekte gelesen werden, die auf die Situation angewendet werden sollen.

Wenn Sie einen Drilldown zu den tatsächlichen Richtlinieneinstellungen durchführen möchten, werden auf der Registerkarte Einstellungen die effektiven Richtlinieneinstellungen und deren Herkunft angezeigt (siehe Abbildung D). Falls Sie sich fragen, werden Sie auf der Registerkarte Abfrage an die Kriterien erinnert, anhand derer die Testergebnisse erzielt wurden (z. B. auf welchen Benutzern und Computern die Tests basieren).

Abbildung D (zum Vergrößern anklicken)

Wenn Windows mehrere Gruppenrichtlinienobjekte kompiliert, geschieht dies in einer bestimmten Reihenfolge, wobei bei der Lösung von Konflikten der Ansatz “Letzte Änderung gewinnt” angewendet wird. Wenn beispielsweise die lokale Richtlinie und eine Richtlinie auf Domänenebene widersprüchliche Einstellungen enthalten, haben die Einstellungen auf Domänenebene Vorrang, da die Domänenrichtlinie später in der Reihenfolge als die lokale Sicherheitsrichtlinie verarbeitet wird.

In Abbildung D sind verschiedene Richtlinien und die entsprechenden Einstellungen aufgeführt. In der Spalte “Gewinnen” des Gruppenrichtlinienobjekts wird angegeben, welches Gruppenrichtlinienobjekt für die Anwendung dieser Einstellungen verantwortlich ist. Beachten Sie, dass dies nicht immer das höchste Gruppenrichtlinienobjekt in der Hierarchie ist. Möglicherweise wird ein Gruppenrichtlinienobjekt auf niedrigerer Ebene aufgelistet, wenn eine Einstellung angewendet wird und keine der Richtlinien auf höherer Ebene diese bestimmte Einstellung behandelt.

ÜBER DEN AUTOR
Brien M. Posey,
MCSE wurde für seine Arbeit mit Windows Server, IIS und Exchange Server viermal mit dem Microsoft Most Valuable Professional Award ausgezeichnet. Er war CIO für eine landesweite Kette von Krankenhäusern und Gesundheitseinrichtungen und war einst Netzwerkadministrator für Fort Knox. Sie können seine persönliche Website unter besuchen www.brienposey.com.

Similar Posts

Leave a Reply