Übersicht über Gruppenrichtlinie

Informationen zur sofortigen Verwendung von Gruppenrichtlinien finden Sie unter Methoden zum Öffnen des Gruppenrichtlinienobjekt-Editors.

Anhand von Gruppenrichtlinieneinstellungen werden die verschiedenen Komponenten der Desktopumgebung definiert, die durch einen Systemadministrator verwaltet werden, wie z. B. die Programme, die Benutzern zur Verfügung stehen, die Programme auf dem Desktop des Benutzers und die Optionen im Startmenü. Um eine spezielle Desktopkonfiguration für eine bestimmte Benutzergruppe zu erstellen, verwenden Sie den Gruppenrichtlinienobjekt-Editor. Von Ihnen angegebene Gruppenrichtlinieneinstellungen sind in einem Gruppenrichtlinienobjekt enthalten, das wiederum zu ausgewählten Active Directory®-Objekten zugeordnet ist (Standorte, Domänen oder Organisationseinheiten).

Gruppenrichtlinien gelten nicht nur für Benutzer und Clientcomputer, sondern auch für Mitgliedsserver, Domänencontroller und weitere Computer unter Microsoft® Windows® 2000 innerhalb des Verwaltungsbereichs. Standardmäßig betreffen Gruppenrichtlinien, die auf eine Domäne angewendet werden (die also auf Domänenebene direkt oberhalb des Stammverzeichnisses von Active Directory-Benutzer und -Computer angewendet werden), alle Computer und Benutzer in der Domäne. Active Directory-Benutzer und -Computer weist außerdem eine integrierte Domänencontroller-Organisationseinheit auf. Sind Ihre Domänencontrollerkonten an diesem Speicherort gespeichert, können Sie unter Verwendung des Gruppenrichtlinienobjekts Standard-Domänencontrollerrichtlinie Domänencontroller getrennt von anderen Computern verwalten.

Die Gruppenrichtlinien beinhalten Richtlinieneinstellungen für die Benutzerkonfiguration (mit Auswirkung auf Benutzer) und für die Computerkonfiguration (mit Auswirkung auf Computer). Weitere Informationen finden Sie unter Benutzerkonfiguration und unter Computerkonfiguration.

Sie können Gruppenrichtlinien verwenden, um eine der folgenden Aktionen auszuführen:

• Verwalten von Richtlinien, die auf Registrierungseinträgen basieren, mithilfe von administrativen Vorlagen. Über die Gruppenrichtlinien wird eine Datei mit Registrierungseinstellungen erstellt, die in den Bereich HKEY_USERS oder HKEY_LOCAL_MACHINE der Registrierungsdatenbank geschrieben werden. Benutzerprofileinstellungen für Benutzer, die sich an einer bestimmten Arbeitsstation oder an einem bestimmten Server anmelden, werden unter HKEY_CURRENT_USER (HKCU) und computerspezifische Einstellungen unter HKEY_LOCAL_MACHINE (HKLM) in die Registrierung geschrieben. Informationen zur Vorgehensweise finden Sie unter Verwenden von administrativen Vorlagen. Technische Details finden Sie im Artikel zum Implementieren auf der Registrierung basierender Richtlinien auf der Microsoft-Website.
  
• Zuweisen von Skripts. Dazu zählen z. B. Skripts für das Starten und Herunterfahren des Computers sowie für das An- bzw. Abmelden. Weitere Informationen finden Sie unter Verwenden von Skripts zum Starten, Herunterfahren, Anmelden und Abmelden.
  
• Umleiten von Ordnern. Sie können Ordner, wie z. B. die Ordner Eigene Dateien und Eigene Bilder aus dem Ordner Dokumente und Einstellungen auf dem lokalen Computer an Netzwerkpfade umleiten. Weitere Informationen zur Ordnerumleitung finden Sie unter Verwenden der Ordnerumleitung.
  
• Verwalten von Anwendungen. Über die Gruppenrichtlinien können Sie Anwendungen unter Verwendung der Gruppenrichtlinien-Softwareinstallation zuweisen, veröffentlichen, aktualisieren oder reparieren. Weitere Informationen finden Sie unter Verwenden der Gruppenrichtlinien-Softwareinstallation.
  
• Festlegen von Sicherheitsoptionen. Weitere Informationen zum Festlegen von Sicherheitsoptionen finden Sie unter Sicherheitseinstellungen.
  

Auf jedem Computer unter Windows 2000, Microsoft® Windows® XP Professional oder Betriebssystemen der Windows Server 2003-Produktfamilie befindet sich genau ein lokal gespeichertes Gruppenrichtlinienobjekt. Dieses lokale Gruppenrichtlinienobjekt weist einen Teil der Einstellungen auf, die in nichtlokalen Gruppenrichtlinienobjekten zur Verfügung stehen. Weitere Informationen finden Sie unter Lokale Gruppenrichtlinie.

Standardmäßig werden bei der Installation von Active Directory zwei nichtlokale Gruppenrichtlinienobjekte erstellt:

• Die Standarddomänenrichtlinie ist mit der Domäne verknüpft und betrifft über die Richtlinienvererbung alle Benutzer und Computer in der Domäne (einschließlich Computern, die als Domänencontroller fungieren). Weitere Informationen finden Sie unter Richtlinienvererbung.
  
• Die Standard-Domänencontrollerrichtlinie ist mit der Domänencontroller-Organisationseinheit verknüpft und betrifft im Allgemeinen nur Domänencontroller, da Computerkonten für Domänencontroller ausschließlich in der Domänencontroller-Organisationseinheit gespeichert werden.
  

Vorsicht

• Wenn Sie einen Domänencontroller außerhalb der Domänencontroller-Organisationseinheit verschieben, wird die Standard-Domänencontrollerrichtlinie nicht mehr verwendet. Wenn ein Domänencontroller sich in einer anderen Organisationseinheit befinden muss, verknüpfen Sie die Standard-Domänencontrollerrichtlinie mit dieser Organisationseinheit.
  

Ausführliche Informationen zur Reihenfolge, in der Richtlinien angewendet werden, finden Sie unter Ereignisreihenfolge beim Starten und Anmelden.

Die Einstellungen für die Benutzerrichtlinien befinden sich unter Benutzerkonfiguration in den Gruppenrichtlinien und werden beim Anmelden eines Benutzers abgerufen. Die Einstellungen für die Computerrichtlinien befinden sich unter Computerkonfiguration und werden beim Starten des Computers abgerufen. Weitere Informationen finden Sie unter Benutzerkonfiguration und unter Computerkonfiguration.

Benutzer und Computer sind die einzigen Typen von Active Directory-Objekten, die Richtlinien erhalten. Die Richtlinien werden nicht auf Sicherheitsgruppen angewendet. Stattdessen werden aus Leistungsgründen Sicherheitsgruppen zum Filtern der Richtlinien über den Zugriffssteuerungseintrag (Access Control Entry, ACE) Gruppenrichtlinie übernehmen verwendet. Dieser Eintrag kann auf Zulassen oder Verweigern festgelegt oder nicht konfiguriert sein. Weitere Informationen finden Sie unter Filtern des Wirkungsbereichs der Gruppenrichtlinien anhand der Sicherheitsgruppenmitgliedschaft.

Die Richtlinien werden in der nachstehenden Reihenfolge angewendet:

1. Eindeutiges lokales Gruppenrichtlinienobjekt
   
2. Standort-Gruppenrichtlinienobjekte in der vom Administrator angegebenen Reihenfolge.
   
3. Domänen-Gruppenrichtlinienobjekte in der vom Administrator angegebenen Reihenfolge.
   
4. Gruppenrichtlinienobjekte für die Organisationseinheit, von der größten bis zur kleinsten Einheit (von der übergeordneten zur untergeordneten Einheit) in der durch den Administrator in den einzelnen Ebenen der Organisationseinheiten festgelegten Reihenfolge.
   

Weitere Informationen finden Sie unter Reihenfolge bei der Verarbeitung der Einstellungen.

Bei Abweichungen in den Richtlinien überschreiben die Richtlinien, die zu einem späteren Zeitpunkt angewendet werden, standardmäßig die zuvor gültigen Richtlinien. Treten bei den Einstellungen keine Abweichungen auf, werden sowohl die zuerst angewendeten Richtlinien als auch die zu einem späteren Zeitpunkt geltenden Richtlinien berücksichtigt. Weitere Informationen finden Sie unter Reihenfolge der Gruppenrichtlinien.

Ein ACE-Eintrag für eine Sicherheitsgruppe in einem Gruppenrichtlinienobjekt kann den Wert Nicht konfiguriert (kein Vorrang), Zugelassen oder Verweigert aufweisen. Der Wert Verweigert hat Vorrang vor dem Wert Zugelassen. Weitere Informationen finden Sie unter Filtern des Wirkungsbereichs der Gruppenrichtlinien anhand der Sicherheitsgruppenmitgliedschaft.

Sie können die Vererbung von Richtlinien deaktivieren, die andernfalls von einem übergeordneten Standort, einer höheren Domäne oder einer Organisationseinheit übernommen werden würden. Dies kann entsprechend auf der Ebene der Standorte, der Domänen bzw. der Organisationseinheiten erfolgen. Weitere Informationen finden Sie unter Deaktivieren der Richtlinienvererbung.

Für Richtlinien, die andernfalls von Richtlinien in untergeordneten Organisationseinheiten überschrieben werden würden, können Sie auf der Ebene der Gruppenrichtlinienobjekte die Einstellung Kein Vorrang festlegen. Weitere Informationen finden Sie unter Unterbinden des Überschreibens von Gruppenrichtlinienobjekten.

Hinweise

• Die Vererbung von Richtlinien mit der Einstellung Kein Vorrang kann nicht deaktiviert werden.
  
• Die Einstellungen Kein Vorrang und Richtlinienvererbung deaktivieren sollten sparsam verwendet werden. Die gelegentliche Verwendung dieser erweiterten Funktionen erschwert die Problembehandlung. Tipps zur Verwendung von Gruppenrichtlinien finden Sie unter Problembehandlung bei Gruppenrichtlinien und Empfehlungen für Gruppenrichtlinien (vor GPMC) .