(0) exportieren Drucken
Alle erweitern

Gruppenrichtlinienverarbeitung und -Rangfolge

Letzte Aktualisierung: Januar 2005

Betrifft: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

Gruppenrichtlinienverarbeitung und -Rangfolge

Die für einen Benutzer (oder Computer) geltenden Gruppenrichtlinienobjekte (Group Policy Objects, GPOs) haben nicht alle dieselbe Rangfolge. Später angewendete Einstellungen können früher angewendete Einstellungen außer Kraft setzen.

Reihenfolge bei der Verarbeitung der Einstellungen

Dieser Abschnitt enthält Informationen zu der Reihenfolge, in der Gruppenrichtlinieneinstellungen für Benutzer und Computer verarbeitet werden. Weitere Informationen zur Abfolge bei der Verarbeitung von Richtlinieneinstellungen beim Starten des Computers und beim Anmelden des Benutzers finden Sie in den Schritten 3 und 8 in Start und Anmeldung in diesem Thema.

Die Gruppenrichtlinieneinstellungen werden in der nachstehenden Reihenfolge verarbeitet:

  1. Lokales Gruppenrichtlinienobjekt – Auf jedem Computer ist genau ein Gruppenrichtlinienobjekt lokal gespeichert. Dieses ist sowohl an der Richtlinienverarbeitung für Computer als auch an der Richtlinienverarbeitung für Benutzer beteiligt.

  2. Standort – Als Nächstes werden alle Gruppenrichtlinienobjekte verarbeitet, die mit dem Standort, zu dem der Computer gehört, verknüpft sind. Die Verarbeitung erfolgt in der Reihenfolge, die der Administrator auf der Registerkarte für verknüpfte Gruppenrichtlinienobjekte für den Standort in der Gruppenrichtlinienkonsole (Group Policy Management Console, GPMC) angegeben hat. Das Gruppenrichtlinienobjekt mit der niedrigsten Position in der Verknüpfungsreihenfolge wird zuletzt verarbeitet und hat daher die höchste Rangfolge.

  3. Domäne – Die Verarbeitung von mit mehreren Domänen verknüpften Gruppenrichtlinienobjekten erfolgt in der Reihenfolge, die der Administrator auf der Registerkarte für verknüpfte Gruppenrichtlinienobjekte für die Domäne in der Gruppenrichtlinienkonsole angegeben hat. Das Gruppenrichtlinienobjekt mit der niedrigsten Position in der Verknüpfungsreihenfolge wird zuletzt verarbeitet und hat daher die höchste Rangfolge.

  4. Organisationseinheiten – Zuerst werden die Gruppenrichtlinienobjekte verarbeitet, die mit der höchsten Organisationseinheit in der Active Directory-Hierarchie verknüpft sind, dann die Gruppenrichtlinienobjekte, die mit der jeweiligen untergeordneten Organisationseinheit verknüpft sind, usw. Abschließend werden die Gruppenrichtlinienobjekte verarbeitet, die mit der Organisationseinheit verknüpft sind, die den Benutzer oder Computer enthält.

    Mit den einzelnen Ebenen einer bestimmten Organisationseinheit in der Active Directory-Hierarchie können eine, mehrere oder gar keine Gruppenrichtlinienobjekte verknüpft sein. Wenn mehrere Gruppenrichtlinienobjekte mit einer Organisationseinheit verknüpft sind, erfolgt ihre Verarbeitung in der Reihenfolge, die der Administrator auf der Registerkarte verknüpfte Gruppenrichtlinienobjekte für die Organisationseinheit in der Gruppenrichtlinienkonsole angegeben hat. Das Gruppenrichtlinienobjekt mit der niedrigsten Position in der Verknüpfungsreihenfolge wird zuletzt verarbeitet und hat daher die höchste Rangfolge.

Bei dieser Reihenfolge wird zuerst das lokale Gruppenrichtlinienobjekt verarbeitet. Zuletzt werden die mit der Organisationseinheit verknüpften Gruppenrichtlinienobjekte verarbeitet, zu der der Benutzer oder der Computer als direktes Mitglied gehört. Hierbei werden bei Konflikten die Einstellungen in den früheren Gruppenrichtlinienobjekten überschrieben. (Wenn keine Konflikte bestehen, werden die älteren und neueren Einstellungen lediglich aggregiert.)

Ausnahmen bei der Standardreihenfolge der Verarbeitungseinstellungen

Bei der Standardreihenfolge für die Verarbeitung von Einstellungen gelten die folgenden Ausnahmen:

  • Eine Gruppenrichtlinien-Objektverknüpfung kann erzwungen und/oder deaktiviert sein. Standardmäßig ist eine Gruppenrichtlinien-Objektverknüpfung weder erzwungen noch deaktiviert.

  • Für ein Gruppenrichtlinienobjekt können die Benutzereinstellungen, die Computereinstellungen oder alle Einstellungen deaktiviert sein. Standardmäßig sind für ein Gruppenrichtlinienobjekt weder Benutzereinstellungen noch Computereinstellungen deaktiviert.

  • Für eine Organisationseinheit oder eine Domäne kann Deaktivieren der Richtlinienvererbung festgelegt sein. Standardmäßig ist Deaktivieren der Richtlinienvererbung nicht festgelegt.

Weitere Informationen zu den obigen Änderungen am Standardverhalten finden Sie unter Verwalten der Vererbung von Gruppenrichtlinien.

Start und Anmeldung

Die Computer- und Benutzerrichtlinien werden beim Starten eines Computers und beim Anmelden eines Benutzers in der folgenden Reihenfolge angewendet:

  1. Das Netzwerk wird hochgefahren. Der Remote Procedure Call-Systemdienst (RPCSS) und der Multiple Universal Naming Convention Provider (MUP) werden gestartet. (Windows XP Professional ist von dieser Regel ausgenommen. Standardmäßig wartet die Gruppenrichtlinienverarbeitung unter Windows XP Professional nicht auf den Start des Netzwerks. Dieses Standardverhalten kann durch eine Richtlinieneinstellung geändert werden.)

  2. Die Gruppenrichtlinienobjekte für den Computer werden in der entsprechenden Reihenfolge zu einer Liste zusammengestellt. Die Liste ist von den folgenden Faktoren abhängig:

    • Gehört der Benutzer zu einer Domäne, sodass er über Active Directory den Gruppenrichtlinien unterliegt?

    • An welcher Position befindet sich der Computer in Active Directory?

    • Wurde die Liste der Gruppenrichtlinienobjekte geändert? Wenn die Liste der Gruppenrichtlinienobjekte nicht geändert wurde, erfolgt keine Verarbeitung. Dieses Verhalten kann mithilfe einer Richtlinieneinstellung geändert werden.

    • Alle vom Administrator festgelegten Erzwingungen/Deakivierungen. Ein Administrator kann festlegen, dass eine Richtlinie auf einer höheren Ebene immer gilt. Dieser Prozess heißt "Erzwingung" und wurde früher als "Kein Vorrang" bezeichnet. Alternativ kann ein Administrator festlegen, dass ein Container die Anwendung von Richtlinien höherer Ebenen deaktiviert. Hinweis: Eine vom Administrator auf einer höheren Ebene als zu erzwingend festgelegte Richtlinie wird auch dann weiterhin angewendet, wenn eine Deaktivierung von oben festgelegt ist.

  3. Die Computerrichtlinien werden angewandt. Hierzu werden die Einstellungen unter Computerkonfiguration aus der zusammengestellten Liste herangezogen. Gruppenrichtlinienobjekte werden in der folgenden Reihenfolge angewendet: lokaler Computer, Standort, Domäne, Organisationseinheit, untergeordnete Organisationseinheit usw. Während der Verarbeitung der Computerrichtlinien wird keine Benachrichtigung angezeigt. Die ausführliche Protokollierung zum Anzeigen von Benachrichtigungen zu den verarbeiteten Computerrichtlinien kann über eine Richtlinie aktiviert werden.

    Weitere Informationen zu der Reihenfolge, in der die Einstellungen beim Anwenden von Benutzer- oder Computerrichtlinien verarbeitet werden, finden Sie unter Reihenfolge bei der Verarbeitung der Einstellungen in diesem Thema.

  4. Die Skripts zum Hochfahren werden ausgeführt. Dieser Vorgang wird standardmäßig synchron und verborgen ausgeführt. Ein Skript muss beendet oder wegen Zeitüberschreitung abgebrochen werden, bevor das nächste Skript gestartet wird. Das Standardzeitlimit beträgt 600 Sekunden. Dieses Verhalten kann mithilfe verschiedener Richtlinieneinstellungen geändert werden.

Hinweis

  • Jede Version von Windows XP Professional stellt eine Funktion zur Optimierung für schnelles Anmelden zur Verfügung. Computer mit diesen Betriebssystemen warten standardmäßig beim Starten nicht auf den Start des Netzwerks. Nach der Anmeldung werden die Richtlinien im Hintergrund verarbeitet, sobald das Netzwerk zur Verfügung steht. Dies bedeutet, dass der Computer bei der Anmeldung und beim Start weiterhin die älteren Richtlinieneinstellungen verwendet. Daher sind für Einstellungen, die nur beim Start oder bei der Anmeldung angewendet werden können (z. B. Softwareinstallation und Ordnerumleitung), möglicherweise nach dem Ausführen der ersten Änderung am Gruppenrichtlinienobjekt mehrere Anmeldungen durch den Benutzer erforderlich. Diese Richtlinie wird gesteuert durch die Einstellung in Computerkonfiguration\Administrative Vorlagen\System\Anmeldung\Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten. Diese Funktion ist in den Betriebssystemversionen von Windows 2000 oder Windows Server 2003 nicht verfügbar.

  1. Der Benutzer leitet den Anmeldevorgang mit den Tasten STRG+ALT+ENTF ein.

  2. Nach der Überprüfung des Benutzers wird das entsprechende Benutzerprofil geladen. Hierbei werden die gültigen Richtlinieneinstellungen berücksichtigt.

  3. Die Gruppenrichtlinienobjekte für den Benutzer werden in der entsprechenden Reihenfolge zu einer Liste zusammengestellt. Die Liste ist von den folgenden Faktoren abhängig:

    • Gehört der Benutzer zu einer Domäne, sodass er über Active Directory den Gruppenrichtlinien unterliegt?

    • Ist das Loopback aktiviert? Wenn ja: Welche Einstellung wurde für die Loopback-Richtlinie festgelegt (Zusammenführen oder Ersetzen)?

    • An welcher Position befindet sich der Benutzer in Active Directory?

    • Alle vom Administrator festgelegten Erzwingungen/Deakivierungen. Ein Administrator kann festlegen, dass eine Richtlinie auf einer höheren Ebene immer gilt. Dieser Prozess heißt "Erzwingung" und wurde früher als "Kein Vorrang" bezeichnet. Alternativ kann ein Administrator festlegen, dass ein Container die Anwendung von Richtlinien höherer Ebenen deaktiviert. Hinweis: Eine vom Administrator auf einer höheren Ebene als zu erzwingend festgelegte Richtlinie wird auch dann weiterhin angewendet, wenn eine Deaktivierung von oben festgelegt ist.

  4. Die Benutzerrichtlinien werden angewandt. Hierzu werden die Einstellungen unter Benutzerkonfiguration aus der zusammengestellten Liste herangezogen. Gruppenrichtlinienobjekte werden in der folgenden Reihenfolge verarbeitet: lokaler Computer, Standort, Domäne, Organisationseinheit, untergeordnete Organisationseinheit usw. Während der Verarbeitung der Benutzerrichtlinien wird keine Benachrichtigung angezeigt. (Die Benachrichtigung kann durch Richtlinien aktiviert werden.)

    Weitere Informationen zu der Reihenfolge, in der die Einstellungen beim Anwenden von Benutzer- oder Computerrichtlinien verarbeitet werden, finden Sie unter Reihenfolge bei der Verarbeitung der Einstellungen in diesem Thema.

  5. Die Anmeldeskripts werden ausgeführt. Im Gegensatz zu Skripts aus Windows NT 4.0 sind die Anmeldeskripts aus den Gruppenrichtlinien standardmäßig ausgeblendet und asynchron. Das Benutzerobjektskript wird als Letztes in einem normalen Fenster ausgeführt. Es gibt außerdem eine Zeitüberschreitung für Anmeldeskripts.

  6. Die Benutzeroberfläche des Betriebssystems wird angezeigt. Hierbei werden die Einstellungen aus den Gruppenrichtlinien berücksichtigt.

Wichtig

  • Bei der Migration sind drei Sonderfälle zu beachten:

    • Wenn sich das Computerkontoobjekt in einer Windows NT 4.0-Domäne befindet und das Benutzerkontoobjekt in Active Directory, werden beim Anmelden des Benutzers ausschließlich die Computersystemrichtlinien verarbeitet (nicht die Systemrichtlinien für den Benutzer). Anschließend werden die Benutzergruppenrichtlinien verarbeitet (nicht die Gruppenrichtlinien für den Computer).

    • Wenn sich das Computerkontoobjekt in Active Directory befindet und das Benutzerkontoobjekt in einer Windows NT 4.0-Domäne, werden beim Starten des Computers die Computergruppenrichtlinien verarbeitet (nicht die Gruppenrichtlinien für den Benutzer). Beim Anmelden des Benutzers werden die Benutzersystemrichtlinien verarbeitet (nicht die Systemrichtlinien für den Computer).

    • Falls die Computer- und Benutzerkonten des Computers Mitglieder einer Windows NT 4.0-Domäne sind, wird beim Anmelden des Benutzers nur die Systemrichtlinie (nicht die Gruppenrichtlinie) für den Computer und den Benutzer angewendet.

Hinweis

  • Bei mehreren dieser Ereignisse können Änderungen vorgenommen werden. Sie können die folgenden Einstellungen für die Richtlinien festlegen:

    • Umkehren der Standardeinstellungen zum Ausführen von Skripts (synchron oder asynchron).

    • Festlegen des Zeitlimits für die Skripts. Standardmäßig liegt das Zeitlimit für Skripts bei 600 Sekunden.

    • Ändern der Ausführung der Skripts (verborgen, minimiert, in einem normalen Fenster).

Siehe auch

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

Anzeigen:
© 2014 Microsoft