10.18 Gruppenrichtlinienverknüpfungen hinzufügen 

Wenn Sie jedoch eine identische Gruppenrichtlinie ohne Modifikationen für mehrere OUs verwenden möchten, geht das auch anders, nämlich über eine Verknüpfung. Sie erstellen die Gruppenrichtlinie in einer »neutralen« OU und konfigurieren sie. Danach erzeugen Sie in anderen OUs Verknüpfungen zu dieser zentralen Gruppenrichtlinie. Diese Methode hat den Vorteil, dass Sie später bei Bedarf nur an einer Stelle Änderungen an einer Gruppenrichtlinie vornehmen können und diese Änderungen sofort für alle OUs wirksam werden, die mit der zentral gepflegten Gruppenrichtlinie verknüpft sind.

Sie öffnen die Eigenschaften der OU und dort die Registerkarte Gruppenrichtlinien. Dieses Mal klicken Sie aber nicht auf die Schaltfläche Neu, sondern auf die Schaltfläche Hinzufügen. (Diese Schaltfläche wäre eindeutiger mit »Verbinden« bezeichnet worden.) Wählen Sie die Registerkarte Alle an. Es werden alle Gruppenrichtlinien der Domäne aufgelistet, die bisher angelegt wurden.

Wozu können Sie die Möglichkeit nutzen, Gruppenrichtlinien mit mehreren Organisationseinheiten zu verbinden? Wenn Sie z.B. mehrere Standorte haben und an allen Standorten Server stehen, so können Sie eine zentrale OU mit dem Namen Gruppenrichtlinien der Organisation einrichten. Dort können Sie z.B. eine Gruppenrichtlinie Domänencontroller generieren, in der alle für Domänencontroller wichtigen Sicherheitsrichtlinien definiert werden. Für jeden Standort sollten Sie dann eine OU erstellen und innerhalb dieser OUs wiederum Sub-OUs für Domänencontroller, Mitgliedsserver, Clientcomputer, Benutzer, Benutzergruppen und externe Kontakte. In den Sub-OUs Domänencontroller, die es in jeder Standort-OU gibt, erstellen Sie dann eine Gruppenrichtlinie, indem Sie eine Verknüpfung zur zentralen Richtlinie Domänencontroller in der zentralen OU Gruppenrichtlinien der Organisation erstellen.

Auf dieselbe Weise gehen Sie für andere Servertypen wie Mitgliedsserver, Exchange Server, SQL-Server vor. Auf dem Microsoft-Webserver finden Sie den »Windows Server Security Operations Guide« mit dem Kapitel 4, »Sichern von Servern basierend auf ihren Rollen«. In diesem Artikel wird beschrieben, wie verschiedene Servertypen mittels Gruppenrichtlinien abgesichert werden.

Sie können die Möglichkeiten der Verknüpfung von Gruppenrichtlinien natürlich auch für Richtlinien verwenden, die für alle Benutzer der gesamten Organisation gelten sollen. Dazu erstellen Sie eine Gruppenrichtlinie wie z.B. Standardbenutzer-organisationsweit und vielleicht eine weitere Gruppenrichtlinie wie Hauptbenutzer-organisationsweit in der zentralen OU Gruppenrichtlinien der Organisation. Die zweite Gruppenrichtlinie ist dann für Poweruser (SW-Entwickler, Helpdesk-Mitarbeiter usw.), bei denen die Umgebung nicht so stark wie bei Standardbenutzern eingeschränkt wird. Diese zentralen Gruppenrichtlinien verbinden Sie dann mit den OUs namens Benutzer, die Sie als Sub-OUs unter den verschiedenen Standort-OUs erstellt haben.

Jedoch sollten Sie in diesen zentralen Gruppenrichtlinien wirklich nur solche definieren, die dann auch für alle Benutzer der gesamten Organisation gelten. Die Richtlinie Ordnerumleitung, in der jeweils ein Server angegeben werden muss, auf dem sich das Basisverzeichnis des Benutzers befindet, eignet sich vielleicht weniger für eine zentrale Gruppenrichtlinie. Denn die Basisverzeichnisse (Userhome-Directories) einer großen Organisation mit mehreren Standorten liegen auf mehreren Dateiservern. Doch auch hier gibt es einen Trick, um die Zuordnung zu mehreren Servern hinzubekommen. Näheres dazu finden Sie in Kapitel 14, Servergespeicherte Benutzerprofile, Basisordner und Ordnerumleitung.