Die Verwaltung von Gruppenrichtlinien in Active Directory kann mitunter recht mühsam sein, insbesondere wenn bestimmte Gruppenrichtlinienobjekte (GPOs) für bestimmte Benutzer oder Computer nicht gelten sollen. Das ist ärgerlich, denn wenn man nicht aufpasst, können Richtlinien dort angewendet werden, wo sie nicht hingehören, was zu Konflikten oder unerwünschten Systemänderungen führen kann. Ob Sie nun einige Testrechner von einer umfassenden Richtlinie ausschließen oder detailliertere Kontrollen einrichten möchten – die präzise Festlegung des Anwendungsbereichs kann Ihnen später viel Ärger ersparen. Dieser Leitfaden beschreibt verschiedene Möglichkeiten zum Blockieren oder Filtern von GPOs für bestimmte AD-Objekte – von einfachen Sicherheitsfiltern bis hin zu erweiterten WMI-Filtern und der gezielten Anwendung auf Elementebene –, damit Sie besser kontrollieren können, welche Richtlinien wo gelten. Diese Methoden helfen Ihnen, zu verhindern, dass bestimmte Richtlinien unbemerkt in bestimmte Konfigurationen gelangen, und erleichtern Ihnen so die Verwaltung Ihrer Gruppenrichtlinien.
Wie man die Anwendung bestimmter Gruppenrichtlinienobjekte in Active Directory verhindert
Methode 1: Sicherheitsfilterung in der Gruppenrichtlinienverwaltungskonsole verwenden
Dies ist wahrscheinlich die einfachste und unkomplizierteste Möglichkeit, schnell Ausnahmen festzulegen. Im Prinzip passen Sie die Berechtigungen eines Gruppenrichtlinienobjekts (GPO) so an, dass nur bestimmte Gruppen oder Benutzer es anwenden können, während andere ausgeschlossen werden. Dies eignet sich besonders gut, wenn Sie verhindern möchten, dass bestimmte Computer oder Benutzer eine Richtlinie erhalten, ohne den Rest der Domäne zu beeinträchtigen. Indem Sie die Anwendung der Gruppenrichtlinie auf eine Sicherheitsgruppe, die die Zielcomputer enthält, verweigern, weisen Sie Active Directory an, diese Objekte bei der Richtliniendurchsetzung zu überspringen. Es ist einfach, aber sehr effektiv. Beachten Sie jedoch: Verweigerte Berechtigungen haben Vorrang vor Zulassen. Gehen Sie daher sorgfältig mit Ihren Berechtigungen um, da Sie sonst versehentlich mehr blockieren könnten als beabsichtigt.
- Öffnen Sie die Gruppenrichtlinienverwaltungskonsole (gpmc.msc).
- Navigieren Sie zum betreffenden Gruppenrichtlinienobjekt.
- Wechseln Sie zur Registerkarte „Delegierung“.
- Klicken Sie auf die Schaltfläche „Hinzufügen“, um bestimmte Sicherheitsgruppen zuzuweisen.
- Geben Sie die Gruppe, den Benutzer oder den Computer ein, den Sie ausschließen möchten (z. B.
gpo_WSUS_workstations_excl). - Klicken Sie auf „Erweitert“ und wählen Sie für „Gruppenrichtlinie anwenden“ die Option „Verweigern“.
Nach der Konfiguration starten Sie die betroffenen Clients neu oder führen Sie den entsprechenden Befehl aus gpupdate /force.Öffnen Sie anschließend die Eingabeaufforderung und überprüfen Sie mit dem Befehl, welche Richtlinien tatsächlich angewendet werden gpresult /r. Wenn Ihre Gruppenrichtlinie aufgrund der Einstellung „Verweigern“ herausgefiltert wurde, funktioniert sie. Auf manchen Rechnern ist möglicherweise ein manueller Neustart erforderlich, damit die Änderungen wirksam werden.
Profi-Tipp: Diese Methode ist eher statisch – jedes Mal, wenn Sie Ausnahmen hinzufügen oder entfernen möchten, müssen Sie die entsprechende Sicherheitsgruppe manuell aktualisieren. Falls Sie eine dynamischere Lösung benötigen, lesen Sie weiter.
Methode 2: WMI-Filter zur Feinabstimmung der GPO-Anwendung
Hier wird es etwas komplexer, aber auch flexibler. Mit WMI-Filtern können Sie WQL-Abfragen erstellen, um genau festzulegen, welche Computer eine Richtlinie erhalten sollen und welche nicht. Beispielsweise können Sie festlegen, dass die Richtlinie alle Computer mit „ adm “ im Hostnamen überspringt – praktisch für Test- oder Administrationsrechner. Dieser Ansatz ist besonders nützlich, wenn Ihre Ausschlüsse von Hardware oder Namenskonventionen abhängen. Die eigentliche Funktionalität erhalten Sie in der Gruppenrichtlinienverwaltungskonsole, wo Sie den Filter erstellen und ihn anschließend mit einem Gruppenrichtlinienobjekt (GPO) verknüpfen.
SELECT * FROM Win32_ComputerSystem WHERE NOT (Name LIKE '%adm%')So gehen Sie vor:
- Öffnen Sie die Gruppenrichtlinienverwaltungskonsole.
- Navigieren Sie zu WMI-Filtern
- Erstellen Sie einen neuen WMI-Filter mit Ihrer benutzerdefinierten WQL-Abfrage.
- Fügen Sie diesen Filter Ihrem Ziel-GPO hinzu.
Ab sofort führt jede Maschine diese Prüfung beim Start oder Aktualisieren durch. Wenn die Abfrage „false“ zurückgibt (z. B.weil der Hostname „adm“ enthält), wird die Richtlinie nicht angewendet. Das ist etwas ungewöhnlich, aber in einer Konfiguration funktionierte es einwandfrei – in einer anderen weniger. Wichtig: WMI-Abfragen können etwas langsam oder kompliziert sein, wenn die Syntax nicht perfekt ist. Testen Sie sie daher zunächst auf einigen Maschinen.
Methode 3: Elementbezogene Zielgruppenansprache für Gruppenrichtlinienpräferenzen
Wenn Ihre Gruppenrichtlinie (GPO ) Gruppenrichtlinienpräferenzen (GPP) verwendet, können Sie Regeln für die Elementzuordnung einrichten. Dies ist praktisch, um Ausnahmen innerhalb einer einzelnen GPO anzuwenden, ohne mehrere erstellen zu müssen. Beispielsweise können Sie Einstellungen nur für bestimmte Gruppen oder Computer festlegen oder, wie in unserem Fall, Ausnahmen für bestimmte Objekte erstellen. Aktivieren Sie dazu einfach die Elementzuordnung auf der Registerkarte „Allgemein“ eines Einstellungselements und fügen Sie anschließend Regeln basierend auf variablen Attributen wie Gruppenzugehörigkeit, Hostname oder sogar Sicherheitsgruppenzugehörigkeit hinzu.
- Bearbeiten Sie das Gruppenrichtlinienobjekt und suchen Sie den entsprechenden Eintrag.
- Aktivieren Sie das Kontrollkästchen „ Zielgruppenauswahl auf Artikelebene“.
- Konfigurieren Sie Bedingungen wie IS-NOT für die Sicherheitsgruppe oder das Hostnamensmuster.
- Anwenden und testen – dann neu starten oder ausführen
gpupdate /force
So wird die Einstellung nur auf Objekte angewendet, die Ihren Kriterien entsprechen, alle anderen werden ignoriert. Das erfordert zwar etwas mehr Aufwand im Vorfeld, ist aber nach der Einrichtung äußerst präzise. Wichtig: Wenn Sie Attribute oder Gruppen ändern, müssen Sie Ihre Targeting-Regeln entsprechend anpassen.
Die Verwaltung von Ausnahmen in Gruppenrichtlinienobjekten (GPOs) kann schnell kompliziert werden, aber die Kombination verschiedener Methoden ermöglicht eine umfassende Kontrolle. In der Regel geht es, je nach Umgebung, um ein ausgewogenes Verhältnis zwischen Einfachheit und Präzision.