Group Policy Objects

Allgemeine Infos

Group Policy Objects (GPOs) sind das zentrale Konfigurationswerkzeug in Active-Directory-Umgebungen. Sie steuern Sicherheitseinstellungen, Softwareverteilung, Skriptausführung, Laufwerkmappings, Drucker, Internet Explorer-Zonen (Legacy), Windows Firewall-Regeln, AppLocker-Richtlinien und hunderte weitere Einstellungen für Benutzer und Computer. Der Verarbeitungsablauf folgt dabei immer der LSDOU-Reihenfolge: Local, Site, Domain, Organizational Unit, wobei später verarbeitete GPOs frühere überschreiben, sofern kein Enforcement gesetzt ist.

GPOs werden auf OU-, Domänen- oder Site-Ebene verlinkt, nicht gespeichert. Das Objekt selbst liegt im SYSVOL und in der AD-Datenbank. Zwei Komponenten bilden jedes GPO: das Group Policy Container (GPC) in AD und das Group Policy Template (GPT) im SYSVOL-Share. Replikationsprobleme zwischen Domänencontrollern zeigen sich deshalb häufig als inkonsistente Richtlinienanwendung, obwohl das GPO in der GPMC korrekt aussieht.

Für Verwaltung und Diagnose stehen mehrere Werkzeuge bereit. Die GPMC (Group Policy Management Console) ist die primäre Verwaltungsoberfläche für Verknüpfungen, Delegation und Modellierung. gpresult /h report.html erzeugt einen vollständigen RSoP-Bericht (Resultant Set of Policy) für einen Benutzer oder Computer und ist der erste Griff bei Troubleshooting. gpupdate /force erzwingt die sofortige Neuanwendung, Get-GPOReport per PowerShell exportiert GPO-Inhalte als XML oder HTML für Dokumentation und Audits.

Typische Stolpersteine in der Praxis: GPO-Filterung über Sicherheitsgruppen funktioniert nur, wenn das Computerkonto (nicht nur der Benutzer) Lesezugriff auf das GPO hat. Loopback-Processing (Merge oder Replace) wird häufig missverstanden und führt zu unerwartetem Verhalten in Terminalserver- oder Kioskumgebungen. WMI-Filter verlangsamen die GPO-Verarbeitung messbar und sollten sparsam eingesetzt werden.

In hybriden Umgebungen mit Entra ID (Azure AD) ergänzen Intune-Konfigurationsprofile die klassische GPO-Welt für cloud-joined Geräte. GPOs wirken nur auf domänengebundene Maschinen. Für reine Entra-ID-Geräte ohne Domänenmitgliedschaft ist Intune mit Settings Catalog der funktionale Ersatz.

Kurzbeschreibung

Zentrale Konfigurationsrichtlinien für AD-Objekte; steuern Sicherheit, Software und Benutzerumgebung per LSDOU-Verarbeitungsreihenfolge. Für cloud-joined Geräte ersetzt Intune die GPO-Funktionalität.

Lizenz & Verfügbarkeit

GPOs sind Bestandteil von Windows Server ohne zusätzliche Lizenzkosten, sofern eine Active-Directory-Umgebung betrieben wird. Die GPMC ist ab Windows Server 2008 R2 integriert und steht als RSAT-Komponente auch auf Windows-10/11-Clients zur Verfügung. Für erweiterte GPO-Funktionen wie ADMX-Templates von Drittherstellern (Chrome, Firefox, Adobe) fallen keine Lizenzkosten an, sie werden ins zentrale ADMX-Store unter SYSVOL eingepflegt.

Weiterführende Links

• Microsoft Learn – Group Policy Übersicht
• Microsoft Learn – gpresult Referenz
• Microsoft Learn – Intune Settings Catalog (GPO-Ersatz für Cloud)
• ADMX.help – ADMX-Template Referenz