Gruppenrichtlinien einfach verwalten

Quest hat sich in den vergangenen Jahren als einer der führenden Lieferanten von spezialisierten Werkzeugen für das Systemmanagement etabliert. Einer der Schwer-punkte sind Werkzeuge für das Active Directory-Management. In diese Gruppe gehört auch der Quest Group Policy Manager, der von Computerworld in der Version 4.0 getestet wurde.

Die Kernfunktion des Produkts ist das Versions- und Änderungsmanagement für Gruppenrichtlinien. Die Gruppenrichtlinien gehören zu den wichtigsten Werkzeugen für das Konfigurationsmanagement in Windows-Netzwerken. Mit Hilfe der Gruppenrichtlinien können Clients und Server über zentral definierte Richtlinien konfiguriert werden. Es gibt mehrere tausend Parameter in den Gruppenrichtlinien, angefangen von der Steuerung der Benutzer-oberfläche über das Verhalten des Internet Explorer bis hin zu den Sicherheitseinstellungen.

Das an sich sehr leistungsfähige Konzept der Gruppenrichtlinien leidet allerdings unter dem ausgesprochen komplexen Management. Es gibt zwar mit der GPMC (Group Policy Management Console, Gruppenrichtlinienverwaltung) ein spezielles Tool, um Gruppenrichtlinien besser administrieren zu können. Das reicht aber nicht aus, weil es beispielsweise keine Versionierung von Gruppenrichtlinien und keine Prozesse für ein strukturiertes Änderungsmanagement gibt. Da aber schon eine fehlerhafte Einstellung in Gruppenrichtlinien ausreichen kann, um die Clients im Netzwerk lahmzulegen, braucht es solche Ansätze.

Zudem ist die Verwaltung vieler speziellerer Funktionen in den Gruppenrichtlinien wie beispielsweise der WMI-Filter oder der Sicherheitseinstellungen auch in der GPMC wenig übersichtlich. Und die Erstellung und Verwaltung eigener Vorlagen, mit denen Gruppenrichtlinien erweitert und angepasst werden können, wird von den Standardwerkzeugen überhaupt nicht unterstützt.

Letztlich klafft also eine Lücke zwischen den Herausforderungen, die es zu lösen gilt, und den Werkzeugen, die dafür zur Verfügung stehen. Genau hier setzt Quest mit dem Group Policy Manager an, der viele der Probleme löst. Man muss zwar weiterhin genau verstehen, was die einzelnen Richtlinieneinstellungen bewirken, kann aber immerhin die Risiken durch fehlerhafte Änderungen minimieren.

Der Quest Group Policy Manager besteht aus einer Server- und einer Client-Komponente. Die Serverkomponente muss auf mindestens einem Server im Netzwerk ins-talliert sein. Die Client-Komponente wird für die Änderungen auf den lokalen Administrator-Arbeitsstationen eingerichtet. Der Serverdienst wird im Kontext eines speziellen Benutzerkontos ausgeführt. Dieses sollte explizit für diese Aufgabenstellung eingerichtet werden. Es muss die Berechtigung zum Erstellen und Ändern von Gruppenrichtlinienobjekten besitzen.

###BILD_20698_left###Die Kernfunktion des Quest Group Policy Managers ist wie angesprochen das Konfigurations- und Änderungsmanagement für Gruppenrichtlinien. Darüber hinaus gibt es aber noch einige weitere wichtige Features. Das Produkt bietet umfangreiche Reporting-Funktionen, kann die Richtlinienvorlagen einfacher verwalten und enthält einen Editor, mit dessen Hilfe sich Richtlinienvorlagen sehr einfach erstellen lassen. Der Editor verwendet eine grafische Schnittstelle, so dass man sich nicht mit der doch recht unübersichtlichen Syntax und Struktur der Textdateien für administrative Vorlagen beschäftigen muss.

Der Quest Group Policy Manager speichert Versionen von Gruppenrichtlinienobjekte ab, die sowohl für die Dokumentation als auch für ein schnelles Rollback erforderlich sind. Das Werkzeug ist ausgesprochen flexibel bezüglich der Speicherorte. Die Informationen können direkt im Active Directory, aber auch in externen Speichern wie ADAM-Instanzen abgelegt werden. In produktiven Umgebungen bietet sich die Nutzung von ADAM oder anderen externen Speichern an, um das Active Directory zu entlasten und auch bei schwerwiegenden Konfigurationsfehlern, die Domänencontroller betreffen, noch darauf zugreifen zu können.

Gruppenrichtlinienobjekte für die Verwaltung durch den Group Policy Manager registriert werden. Sie werden dann in die Versionskontrolle übernommen. Innerhalb der Struktur des Version Control Root ist es möglich, eigene Unterstrukturen anzulegen, um einen guten Überblick über die Gruppenrichtlinienobjekte zu erhalten. Das ist vor allem dann hilfreich, wenn man mit kleineren, modularen Richtlinien arbeitet.

Zur Bearbeitung lassen sich die Objekte auschecken. Die eigentliche Bearbeitung erfolgt zwar immer noch mit dem Gruppenrichtlinieneditor, die Änderungen werden aber nicht sofort aktiv. Stattdessen lassen sich definierte Workflows nutzen, um Änderungen freizugeben. Außerdem können Gruppenrichtlinien zunächst einmal in eine Testumgebung übernommen, dort getestet und anschließend erst freigegeben werden.

Darüber hinaus gibt es viele weitere Funktionen. So wird ein schnelles Rollback unterstützt, mit dem man eine Infrastruktur wieder auf den Zustand vor dem Deployment einer geänderten Gruppenrichtlinie zurücksetzen kann. Gruppenrichtlinienobjekte lassen sich miteinander vergleichen. Ausserdem können sie einfach von einem Forest in einen anderen verschoben werden.

Besonders wichtig ist auch die übersichtliche Erstellung und Verwaltung von WMI-Filtern und Sicherheitseinstellungen, die den Einsatzbereich von Gruppenrichtlinien steuern. Auch die Zuordnung von Gruppenrichtlinienobjekten zu Containern im Active Directory ist sehr einfach nutzbar.

Insgesamt zeigt sich der Quest Group Policy Manager im Test als ein ausgereiftes Werkzeug, das den Umgang mit Gruppenrichtlinien deutlich vereinfacht und das Risiko von Fehlern verringert. Das Workflow-Modell konnte in der intuitiven Nutzung nicht ganz überzeugen. Allerdings ist die Nutzung des Produkts mit wenig Aufwand erlernbar, so dass man schnell produktiver wird, wenn man Gruppenrichtlinien verwalten muss.

###BILD_3821_left###Für Administratoren von Windows-Infrastrukturen ist das Werkzeug eine nähere Betrachtung wert. Denn die konsequente Nutzung von Gruppenrichtlinien ist für ein effizientes Management von Windows-Umgebungen fast unverzichtbar - und der Quest Group Policy Manager hilft dabei.