Gruppenrichtlinien managen und erweitern
AD-Policy-Administration-Suites: Wie Pommes Frites den Hamburger, ergänzen Gruppenrichtlinien Microsofts Active-Directory (AD) perfekt. Active-Directory-Group- Policy-Management-Suites wären dann das noch fehlende Ketchup.
Die Verwendung von Gruppenrichtlinien (Group-Policies) sollte für Organisationen, die Active-Directory ausführen, keine Frage sein. Sie helfen der IT, Änderungen und zahlreiche Einstellungen für Benutzer und Computer im AD über eine zentrale Konsole zu steuern. Aber einige IT-Profis scheuen vor Gruppenrichtlinien zurück. Zwar gehören Gruppenrichtlinien seit Windows-2000 zu jedem Windows-Betriebssystem, aber sie unterliegen Einschränkungen, die ein beträchtliches administratives Chaos verursachen können. In großen Domänen mit mehreren Administratoren beispielsweise ist genau aufzupassen. Denn Gruppenrichtlinien machen es leicht, in Echtzeit Einstellungen zu modifizieren, die jeden Computer oder Benutzer in der Domäne betreffen, aber echtes Change-Management oder Versionskontroll-Fähigkeiten fehlen.
Die gute Nachricht ist, dass Microsoft die mit Gruppenrichtlinien verknüpften Programmierschnittstellen veröffentlicht. Somit stehen diverse Dritthersteller-Applikationen zur Verfügung, die einige Lücken im ursprünglichen Werkzeug füllen. Was aber sind die größten Lücken beziehungsweise Probleme? Da wäre zunächst das Fehlen einer Einrichtung, mit der sich feststellen lässt, wer wann welche Einstellung geändert hat. Das ist besonders problematisch, wenn mehrere Administratoren mit ihren Löffeln in der Suppe rühren. Dieses Problem verschlimmert die Tatsache, dass Gruppenrichtlinien-Objekte (Group-Policy-Objecty, GPOs) in AD auf Domänenebene gespeichert werden und sich nur innerhalb einer Live-AD-Umgebung modifizieren lassen. Ein mögliches Resultat: Nach einer als trivial eingestuften Änderung auf Domänenebene könnte ein paar Minuten später der Helpdesk mit Anrufen überflutet werden.
Clevere IT-Gruppen umgehen dieses Problem, indem sie ihre GPOs mit so wenig Richtlinieneinstellungen wie möglich anpassen. So lassen sich schnell Einstellungen, die eine Massenhysterie auslösen, wieder rückgängig machen, ohne andere, funktionierende GPOs zu beeinträchtigen. Dieses Vorgehen führt aber zu mehreren Dutzend wenn nicht gar mehrere Hundert GPOs in der AD-Domäne. Das bedeutet langsameres Login und längere Startup-Zeiten für die Benutzer.
Gruppenrichtlinien haben noch andere Schwachpunkte: Sie sind auf Windows-Domänenmitglieder beschränkt – es gibt keinen Weg, GPOs für Mac-OS, Unix, Linux und Nicht-Domänen-Mitglieder durchzusetzen. Gruppenrichtlinien können zwar Software verteilen, aber sie sind keineswegs so robust wie konventionelle Desktop-Management-Suites, beispielsweise die von Altiris oder Landesk. Gruppenrichtlinien können weder Setups repaketieren noch Installationen vor der Setup-Ausführung lokal kopieren.
Gruppenrichtlinien besitzen nur wenig natürliche Funktionalität. Für etwas so Einfaches wie die Verteilung einer Desktop-Verknüpfung ist bereits ein Skript zu schreiben. Zwar machen dann die Gruppenrichtlinien die Skriptverteilung einfach, aber Skripte sind oft schwierig zu erzeugen und schwierig zu debuggen und zu testen. Da Skripte Änderungen nicht melden, lässt sich die Funktionstüchtigkeit der Skripte nur durch Versuche verifizieren.
Keine Universallösung
Sucht der Administrator nach Produkten, die diese Einschränkungen beseitigen, muss er leider feststellen, dass es keine Suite gibt, die alles kann. Somit ist zu selektieren. Für den folgenden Vergleichstest wurde das kritischste Paar ausgewählt: Gruppenrichtlinien-Management und Gruppenrichtlinien-Erweiterungen. Gruppenrichtlinien-Management-Produkte liefern Versionskontrolle, erweiterte Sicherheit, zusätzliche Monitoring-/Berichtsoptionen und andere Features. Gruppenrichtlinien-Erweiterungen ergänzen die Funktionalität der Richtlinieneinstellungen – das, was der Administrator auf dem Client manipulieren kann.
Nahezu alle Hersteller, die diesen Markt bedienen, haben separate Produkte für Gruppenrichtlinien-Änderungs-Steuerung und -Management sowie Gruppenrichtlinien-Erweiterungen im Angebot. Das bedeutet, dass eine Organisation theoretisch das Gruppenrichtlinien-Management-Produkt des einen und das Gruppenrichtlinien-Erweiterungs-Produkt des anderen Herstellers kaufen könnte. Empfehlenswert ist das aber nicht, denn es ist schwierig, die Erweiterung des einen mit dem Management-Produkt des anderen Herstellers zusammenarbeiten zu lassen.
dj@networkcomputing.de
» Newsletter abonnieren
Täglich aktuelle News und Hintergründe für Fachhändler, ITK-Hersteller, Distributoren und aus der Online-Welt.
» Tipp der Redaktion
Die besten System-Tools für Android
Android erlaubt tiefe Eingriffe in das System – und viele Apps nutzen diese Möglichkeit, um die Leistung zu optimieren und dem Nutzer bei der Bedienung seines Smartphones zu helfen. Wir stellen die besten System-Tools für Android vor.
Zwölf Smartphone-Flatrates ab 20 Euro im Vergleich
Mit Yourfone von E-Plus kommt jetzt eine neue Günstig-Flat für Smartphones. Unsere Kollegen von der Connect haben den Neuling mit der etablierten Konkurrenz verglichen.
Ungarn führt Telefonsteuer ein
Weit weniger Spaß als bisher werden die Bürger Ungarns sicherlich künftig beim Telefonieren haben. Als Reaktion auf die Schuldenlast des Landes hat das Parlament die Einführung einer Telefonsteuer beschlossen.
Weitere Artikel
» Bilderstrecken
» Meistgelesene News
So sexy sind Deutschlands Bäuerinnen
Vor kurzem war es wieder soweit: Die Macher des Deutschen Bauernkalenders suchten nach den schönsten Botschafterinnen für die Landwirtschaft. Die ansprechendsten Bewerberinnen kamen zum Casting nach München und Hamburg. Wir zeigen Ihnen die besten Bilder der Vorauswahlen in unserer Bilderstrecke ...
Massenentlassungen bei HP geplant
Der Rückgang der PC-Nachfrage und die Zusammenlegung von PC-und Druckersparte haben einschneidende Konsequenzen für die Mitarbeiter von HP. Es sollen laut Medienberichten 30.000 Mitarbeiter entlassen werden.