GPO Editor: Einstellungen vs. Richtlinien

Wenn man bei ADMX Templates oder Gruppenrichtlinien (GPO) von Einstellungen und Richtlinien spricht, meint man oft das Selbe. Doch es gibt tatsächlich einen gravierenden Unterschied. Auch der Group Policy Management Editor gibt einen Hinweis auf diesen Unterschied.

Meldung im GPO Editor

Hinweis: Diese Registrierungseinstellung wird nicht in einem Richtlinienschlüssel gespeichert und somit als Voreinstellung angesehen. Falls das Gruppenrichtlinienobjekt, von dem diese Einstellungen implementiert wurde, jemals entfernt wird, bleibt diese Registrierungseinstellung daher erhalten.

Diese Registrierungseinstellung wird nicht in einem Richtlinienschlüssel gespeichert und somit als Voreinstellung angesehen.

Note: This registry setting is not stored in a policy key and thus is considered a preference. Therefore, if the Group Policy Object that implements this setting is ever removed, this registry setting will remain.

This registry setting is not stored in a policy key and thus is considered a preference.

Diese Meldung erscheint im GPO Editor, wenn es sich um eine Einstellung und nicht um eine Richtlinie handelt. Außerdem macht sich das grafisch durch einen kleinen schwarzen Pfeil an dem GPO Objekt bemerkbar.

GPO Einstellungen vs. Richtlinien

Einstellungen vs. Richtlinien

Gruppenrichtlinien sind nicht nur auf Windows Einstellungen beschränkt, sondern können auch für eigene Anwendungen verwendet werden. Doch hierfür können Richtlinien ODER Einstellungen verwendet werden. Doch worin liegt eigentlich der Unterschied?

Einstellungen spiegeln die Auswahl eines Benutzers wieder. Es liegt im Ermessen des Users eine Einstellung zu ändern. Im Gegensatz zu einer Einstellung schreibt eine Richtlinie ein Verhalten vor und soll nicht verändert werden.

Einstellungen werden somit folgendermaßen in der Registry gespeichert:

  • HKLM\Software\Deine\App
  • HKCU\Software\Deine\App

Möchte man eine Richtlinie per GPO verteilen, sollte folgender Pfad verwendet werden:

  • HKLM\Software\Policies\Deine\App
  • HKCU\Software\Policies\Deine\App

Interessant wird es nun, wenn eine Einstellung und eine Richtlinie das Selbe steuern sollen. Eine Software könnte dem Benutzer erlauben automatische Updates zu aktivieren oder zu deaktivieren. Außerdem erlaubt die Software aber Administratoren dieselbe Optionen per Gruppenrichtlinie zu steuern. Somit müssten bis zu vier Registrierungsschlüssel berücksichtigt werden:

  • Einstellung in HKLM\Software\Deine\App (Computereinstellung)
  • Einstellung in HKCU\Software\Deine\App (Benutzereinstellung)
  • Richtlinie in HKLM\Software\Policies\Deine\App (Computerrichtlinie)
  • Richtlinie in HKCU\Software\Policies\Deine\App (Benutzerrichtlinie)

Bewertung und Reihenfolge

Wie ist dann nun die Reihenfolge um Einstellungen und Richtlinien zu verarbeiten? Vor allem wenn sich die Werte widersprechen?

Richtlinien vs. Einstellungen

Die Idee einer Richtlinie ist es die möglichen Einstellungen einzuschränken, die der User konfigurieren kann. Daher sollten Richtlinien immer Vorrang vor Einstellungen haben.

Computereinstellungen vs. Benutzereinstellungen

Bei Einstellungen ist es so, dass HKLM von HKCU außer Kraft gesetzt wird. Das bedeutet, dass der Benutzer alle Einstellungen außer Kraft setzen kann, welche auf Computerebene konfiguriert wurden.

Computerrichtlinien vs. Benutzerrichtlinien

Es gibt hierzu keine offizielle Dokumentation. Aber in einem Handbuch eines Windows Server 2003 ist zu finden, dass bei einem Konflikt zwischen Computer- und Benutzerrichtlinie die Computerrichtlinien Vorrang haben.

Johannes
 

sidebar
>