Einfache Namen für GPOs

Active Directory Gruppenrichtlinien (GPO) Windows Server
Ronny Böttcher1 Kommentar zu Einfache Namen für GPOs

Wenn es um „einfache Namen“ für Dinge in der IT geht, kann man sicherlich tagelang darüber diskutieren – in diesem Artikel will ich ein Beispiel für die Benennung von GPOs vorstellen, welches ich seit einigen Jahren verwende, denn das ist für mich die Definition von „einfach“.

Variante 1: „Sprechende“ Namen

In diesem Beispiel wurde die GPO „Zeige Willkommensnachricht“ angelegt. In dieser GPO soll allen Clients (also nur die Geräte, an denen sich Anwender anmelden werden: Notebooks & PCs) eine Meldung beim Anmelden angezeigt werden.

Möchte nun ein anderer Administrator diese GPO ändern, muss er sich erst in den Settings raussuchen, wo genau die Einstellung gesetzt worden ist.
Unter Umständen wurde die GPO sogar auf mehr Geräten aktiviert als ursprünglich geplant. In meinem Beispiel also für ALLE Geräte in der Domäne anstelle nur für die Clients.

Variante 2: „Logische“ Namen

Ich habe mir angewöhnt in den GPOs durch Kürzel zu beschreiben, wo genau die Einstellung zu finden ist. Anhand des Beispiels heißt die GPO dann also:
-> C-C-PO-WS-SS-LP-SO_InteractiveLogon_Willkommensnachricht_v1.0

Ich sehe also am Namen:

  1. C -> Client
  2. C -> Computer Configuration
  3. PO -> Policies
  4. WS -> Windows Settings
  5. SS -> Security Settings
  6. LP -> Local Policies
  7. SO -> Security Options
  8. _ -> Trennung Pfad zur eigentlichen Option bzw. Optionskategorie
  9. Willkommensnachricht -> frei gewählter & sprechender Name
  10. _ -> Trennung zwischen Name und Version
  11. v1.0 -> Versionierung

… und erkenne, dass die GPO gar nicht für die gesamte Domäne gedacht war, sondern nur für die Clients.

Vorteil Versionierung

Möchte man im Laufe er Zeit einige Änderungen an GPOs vornehmen, so empfehle ich, die GPO zu duplizieren und dann als nächsthöhere Version „v2.0″/“v3.0″/… zu benennen und die alte Version erstmal nur zu deaktivieren.
Der Vorteil ist: Bei Fehlern aufgrund der Änderungen muss man sich nicht erst überlegen, was man alles angepasst hat oder gar erst Dokumentationen (sofern man vorher eine erstellt hat 😉) raussuchen, sondern kann direkt die neue fehlerhafte Version deaktivieren und die ältere funktionierende Version aktivieren.

Mögliche Buchstaben an o.g. Stellen

  1. Stelle: A -> Alle / C -> Clients / S -> Server / T -> Test
  2. Stelle: C -> Computer Configuration / U -> User Configuration
  3. Stelle: PO -> Policies / PR -> Preferences
  4. Stelle: SS -> Software Settings / WS -> Windows Settings / AT -> Administrative Templates / CP(S) -> Control Panel Settings
  5. Stelle: … usw. … Ich denke, das Schema sollte jetzt erkennbar sein

Bilder zu den Varianten und Tipps

Beispiel der Namenskonvention & Versionierung

Weitere Tipps bzgl. Gruppenrichtlinien gibt es bei „Gruppenrichtlinien (GPO)“

Verwandte Beiträge

Verarbeitungsreihenfolge der GPOs

Ronny Böttcher

CVE-2021-40444 | Microsoft MSHTML Remotecodeausführung Sicherheitsanfälligkeit

Ronny Böttcher

HowTo: AD-Verwaltung mittels RSAT auf Windows 10

Ronny Böttcher

1 thought on “Einfache Namen für GPOs

  1. Pingback: AD-Security: Verwendung von LAPS – Ronny Böttcher

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.