Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle Anleitungen
📘 Anleitung Windows Server 02.06.2026 · 9 min Lesezeit

Gruppenrichtlinien (GPO) Grundlagen mit Praxisbeispielen

Gruppenrichtlinien (GPO) zentral verwalten: GPMC, LSDOU-Verarbeitungsreihenfolge, Kennwortrichtlinie, Netzlaufwerk-Mapping per GPP und Bildschirmsperre-Timeout Schritt für Schritt.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Notebook mit blauer Windows-Hintergrundgrafik als Symbolbild für das optionale Mai-Update für Windows 11.

Gruppenrichtlinien (Group Policy Objects, GPO) sind das zentrale Werkzeug, um Benutzer- und Computereinstellungen in einer Active-Directory-Domäne einheitlich durchzusetzen. Mit der Gruppenrichtlinien-Verwaltungskonsole (GPMC) oder PowerShell-Cmdlets kannst du Hunderte von Einstellungen rollout-sicher auf Organisationseinheiten (OUs), Sites oder die gesamte Domäne verteilen – ohne jede Maschine einzeln anzufassen. Diese Anleitung erklärt Kernkonzepte wie die LSDOU-Verarbeitungsreihenfolge und Vererbungsregeln und zeigt drei vollständige Praxisbeispiele: Kennwortrichtlinie mit Account-Lockout, Netzlaufwerk-Mapping per GPP (Drive Maps) und eine Sicherheitseinstellung (Bildschirmsperre-Timeout).

Kurzfassung: GPO mit gpmc.msc erstellen, mit OU/Domäne verknüpfen, Einstellungen unter Computer- oder Benutzerkonfiguration setzen. Mit gpupdate /force sofort anwenden, mit gpresult /r prüfen. Verarbeitungsreihenfolge: Lokal → Site → Domäne → OU (LSDOU).

Voraussetzungen

  1. Active-Directory-Domäne vorhanden – siehe Active Directory Domäne einrichten, Benutzer und OUs anlegen
  2. Windows Server 2019/2022 als Domain Controller (DC)
  3. Anmeldung mit einem Konto mit Domänen-Admin-Rechten
  4. GPMC auf dem Verwaltungsrechner installiert (Feature Gruppenrichtlinienverwaltung über Server-Manager oder RSAT)
  5. PowerShell-Modul GroupPolicy verfügbar (ab Windows Server 2012 R2 integriert)
  6. Beispieldomäne in dieser Anleitung: contoso.com – ersetze sie durch deine eigene

Schritt 1: GPMC starten und Überblick verschaffen

Öffne die Gruppenrichtlinien-Verwaltungskonsole als Administrator.

GUI

  1. Drücke Win+R, gib gpmc.msc ein, bestätige mit OK.
  2. Im linken Baum siehst du deine Gesamtstruktur, darunter die Domäne contoso.com.
  3. Unterhalb der Domäne liegen Gruppenrichtlinienobjekte (alle vorhandenen GPOs) und deine OUs mit verlinkten GPOs.
  4. Klicke auf eine OU – rechts unter Verknüpfte Gruppenrichtlinienobjekte siehst du Reihenfolge und Erzwingen-Status.

PowerShell

# Modul laden (falls nicht automatisch)
Import-Module GroupPolicy

# Alle vorhandenen GPOs der Domäne auflisten
Get-GPO -All | Select-Object DisplayName, GpoStatus, CreationTime

Schritt 2: Verarbeitungsreihenfolge LSDOU verstehen

GPOs werden in einer festen Reihenfolge verarbeitet – jede nachfolgende Ebene überschreibt Einstellungen der vorherigen:

StufeBuchstabeBeispielAnwendungszeit

Lokal

L

gpedit.msc auf dem Client

Immer zuerst

Site

S

AD-Site Berlin

Vor Domänen-GPOs

Domäne

D

Default Domain Policy

Überschreibt Site

OU (hierarchisch)

OU

MitarbeiterMarketing

Zuletzt; tiefste OU gewinnt

Erzwingen (Enforced): Ein als „Erzwungen“ markierter GPO-Link ignoriert eine Vererbungssperre auf untergeordneten OUs und setzt sich immer durch. Vererbung blockieren: Verhindert, dass GPOs höherer Ebenen auf eine OU wirken – wird aber durch „Erzwungen“ überschrieben. Setze „Vererbung blockieren“ sparsam ein und dokumentiere es, sonst wird das Troubleshooting schnell unübersichtlich.

GPO-Daten bestehen aus zwei Teilen: dem Gruppenrichtlinien-Container (in AD gespeichert) und der Gruppenrichtlinien-Vorlage im SYSVOL-Ordner (\\DC\SYSVOL\contoso.com\Policies). Änderungen werden zwischen Domain Controllern repliziert – rechne mit 15–30 Minuten, bis alle DCs synchron sind.

Schritt 3: Neue GPO erstellen und verknüpfen

Zuerst die GPO erstellen, dann mit einer OU oder der Domäne verknüpfen.

GUI

  1. Rechtsklick auf GruppenrichtlinienobjekteNeu.
  2. Namen eingeben, z. B. Sicherheit-Kennwort, Kommentar optional, OK.
  3. Rechtsklick auf die Ziel-OU (z. B. Mitarbeiter) → Vorhandenes Gruppenrichtlinienobjekt verknüpfen.
  4. GPO auswählen, OK.
  5. Zum Erzwingen: Rechtsklick auf den Link in der OU → Erzwungen aktivieren.

PowerShell

# GPO erstellen
New-GPO -Name 'Sicherheit-Kennwort' -Comment 'Kennwortrichtlinie fuer alle Mitarbeiter'

# GPO mit OU verknüpfen
New-GPLink -Name 'Sicherheit-Kennwort' -Target 'ou=Mitarbeiter,dc=contoso,dc=com' -LinkEnabled Yes

# Link als Erzwungen markieren
Set-GPLink -Name 'Sicherheit-Kennwort' -Target 'ou=Mitarbeiter,dc=contoso,dc=com' -Enforced Yes

Schritt 4: Computer- vs. Benutzerkonfiguration

Jede GPO enthält zwei unabhängige Konfigurationsbereiche:

BereichRegistry-HiveWann angewendetTypische Einstellungen

Computerkonfiguration

HKLM

Systemstart / Shutdown

Kennwortrichtlinien, Firewall, Windows Update, Softwareinstallation

Benutzerkonfiguration

HKCU

Anmeldung / Abmeldung

Startmenü, Desktop, Laufwerksmapping, Bildschirmschoner, IE/Edge-Einstellungen

Wichtig: Kennwortrichtlinien und Account-Lockout gehören immer in die Computerkonfiguration und müssen an der Domäne (nicht an einer OU) verknüpft sein, damit sie als Default Domain Password Policy greifen. Für Fein-Grained Password Policies (FGPP) gibt es einen separaten Mechanismus über AD-Einstellungen.

Sicherheitsfilterung und WMI-Filter erlauben es, eine GPO nur auf bestimmte Sicherheitsgruppen oder Computereigenschaften (z. B. Betriebssystemversion) anzuwenden. Standard-Sicherheitsfilter: Authentifizierte Benutzer – entferne diese Gruppe und füge stattdessen deine Zielgruppe ein, wenn du die GPO selektiv einsetzen willst.

Schritt 5: Praxisbeispiel 1 – Kennwortrichtlinie und Account-Lockout

Eine fehlende oder schwache Kennwortrichtlinie ist eines der häufigsten Sicherheitsrisiken. Die Default Domain Password Policy gilt für alle Domänenbenutzer und muss auf Domänenebene verknüpft sein.

GUI (GPMC)

  1. Öffne in GPMC die Default Domain Policy (oder lege eine neue GPO auf Domänenebene an).
  2. Rechtsklick → Bearbeiten → Gruppenrichtlinienverwaltungs-Editor öffnet sich.
  3. Navigiere zu: Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Kontorichtlinien → Kennwortrichtlinie.
  4. Setze folgende Werte:
  5. Minimale Kennwortlänge: 12 Zeichen
  6. Kennwort muss Komplexitätsvoraussetzungen entsprechen: Aktiviert
  7. Maximales Kennwortalter: 90 Tage
  8. Kennwortchronik: 24 gespeicherte Kennwörter
  9. Wechsle zu Kontorichtlinien → Kontosperrungsrichtlinie.
  10. Setze:
  11. Kontosperrungsschwellenwert: 5 ungültige Anmeldeversuche
  12. Kontosperrdauer: 30 Minuten
  13. Zurücksetzungsdauer des Kontosperrungszählers: 30 Minuten
  14. Editor schließen. GPO-Änderung ist sofort gespeichert.

PowerShell (prüfen und setzen)

# Aktuelle Account-Lockout-Policy prüfen
Get-ADDefaultDomainPasswordPolicy | Select-Object LockoutDuration, LockoutObservationWindow, LockoutThreshold

# Account-Lockout setzen (PowerShell-Weg)
Set-ADDefaultDomainPasswordPolicy `
  -LockoutThreshold 5 `
  -LockoutDuration (New-TimeSpan -Minutes 30) `
  -LockoutObservationWindow (New-TimeSpan -Minutes 30)

Hinweis: Set-ADDefaultDomainPasswordPolicy ändert die Fine-Grained Default Policy direkt in AD. Für eine vollständige Kennwortrichtlinie (Länge, Komplexität, Alter) nutze zusätzlich den GPMC-Editor wie oben beschrieben.

Faustregel: Lockout-Schwellenwert unter 5 Versuchen erhöht die Helpdesk-Belastung massiv und öffnet DoS-Möglichkeiten (jemand kann Accounts absichtlich sperren). 5 Versuche mit 30 Minuten Reset-Fenster ist ein praxisbewährter Kompromiss.

Schritt 6: Praxisbeispiel 2 – Netzlaufwerk per GPP (Drive Maps)

Group Policy Preferences (GPP) ermöglichen Laufwerksmappings, ohne Anmelde-Skripte schreiben zu müssen. GPP-Einstellungen sind unter Benutzerkonfiguration zu finden und werden beim Anmelden angewendet.

GUI (GPMC)

  1. Erstelle eine neue GPO, z. B. Drive-Map-Marketing, und verknüpfe sie mit der OU Marketing.
  2. Rechtsklick auf die GPO → Bearbeiten.
  3. Navigiere zu: Benutzerkonfiguration → Einstellungen → Windows-Einstellungen → Laufwerkzuordnungen.
  4. Rechtsklick → Neu → Zugeordnetes Laufwerk.
  5. Setze folgende Werte:
  6. Aktion: Erstellen (oder Ersetzen, wenn das Laufwerk schon existiert)
  7. Speicherort: \\fileserver\Marketing
  8. Bezeichnung: Marketing-Freigabe (optional)
  9. Laufwerkbuchstabe: M:
  10. Verbinden als: leer lassen (nutzt die Anmeldedaten des Benutzers)
  11. Beim Anmelden erneut verbinden: aktivieren
  12. Reiter Allgemein: Element-Zielgruppenadressierung aktivieren, falls du innerhalb derselben GPO nach Sicherheitsgruppe filtern möchtest.
  13. OK. Editor schließen.

PowerShell (GPO erstellen und verknüpfen)

# GPO erstellen und direkt mit OU verknüpfen
New-GPO -Name 'Drive-Map-Marketing' | `
  New-GPLink -Target 'ou=Marketing,dc=contoso,dc=com' -LinkEnabled Yes

# Hinweis: Die eigentliche Drive-Map-Einstellung wird in der
# GPMC (GUI-Editor) unter GPP konfiguriert – es gibt kein
# direktes Set-GPPreference-Cmdlet fuer Drive Maps in der
# Standardinstallation.
Tipp: Wähle als Aktion Ersetzen statt Erstellen, wenn das Laufwerk schon aus einem alten Skript existiert – sonst entstehen Duplikate. Achte auf korrekte UNC-Syntax: \\server\freigabe (Backslashes, keine Bindestriche).

Schritt 7: Praxisbeispiel 3 – Bildschirmsperre-Timeout per GPO

Ein automatischer Bildschirmschoner mit Kennwortschutz verhindert unbefugten Zugriff an unbeaufsichtigten Arbeitsplätzen. Die Einstellung gehört in die Benutzerkonfiguration.

GUI (GPMC)

  1. Erstelle eine neue GPO Desktop-Sicherheit und verknüpfe sie mit der Ziel-OU oder der Domäne.
  2. Rechtsklick → Bearbeiten.
  3. Navigiere zu: Benutzerkonfiguration → Richtlinien → Administrative Vorlagen → Systemsteuerung → Anpassung.
  4. Aktiviere und setze:
  5. Bildschirmschoner aktivieren: Aktiviert
  6. Bildschirmschoner-Kennwortschutz: Aktiviert
  7. Wartezeit für Bildschirmschoner: 900 Sekunden (= 15 Minuten)
  8. Bildschirmschoner: scrnsave.scr (leerer Bildschirmschoner, ressourcenschonend)
  9. Editor schließen.

PowerShell

# Bildschirmschoner-Timeout auf 15 Minuten setzen (Benutzerkonfiguration = HKCU)
Set-GPRegistryValue `
  -Name 'Desktop-Sicherheit' `
  -Key 'HKCU\Software\Policies\Microsoft\Windows\Control Panel\Desktop' `
  -ValueName 'ScreenSaveTimeOut' `
  -Value 900 `
  -Type DWORD

# Bildschirmschoner-Kennwortschutz aktivieren
Set-GPRegistryValue `
  -Name 'Desktop-Sicherheit' `
  -Key 'HKCU\Software\Policies\Microsoft\Windows\Control Panel\Desktop' `
  -ValueName 'ScreenSaverIsSecure' `
  -Value 1 `
  -Type DWORD

Optional – SmartScreen per GPO erzwingen: Navigiere in der GPO zu Computerkonfiguration → Administrative Vorlagen → Windows-Komponenten → Windows Defender SmartScreen → Explorer und setze Windows Defender SmartScreen konfigurieren auf Aktiviert: Warnen und Umgehung verhindern. Setze nie nur „Warnen“ – Benutzer klicken Warnungen weg, die Sicherheitswirkung ist minimal.

Schritt 8: GPOs anwenden und prüfen

Standardmäßig aktualisieren Clients ihre Gruppenrichtlinien alle 90 Minuten (plus zufälliger Offset bis 30 Minuten). Im Testbetrieb erzwingst du die Aktualisierung manuell.

gpupdate

# Computer- UND Benutzerkonfiguration sofort anwenden
gpupdate /force

# Nur Computerkonfiguration
gpupdate /force /target:computer

# Nur Benutzerkonfiguration
gpupdate /force /target:user

# GPO erzwingen + Benutzer abmelden (nötig bei Folder Redirection u.a.)
gpupdate /force /logoff

# GPO erzwingen + Neustart (nötig bei manchen Computer-CSEs)
gpupdate /force /boot

# Remote-Computer aktualisieren (PowerShell)
Invoke-GPUpdate -Computer 'PC01' -Force

gpresult – angewendete Richtlinien prüfen

# Übersicht: welche GPOs wurden angewendet (User + Computer)
gpresult /r

# Nur Benutzerkonfiguration für bestimmten Benutzer
gpresult /user contoso\testuser /scope user /r

# Detaillierte Computerrichtlinien mit Vorrang
gpresult /scope computer /v

# Vollständigen Report in Datei exportieren
gpresult /z > policy.txt
Achtung: gpresult ohne Administrator-Rechte zeigt die Computerkonfiguration nicht an – immer als Admin ausführen, sonst bleibt die Computer-Sektion leer und du siehst nur User Settings.

Troubleshooting

  1. GPO wirkt auf niemanden: Prüfe den Sicherheitsfilter – Standard ist Authentifizierte Benutzer. Wenn du eine eigene Gruppe eingetragen hast, muss das betroffene Konto Mitglied dieser Gruppe sein. Token-Cache: Nach Gruppenänderungen muss sich der Benutzer neu anmelden.
  2. Einstellung wird nicht angewendet, obwohl GPO verknüpft: Falscher Konfigurationsbereich (Computer- statt Benutzerkonfiguration oder umgekehrt). Prüfe mit gpresult /r, ob die GPO unter Applied GPOs erscheint.
  3. Computerkonfiguration fehlt in gpresult: Befehl nicht als Administrator ausgeführt. Starte cmd.exe / PowerShell als Administrator.
  4. GPO repliziert nicht auf alle DCs: SYSVOL-Replikation prüfen (dfsrmig /getglobalstate). Ändere eine GPO nur auf dem PDC-Emulator, um Replikationskonflikte zu vermeiden.
  5. Bildschirmsperre oder Drive Map wirkt erst nach Neuanmeldung: Benutzerkonfigurations-CSEs werden erst beim Anmelden verarbeitet. gpupdate /force /logoff erzwingt Abmeldung und Neuanmeldung.
  6. Zu viele GPOs verlangsamen den Login: Nicht mehr als 30–50 GPOs pro OU-Pfad; deaktiviere nicht benötigte GPO-Bereiche (z. B. Computerkonfiguration deaktivieren, wenn nur Benutzereinstellungen gesetzt sind).
  7. Ältere ADMX-Vorlagen führen zu fehlenden Richtlinien: Aktualisiere den Zentralen Speicher (\\contoso.com\SYSVOL\contoso.com\Policies\PolicyDefinitions) mit den ADMX-Dateien der aktuellen Windows-Version.
  8. WMI-Filter schlägt fehl: WMI-Filter müssen syntaktisch korrekt sein und auf dem Zielsystem eine Antwort liefern. Teste den Filter mit wmic /namespace:\\root\cimv2 PATH Win32_OperatingSystem get Version auf dem Client.

Häufige Fragen

Was ist der Unterschied zwischen einer GPO und einer Gruppenrichtlinieneinstellung?

Ein Gruppenrichtlinienobjekt (GPO) ist der Container – vergleichbar mit einer Konfigurationsdatei. Eine Einstellung ist ein einzelner Wert darin (z. B. Kennwortlänge = 12). Eine GPO kann Hunderte von Einstellungen enthalten; du verknüpfst die GPO mit OUs, nicht einzelne Einstellungen.

Warum gilt meine Kennwortrichtlinie auf OU-Ebene nicht?

Kennwortrichtlinien und Account-Lockout aus dem Bereich Kontorichtlinien greifen nur, wenn die GPO auf Domänenebene verknüpft ist. Auf OU-Ebene werden diese Einstellungen ignoriert. Für unterschiedliche Richtlinien pro Benutzergruppe nutze Fine-Grained Password Policies (FGPP) über Active Directory-Verwaltungscenter.

Wann brauche ich „Erzwungen“ und wann „Vererbung blockieren“?

Nutze Erzwungen, wenn eine unternehmensweite Sicherheitsrichtlinie nicht durch untergeordnete OUs außer Kraft gesetzt werden darf (z. B. Kennwortrichtlinie, SmartScreen). Nutze Vererbung blockieren sparsam und nur in begründeten Ausnahmen (z. B. eine isolierte Test-OU), da es das Troubleshooting erschwert. Dokumentiere beides immer im GPO-Kommentarfeld.

Wie kann ich GPOs für nur bestimmte Computer oder Benutzer einschränken?

Zwei Wege: (1) Sicherheitsfilterung – entferne Authentifizierte Benutzer aus dem Sicherheitsfilter und füge die Zielgruppe ein. (2) WMI-Filter – z. B. SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "10.%" schränkt auf Windows 10/11 ein. WMI-Filter verlangsamen die GPO-Verarbeitung leicht; nutze sie gezielt.

Wie prüfe ich, welche GPO eine bestimmte Einstellung setzt (Vorrang)?

Starte in GPMC die Gruppenrichtlinienergebnisse (Rechtsklick auf GruppenrichtlinienergebnisseGruppenrichtlinienergebnisassistent) oder führe gpresult /scope computer /v aus. Dort siehst du für jede Einstellung, welche GPO „gewonnen“ hat und welche durch Vorrang überschrieben wurde.

Muss ich nach jeder GPO-Änderung gpupdate ausführen?

Im Produktivbetrieb nicht zwingend – Clients holen Änderungen automatisch alle 90 Minuten (+zufälliger Offset bis 30 Minuten). Im Test- und Rollout-Betrieb nutzt du gpupdate /force, um sofort zu prüfen. Beachte: Einige CSEs (Client-Side Extensions) wie Ordnerumleitung oder Softwareinstallation erfordern eine Abmeldung oder einen Neustart.

Fazit

Mit Gruppenrichtlinien verwaltest du Sicherheitseinstellungen, Laufwerksmappings und Desktop-Konfigurationen zentral und skalierbar – ohne Anmelde-Skripte oder manuelle Einzelkonfiguration. Die wichtigsten Punkte: Die LSDOU-Verarbeitungsreihenfolge bestimmt, welche GPO gewinnt. Computer- und Benutzerkonfiguration greifen zu unterschiedlichen Zeitpunkten. Mit gpupdate /force und gpresult /r hast du sofortiges Feedback über den Anwendungsstatus. Halte GPOs klein und zielgerichtet – eine GPO pro Thema erleichtert Wartung und Troubleshooting erheblich.

Weiterführende Anleitungen und Quellen

  1. Active Directory Domäne einrichten, Benutzer und OUs anlegen – Voraussetzung für GPOs: funktionsfähige AD-Domäne mit sinnvoller OU-Struktur.
  2. Alle Windows-Server-Anleitungen auf s-edv.com – weitere Themen rund um Active Directory, DNS, DHCP und mehr.
  3. Microsoft Learn: Gruppenrichtlinienübersicht für Windows Server
  4. Microsoft Learn: Gruppenrichtlinienverarbeitung
  5. Microsoft Learn: Account Lockout Policy
  6. Microsoft Learn: SmartScreen-Einstellungen per GPO
  7. windowspro.de: Netzlaufwerke mit Group Policy Preferences verknüpfen
Verwandt

Weiter lesen

Alle Artikel →
Windows Server Active Directory Domäne einrichten – Domänencontroller und Benutzer verwalten
02.06.2026 ·9 min

Active Directory: Domäne einrichten und erste Benutzer/OUs anlegen

Active Directory auf Windows Server 2022/2025 einrichten: AD-DS-Rolle installieren, erste Domäne erstellen, OUs und Benutzer anlegen – Schritt für Schritt mit GUI und PowerShell.
Serverschränke in einem Rechenzentrum als Symbol für zentralen iSCSI-Shared-Storage
01.06.2026 ·10 min

Windows Server iSCSI Target einrichten für Hyper-V: Shared Storage selbst bauen

Shared Storage für Hyper-V ohne teure SAN-Hardware: So richtest du den iSCSI Target Server unter Windows Server ein, erstellst VHDX-basierte LUNs, sicherst alles mit CHAP und verbindest deine Initiatoren Schritt für Schritt.
Rechenzentrum mit beleuchteten Server-Reihen symbolisiert globale IT-Investitionen 2026
31.05.2026 ·2 min

Hyper-V: Microsoft veroeffentlicht Notfall-Update gegen einfrierende VMs

Microsoft hat ein Out-of-Band-Update für Windows Server, Windows 10 und Windows 11 nachgereicht, weil Hyper-V-VMs nach den Mai-Patches eingefroren oder neu gestartet sind. Im Fokus: Azure Confidential VMs.