Minimale Passwortlänge Computer Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Kontorichtlinien → Kennwortrichtlinien
Erzwingt eine Mindestlänge für Passwörter. Empfehlung: mindestens 12 Zeichen.
Passwort-Komplexität erzwingen Computer Gleicher Pfad → Kennwort muss Komplexitätsvoraussetzungen entsprechen
Verlangt Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen. Standardmäßig aktiviert.
Kontosperrungsschwelle Computer → Kontorichtlinien → Kontosperrungsrichtlinien
Sperrt ein Konto nach X fehlgeschlagenen Anmeldeversuchen. Empfehlung: 5 Versuche, 30 Min. Sperrung.
Maximales Kennwortalter Computer → Kontorichtlinien → Kennwortrichtlinien
Erzwingt regelmäßigen Passwortwechsel. Aktueller Trend: längere Intervalle (180+ Tage) mit starken Passwörtern statt häufiger Wechsel.
Lokale Administratoren einschränken Computer → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Eingeschränkte Gruppen
Steuert, wer Mitglied der lokalen Administratorengruppe auf Domänenrechnern ist.
USB-Speichergeräte blockieren Computer → Administrative Vorlagen → System → Wechselmedienzugriff
Verhindert das Lesen/Schreiben auf USB-Sticks. Schützt vor Datenabfluss und Schadsoftware.
Desktop-Hintergrund festlegen Benutzer Benutzerkonfiguration → Administrative Vorlagen → Desktop → Desktop → Desktophintergrund
Erzwingt ein Firmen-Wallpaper auf allen Rechnern. Pfad zu einem Netzlaufwerk oder lokalem Bild.
Systemsteuerung einschränken Benutzer → Administrative Vorlagen → Systemsteuerung
Blendet bestimmte Systemsteuerungs-Elemente aus oder deaktiviert den Zugriff komplett.
Eingabeaufforderung deaktivieren Benutzer → Administrative Vorlagen → System → Zugriff auf Eingabeaufforderung verhindern
Verhindert, dass Standardbenutzer CMD öffnen können. Sinnvoll für eingeschränkte Arbeitsplätze.
Bildschirmschoner mit Kennwortschutz Benutzer → Administrative Vorlagen → Systemsteuerung → Anpassung
Aktiviert den Bildschirmschoner nach X Minuten Inaktivität mit Kennwortschutz beim Fortsetzen.
Startmenü-Layout anpassen Benutzer → Administrative Vorlagen → Startmenü und Taskleiste
Legt ein Standard-Layout für das Startmenü fest. Nützlich für einheitliche Arbeitsplätze.
Netzlaufwerke verbinden Benutzer Benutzerkonfiguration → Einstellungen → Windows-Einstellungen → Laufwerkzuordnungen
Verbindet automatisch Netzlaufwerke bei der Anmeldung. Kann nach Gruppenmitgliedschaft gefiltert werden (Item-Level Targeting).
Drucker per GPO zuweisen Benutzer/Computer → Einstellungen → Systemsteuerungseinstellungen → Drucker
Installiert Drucker automatisch auf Clients. Per User oder per Computer möglich.
Windows Firewall konfigurieren Computer → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Windows Defender Firewall
Zentrale Steuerung der Windows-Firewall-Regeln über die Domäne. Regeln für eingehende und ausgehende Verbindungen.
Proxy-Einstellungen verteilen Benutzer → Einstellungen → Windows-Einstellungen → Registrierung
Setzt die Proxy-Konfiguration zentral über Registry-Keys oder Einstellungen → Internet-Einstellungen.
WLAN-Profile verteilen Computer → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Drahtlosnetzwerkrichtlinien
Verteilt WLAN-SSIDs und Zugangsdaten zentral auf alle Domänenrechner.
Software per GPO installieren (MSI) Computer → Richtlinien → Softwareeinstellungen → Softwareinstallation
Installiert MSI-Pakete automatisch bei Computerstart. Nur für MSI-Dateien geeignet.
WSUS-Server zuweisen Computer → Administrative Vorlagen → Windows-Komponenten → Windows Update
Leitet Clients an einen internen WSUS-Server für Windows-Updates weiter.
Automatische Updates konfigurieren Computer → Administrative Vorlagen → Windows-Komponenten → Windows Update → Automatische Updates konfigurieren
Steuert, wann und wie Updates installiert werden. Option 4 = Automatisch herunterladen und zu geplanter Zeit installieren.
OneDrive deaktivieren Computer → Administrative Vorlagen → Windows-Komponenten → OneDrive → Verwendung von OneDrive für die Datenspeicherung verhindern
Verhindert die OneDrive-Synchronisierung auf Firmenrechnern – sinnvoll wenn SharePoint oder eigene Fileserver genutzt werden.
PowerShell-Ausführungsrichtlinie Computer → Administrative Vorlagen → Windows-Komponenten → Windows PowerShell → Skriptausführung aktivieren
Steuert, ob und welche PowerShell-Skripte ausgeführt werden dürfen (AllSigned, RemoteSigned etc.).
Anmelde-/Abmeldeskripte Benutzer/Computer → Richtlinien → Windows-Einstellungen → Skripts
Führt Batch- oder PowerShell-Skripte bei An-/Abmeldung (User) oder Start/Herunterfahren (Computer) aus.
Energiesparplan festlegen Computer → Administrative Vorlagen → System → Energieverwaltung
Steuert Bildschirm-Timeout, Ruhezustand und Energieoptionen zentral.
Überwachungsrichtlinien (Auditing) Computer → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Erweiterte Überwachungsrichtlinienkonfiguration
Protokolliert erfolgreiche/fehlgeschlagene Anmeldungen, Dateizugriffe und Richtlinienänderungen im Eventlog.
Remote Desktop aktivieren Computer → Administrative Vorlagen → Windows-Komponenten → Remotedesktopdienste
Aktiviert RDP und steuert, wer sich per Remotedesktop verbinden darf.
Zeitserver konfigurieren (NTP) Computer → Administrative Vorlagen → System → Windows-Zeitdienst → Zeitanbieter
Setzt den NTP-Zeitserver für Domänenmitglieder. Der PDC-Emulator sollte einen externen Zeitserver nutzen.
Alle GPOs auflisten Get-GPO -All | Select-Object DisplayName, GpoStatus, ModificationTime | Sort-Object DisplayNameKopieren
GPO-Report als HTML Get-GPOReport -All -ReportType HTML -Path "C:\Temp\alle-gpos.html"Kopieren
GPO-Ergebnis prüfen (RSoP)
gpresult /r
gpresult /h C:\Temp\gpo-report.html /fKopieren
GPO sofort aktualisieren gpupdate /forceKopieren
GPO-Verknüpfungen einer OU anzeigen (Get-GPInheritance -Target "OU=Benutzer,DC=domain,DC=local").GpoLinksKopieren
💡 Tipp: GPOs immer in einer Test-OU ausprobieren, bevor sie auf die ganze Domäne ausgerollt werden. Eine falsche Sicherheitsrichtlinie kann schnell alle Benutzer aussperren.