Am Puls von Microsoft

Von GPO zu MDM: Wie sich die Geräteverwaltung unter Windows verändert hat

Windows-Geräte werden heute in Unternehmen ganz anders verwaltet als noch vor wenigen Jahren. Früher war es die Domäne, über die fast alles lief. Es gab eigene Server und klar definierte Netzgrenzen. Heute sind Notebooks im Homeoffice eine Herausforderung, und selbst vom Smartphone aus wird auf Unternehmensdaten zugegriffen. Viele dieser Geräte sehen das Firmennetz nie von innen, sind aber aufgrund ihrer Zugriffsmöglichkeiten dennoch äußerst sicherheitsrelevant. Dies zieht technische Konsequenzen nach sich. Wer heute Windows administriert, kann mit den klassischen Werkzeugen nicht mehr jede Situation sauber abdecken.

GPO: Das Rückgrat klassischer Windows-Domänen

Group Policy Objects, kurz GPO, sind eng mit Active Directory verknüpft. Administratoren definieren damit die Richtlinien, die beim Start oder bei der Anmeldung angewendet werden. Damit werden Passwortregeln, Firewall-Vorgaben und die automatische Verteilung von Software gesteuert. Ein solches Modell funktioniert stabil, solange Geräte regelmäßig Kontakt zur Domäne haben.

Wenn aber Notebooks dauerhaft extern arbeiten, wird es schwieriger. In vielen Fällen greifen GPOs dann nur verzögert oder gar nicht. Parallel entsteht ein Markt für moderne Verwaltungslösungen, in dem regelmäßig über die beste MDM-Software diskutiert wird. Diese Diskussion zeigt, dass GPOs allein oft nicht mehr ausreichen, auch wenn sie im lokalen Netzwerk weiterhin zuverlässig arbeiten.

MDM: Verwaltung ohne feste Netzwerkgrenzen

Mobile Device Management, kurz MDM, verfolgt einen anderen Ansatz als GPO. Hier werden die Richtlinien nicht über eine klassische Domäne verteilt, sondern die Verteilung erfolgt meist cloudbasiert. Die Geräte kommunizieren direkt online mit einem Verwaltungsdienst. Das mag zunächst abstrakt wirken, ist aber technisch sinnvoll. Ein Windows-Client meldet sich bei einem MDM-Dienst an und erhält dann Konfigurationsprofile. Diese Profile ersetzen nun in vielen Szenarien die klassischen Gruppenrichtlinien.

Ein weiterer Vorteil ist, dass sich MDM nicht nur auf Windows-PCs beschränkt. Auch Smartphones, Tablets und hybride Geräte lassen sich damit einbinden. Gerade in Unternehmen, die Mitarbeiter im Außendienst beschäftigen oder in denen externe Konferenzen und Dienstreisen erforderlich sind, passen solche Modelle besser. Sie können jedoch auch neue Fragen zur Datenhaltung und zur Kontrolle mit sich bringen.

GPO und MDM im direkten Vergleich

Sowohl GPO als auch MDM haben das Ziel, die verwendeten Geräte zentral kontrollieren zu können. Die Architektur beider Systeme unterscheidet sich jedoch deutlich:

  • GPO setzt eine Active-Directory-Domäne voraus.
  • MDM arbeitet häufig cloudbasiert.
  • GPO greift primär bei Domänenmitgliedern.
  • MDM verwaltet auch internetbasierte Geräte.
  • GPO ist stark Windows-zentriert.
  • MDM integriert mehrere Plattformen.

Die Unterschiede zwischen den beiden Lösungen zeigen sich vor allem im Alltag. Ein Außendienstgerät ohne VPN-Verbindung bleibt unter GPO teilweise unverwaltet. Ein MDM-Client dagegen ist erreichbar, solange eine Internetverbindung besteht. GPOs behalten in lokalen Netzwerken aber trotzdem ihre Berechtigung und verschwinden nicht einfach.

Warum viele Administratoren umdenken mussten

Die Verwendung von Firmendaten auf externen Geräten kam schleichend. Zunächst waren in vielen Unternehmen nur einzelne Laptops im Homeoffice. Schon bald waren es teilweise ganze Abteilungen. Nun stellte sich bald die Frage, wie die Sicherheitsrichtlinien durchgesetzt werden sollen, wenn kein permanenter Kontakt zur Domäne existiert. Begriffe, Abläufe und Zuständigkeiten sind nicht immer klar getrennt, und manche Nutzer erwarten von MDM exakt dasselbe Verhalten wie von GPU. Das funktioniert allerdings nur teilweise. MDM arbeitet oft deutlich granularer und profilbasiert. Gleichzeitig verschiebt sich die Verantwortung dabei stärker in Richtung des Cloud-Dienstes. Diese Veränderung ist technisch logisch, muss den Administratoren aber bewusst sein.

Mischbetrieb statt kompletter Ablösung

In der Praxis existiert selten ein harter Schnitt. Viele Umgebungen fahren hybrid. On-Premises-Domäne und MDM laufen parallel. Windows 11 unterstützt beide Modelle, manchmal sogar auf demselben Gerät.

Ein Teil der Richtlinien kommt weiterhin über GPO, während sicherheitsrelevante Einstellungen per MDM verteilt werden. Dieses Nebeneinander wirkt zunächst komplex. Es bietet jedoch Flexibilität. Unternehmen können schrittweise umstellen, ohne bestehende Strukturen abrupt aufzugeben.

Langfristig deutet vieles auf eine stärkere Cloud-Integration hin. Trotzdem bleibt die klassische Domäne in vielen Szenarien relevant, besonders dort, wo lokale Server und interne Anwendungen weiterhin eine zentrale Rolle spielen.

DrWindows News per WhatsApp: Abonniere unseren Kanal.

Über den Autor

Dr. Windows

Dr. Windows

Dies ist der allgemeine Redaktions-User von Dr. Windows. Wird verwendet für allgemeine Ankündigungen, Anzeigen- und Gastartikel

Anzeige
Anzeige