taa22 - stock.adobe.com

Fehler in Gruppenrichtlinien: So finden Sie die Ursache

Bei der Automatisierung von Windows-Umgebungen spielen Gruppenrichtlinien eine wichtige Rolle. Doch nicht immer funktioniert das. Wir zeigen, wie man Probleme löst.

Gruppenrichtlinien helfen Administratoren, netzwerkweit bestimmte Vorgänge zu automatisieren und Nutzern Rechte zu erteilen und entziehen. Das spart ihnen eine Menge Fleißarbeit.

Weil Gruppenrichtlinien aber in so viele Bereiche des Systems hineinwirken, gibt es auch zahlreiche verschiedene Ansatzpunkte, wenn sie einmal nicht so funktionieren wie gewünscht. Wir zeigen verschiedene Möglichkeiten, den Fehler zu finden.

Domänencontroller anpingen

Wenn auf einem Windows-Computer die Gruppenrichtlinie nicht korrekt laufen, sollten Administratoren zunächst überprüfen, ob der entsprechende Computer den Namen der Domänencontroller auflösen kann, und ob sich die Domänencontroller anpingen lassen. In diesem Beispiel trägt der Domänencontroller die Bezeichnung dc01. In der Kommandozeile (Command Line Interface, CLI) können Sie mit nslookup und ping die Verbindung testen (Abbildung 1).

Abbildung 1: Beim Anpingen der Domänencontroller sollte die Eingabeaufforderung die Domänencontroller ausgeben.
Abbildung 1: Beim Anpingen der Domänencontroller sollte die Eingabeaufforderung die Domänencontroller ausgeben.

Kann sich ein Anwender am PC am Active Directory (AD) anmelden und die Domänencontroller erreichen, sollte Sie als nächstes in der Befehlszeile die Übertragung der Gruppenrichtlinien neu starten:

Gpupdate /force

Erscheinen hier Fehlermeldungen, liegt das Problem an der Verbindung zur Domäne und damit eventuell an der Namensauflösung.

Problemlösung mit Zusatz-Tools von Microsoft – Group Policy Log View und Policy Analyzer

Wenn Gruppenrichtlinien nicht korrekt funktionieren, können Sie das kostenlose Tool Group Policy Log View verwenden, um den Fehler genauer einzugrenzen. Mit gplogview.exe können Sie eine Analyse durchführen. Wir haben das Tool bereits im Beitrag Die Sicherheit mit überwachten Gruppenrichtlinien verbessern umfassend behandelt.

Ein weiteres Tool ist der Policy Analyzer aus dem Microsoft Security Compliance Toolkit. Mit diesem lassen sich Probleme bei der Umsetzung von Gruppenrichtlinien finden. Wir haben dieses Tool bereits im Beitrag Microsoft Policy Analyzer: Gruppenrichtlinien analysieren besprochen.

Es werden nicht alle Richtlinieneinstellungen umgesetzt

Die umgesetzten Gruppenrichtlinien lassen sich in Windows mit rsop.msc anzeigen. So wird schnell ersichtlich, ob der Fehler alle Richtlinien betrifft oder nur einzelne. In letzterem Fall liegt der Fehler in der Konfiguration der Gruppenrichtlinie, den Berechtigungen der Richtlinie in der Gruppenrichtlinien-Verwaltungskonsole, oder der Vererbung der Richtlinien.

In der Befehlszeile können Sie mit gpresult /h c:\temp\richtlinien.html einen HTML-Bericht und eine Diagnose der Gruppenrichtlinien erstellen. Auch hier finden Sie schnell den Grund, warum eine Richtlinie nicht umgesetzt werden kann. Mit gpresult /r können Sie eine Vorabinformation in der Befehlszeile erstellen. Hier wird angezeigt von welchem Domänencontroller die Richtlinien übertragen werden, wann die Richtlinie das letzte Mal erfolgreich umgesetzt wurde, und vieles mehr. Mit dem Befehl können Sie überprüfen, ob bestimmte Gruppenrichtlinien für einen Benutzer oder Computer von den Domänencontrollern heruntergeladen und ausgeführt werden können.

Gruppenrichtlinienverwaltungs-Konsole zur Fehlerbehebung nutzen

Funktionieren Namensauflösung und das generelle Abrufen von Gruppenrichtlinien, sollte in der Gruppenrichtlinienverwaltungs-Konsole auf den Domänencontrollern überprüft werden, ob es fehlerhafte Einstellungen für die Richtlinie gibt. Klicken Sie hier eine Richtlinie an und öffnen die registerkarte Details, können Sie unter Objektstatus überprüfen, ob die Richtlinie auf Aktiviert gestellt ist. (Abbildung 2)

Abbildung 2: Das Gruppenrichtlinien-Objekt sollte auf Aktiv gestellt sein.
Abbildung 2: Das Gruppenrichtlinien-Objekt sollte auf Aktiv gestellt sein.

Zusätzlich schadet ein Blick auf die entsprechende Organisationseinheit (Organization Unit, OU) nicht, mit der in der Gruppenrichtlinienverwaltungs-Konsole die Gruppenrichtlinie verknüpft ist. Hier sollten Sie prüfen, ob die Richtlinie mit der entsprechenden OU verknüpft ist, und welche Einstellungen auf der Registerkarte Gruppenrichtlinienvererbung angezeigt werden.

Ereignisanzeige nutzen

Kann ein Computer Gruppenrichtlinien nicht umsetzen, wird das auch in der Ereignisanzeige festgehalten. Die entsprechenden Informationen lassen sich in der Ereignisanzeige durch die PowerShell abrufen (Abbildung 3):

Get-WinEvent -ProviderName Microsoft-Windows-GroupPolicy

Um die Anzeige auf Fehler einzugrenzen, verwenden Sie:

Get-WinEvent -ProviderName Microsoft-Windows-GroupPolicy | where{$_.LevelDisplayName -eq "Fehler"}

Abbildung 3: Die Ereignisanzeige in der Powershell zeigt einen Fehler.
Abbildung 3: Die Ereignisanzeige in der Powershell zeigt einen Fehler.

Möchten Sie keine Fehler, sondern Warnungen angezeigt bekommen, ersetzen Sie im oberen Befehl Fehler gegen Warnung.

Protokollierung von Gruppenrichtlinien aktivieren

Die Ausführung von Gruppenrichtlinien können Sie auch protokollieren lassen. Dazu setzen Sie in den Gruppenrichtlinien Einstellungen, mit denen Sie festlegen, dass Aktionen rund um die Gruppenrichtlinien in Protokolldateien erfasst werden.

Die Einstellungen sind im Pfad Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Gruppenrichtlinien\Protokollierung und Nachverfolgung zu finden. Die Einstellungen drehen sich vor allem um Probleme bezüglich der Gruppenrichtlinien-Einstellungen. Für die Einstellungen lassen sich jeweils eigene Protokolle definieren.

DcGPOFix - Richtlinien auf Standard zurücksetzen

Liegt der Fehler bei der Ausführung von Gruppenrichtlinien an den Standardrichtlinien im Active Directory, kann das Zurücksetzen der beiden Richtlinien das Problem unter Umständen beheben. Bei der Umsetzung der nachfolgenden Vorgehensweise gehen aber alle Einstellungen verloren, die in den Richtlinien selbst gesetzt wurden.

Das Zurücksetzen nehmen Sie idealerweise direkt in der Befehlszeile auf einem Domänencontroller vor. Dazu öffnen Sie eine Befehlszeile und verwenden folgende Befehle:

dcgpofix /target:Domain (zurücksetzen von „Default Domain Policy“)

dcgpofix /target:DC (zurücksetzen von „Default Domain Controller Policy“)

dcgpofix /target:both (zurücksetzen von beiden Standard-Richtlinien)

Nach der Ausführung des Befehles, sollten Sie auf den angebundenen PCs gpupdate /force ausführen, oder die Computer neu starten. Hilft auch diese Maßnahme nicht, können Sie die lokalen Sicherheitseinstellungen auf den Computern mit dem folgenden Befehl zurücksetzen:

secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose

Erfahren Sie mehr über Desktop-Management

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close