Fehler in Gruppenrichtlinien: So finden Sie die Ursache

Domänencontroller anpingen

Wenn auf einem Windows-Computer die Gruppenrichtlinie nicht korrekt laufen, sollten Administratoren zunächst überprüfen, ob der entsprechende Computer den Namen der Domänencontroller auflösen kann, und ob sich die Domänencontroller anpingen lassen. In diesem Beispiel trägt der Domänencontroller die Bezeichnung dc01. In der Kommandozeile (Command Line Interface, CLI) können Sie mit nslookup und ping die Verbindung testen (Abbildung 1).

Kann sich ein Anwender am PC am Active Directory (AD) anmelden und die Domänencontroller erreichen, sollte Sie als nächstes in der Befehlszeile die Übertragung der Gruppenrichtlinien neu starten:

Gpupdate /force

Erscheinen hier Fehlermeldungen, liegt das Problem an der Verbindung zur Domäne und damit eventuell an der Namensauflösung.

Problemlösung mit Zusatz-Tools von Microsoft – Group Policy Log View und Policy Analyzer

Wenn Gruppenrichtlinien nicht korrekt funktionieren, können Sie das kostenlose Tool Group Policy Log View verwenden, um den Fehler genauer einzugrenzen. Mit gplogview.exe können Sie eine Analyse durchführen. Wir haben das Tool bereits im Beitrag Die Sicherheit mit überwachten Gruppenrichtlinien verbessern umfassend behandelt.

Ein weiteres Tool ist der Policy Analyzer aus dem Microsoft Security Compliance Toolkit. Mit diesem lassen sich Probleme bei der Umsetzung von Gruppenrichtlinien finden. Wir haben dieses Tool bereits im Beitrag Microsoft Policy Analyzer: Gruppenrichtlinien analysieren besprochen.

Es werden nicht alle Richtlinieneinstellungen umgesetzt

Die umgesetzten Gruppenrichtlinien lassen sich in Windows mit rsop.msc anzeigen. So wird schnell ersichtlich, ob der Fehler alle Richtlinien betrifft oder nur einzelne. In letzterem Fall liegt der Fehler in der Konfiguration der Gruppenrichtlinie, den Berechtigungen der Richtlinie in der Gruppenrichtlinien-Verwaltungskonsole, oder der Vererbung der Richtlinien.

In der Befehlszeile können Sie mit gpresult /h c:\temp\richtlinien.html einen HTML-Bericht und eine Diagnose der Gruppenrichtlinien erstellen. Auch hier finden Sie schnell den Grund, warum eine Richtlinie nicht umgesetzt werden kann. Mit gpresult /r können Sie eine Vorabinformation in der Befehlszeile erstellen. Hier wird angezeigt von welchem Domänencontroller die Richtlinien übertragen werden, wann die Richtlinie das letzte Mal erfolgreich umgesetzt wurde, und vieles mehr. Mit dem Befehl können Sie überprüfen, ob bestimmte Gruppenrichtlinien für einen Benutzer oder Computer von den Domänencontrollern heruntergeladen und ausgeführt werden können.

Gruppenrichtlinienverwaltungs-Konsole zur Fehlerbehebung nutzen

Funktionieren Namensauflösung und das generelle Abrufen von Gruppenrichtlinien, sollte in der Gruppenrichtlinienverwaltungs-Konsole auf den Domänencontrollern überprüft werden, ob es fehlerhafte Einstellungen für die Richtlinie gibt. Klicken Sie hier eine Richtlinie an und öffnen die registerkarte Details, können Sie unter Objektstatus überprüfen, ob die Richtlinie auf Aktiviert gestellt ist. (Abbildung 2)

Zusätzlich schadet ein Blick auf die entsprechende Organisationseinheit (Organization Unit, OU) nicht, mit der in der Gruppenrichtlinienverwaltungs-Konsole die Gruppenrichtlinie verknüpft ist. Hier sollten Sie prüfen, ob die Richtlinie mit der entsprechenden OU verknüpft ist, und welche Einstellungen auf der Registerkarte Gruppenrichtlinienvererbung angezeigt werden.

Ereignisanzeige nutzen

Kann ein Computer Gruppenrichtlinien nicht umsetzen, wird das auch in der Ereignisanzeige festgehalten. Die entsprechenden Informationen lassen sich in der Ereignisanzeige durch die PowerShell abrufen (Abbildung 3):

Get-WinEvent -ProviderName Microsoft-Windows-GroupPolicy

Um die Anzeige auf Fehler einzugrenzen, verwenden Sie:

Get-WinEvent -ProviderName Microsoft-Windows-GroupPolicy | where{$_.LevelDisplayName -eq "Fehler"}

Möchten Sie keine Fehler, sondern Warnungen angezeigt bekommen, ersetzen Sie im oberen Befehl Fehler gegen Warnung.

Protokollierung von Gruppenrichtlinien aktivieren

Die Ausführung von Gruppenrichtlinien können Sie auch protokollieren lassen. Dazu setzen Sie in den Gruppenrichtlinien Einstellungen, mit denen Sie festlegen, dass Aktionen rund um die Gruppenrichtlinien in Protokolldateien erfasst werden.

Die Einstellungen sind im Pfad Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Gruppenrichtlinien\Protokollierung und Nachverfolgung zu finden. Die Einstellungen drehen sich vor allem um Probleme bezüglich der Gruppenrichtlinien-Einstellungen. Für die Einstellungen lassen sich jeweils eigene Protokolle definieren.

DcGPOFix - Richtlinien auf Standard zurücksetzen

Liegt der Fehler bei der Ausführung von Gruppenrichtlinien an den Standardrichtlinien im Active Directory, kann das Zurücksetzen der beiden Richtlinien das Problem unter Umständen beheben. Bei der Umsetzung der nachfolgenden Vorgehensweise gehen aber alle Einstellungen verloren, die in den Richtlinien selbst gesetzt wurden.

Das Zurücksetzen nehmen Sie idealerweise direkt in der Befehlszeile auf einem Domänencontroller vor. Dazu öffnen Sie eine Befehlszeile und verwenden folgende Befehle:

dcgpofix /target:Domain (zurücksetzen von „Default Domain Policy“)

dcgpofix /target:DC (zurücksetzen von „Default Domain Controller Policy“)

dcgpofix /target:both (zurücksetzen von beiden Standard-Richtlinien)

Nach der Ausführung des Befehles, sollten Sie auf den angebundenen PCs gpupdate /force ausführen, oder die Computer neu starten. Hilft auch diese Maßnahme nicht, können Sie die lokalen Sicherheitseinstellungen auf den Computern mit dem folgenden Befehl zurücksetzen:

secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose