Seite 6 - Die besten Tricks für das Active Directory
Gruppenrichtlinien testen und Fehler beheben
Im Anschluss an die Konfiguration und Anbindung von Richtlinien daran können Sie die Gruppenrichtlinie auf einer Windows-Arbeitsstation mit gpupdate /force in der Eingabeaufforderung übertragen. Bei der Überprüfung helfen noch folgende Punkte:
1. Stellen Sie sicher, dass die Clients den DNS-Server verwenden, auf dem die SRV-Records des Active Directory gespeichert sind, also den Windows Server 2012-Server
2. Überprüfen Sie mit nslookup in der Eingabeaufforderung, ob auf den Clients der Windows Server 2012-Server aufgelöst werden kann.
3. Checken Sie die Ereignisanzeige auf Fehler.
4. Ist der Benutzer oder Computer in der richtigen OU, auf der die Richtlinie angewendet wird?
5. Versuchen Sie die Richtlinie auf eine Sicherheitsgruppe anzuwenden? Dies ist nicht ohne weiteres möglich.
6. Stimmt die Vererbung? In welcher Reihenfolge starten die Gruppenrichtlinien?
7. Haben Sie etwas an der standardmäßigen Vererbung der Richtlinie verändert?
8. Haben Sie irgendwo “Erzwungen” oder “Vererbung deaktivieren” aktiviert?
9. Geben Sie auf dem PC in der Eingabeaufforderung als angemeldeter Benutzer gpresult > gp.txt ein, um sich das Ergebnis der Richtlinie anzeigen zulassen.
Das Windows-MMC-Snap-In “Richtlinienergebnissatz” bietet eine grafische Oberfläche und wertet die angewendeten Richtlinien aus. Sie bringen den
Richtlinienergebnissatz auf einer Arbeitsstation über “MMC / Datei / Snap-In hinzufügen / Richtlinienergebnissatz” auf den Bildschirm. Eine weitere Möglichkeit ist die Eingabe von rsop.msc im Suchfeld des Startmenüs oder der Startseite in Windows Server 2012 und Windows 8.
Auf einer hilfreichen Internetseite [2] finden Sie weiterführende Informationen und Tipps rund um den Einsatz von Gruppenrichtlinien und die Fehlerbehebung. Auch auf einer englischsprachigen Site [3] erhalten Sie ausführliche Infos und Tools zum Thema Gruppenrichtlinien. Das deutschsprachige Gruppenrichtlinien-Forum von Microsoft [4] bietet ebenfalls umfassenden Hintergrund.
Auf der Website von SDM Software [5] steht zudem das kostenlose Cmdlet “Group Policy Health” zum Download bereit. Nach dem Herunterladen müssen Sie es aber zunächst in die PowerShell einbinden. Öffnen Sie dazu nach der Installation des Werkzeugs eine Eingabeaufforderung im Verzeichnis “C:\Windows \ Microsoft.NET \ Framework \ v2.0.50727”. Sie können dazu im Windows Explorer das Verzeichnis einfach mit der rechten Maustaste anklicken und dabei die Umschalt-Taste gedrückt halten. Anschließend finden Sie im Kontextmenü den Befehl zum Öffnen einer Eingabeaufforderung in diesem Verzeichnis. Setzen Sie ein 64 Bit-System ein, müssen Sie den gleichen Befehl im Verzeichnis “Framework64” durchführen.
Bild 6: Auch das Überprüfen eines Computers auf angewendete Gruppenrichtlinien klappt gut mit Cmdlets
Um die DLL-Datei zu registrieren, geben Sie installutil “c:\ Programm Files (x86) \ SDM Software \ Group Policy Health Cmdlet \ GetSdmGPHealth.dll” ein. Achten Sie darauf, dass der Befehl nur in einer Eingabeaufforderung funktioniert, die Sie mit Administratorrechten gestartet haben. Um das Cmdlet zu verwenden, rufen Sie die PowerShell über den Befehl Launch PowerShell on x64 with GP Health Snap-In über den Startbildschirm auf. Im Verzeichnis “C:\ Program Files (x86) \ SDM Software \ Group Policy Health Cmdlet” finden Sie eine Hilfedatei zum Cmdlet.
Der einfachste Weg, um zu überprüfen, ob ein Computer GPOs abruft ist der Befehl Get-SDMGPHealth -computer Computername . In der Ausgabe sehen Sie, welche Computerrichtlinien und Benutzerrichtlinien der Computer angewendet hat. Das heißt, die Gruppenrichtlinien in dieser Aufzählung kommen am Client an.
Lokal auf einem Computer können Sie in der Eingabeaufforderung mit dem Befehl gpresult /h HTML-Datei einen HTML-Bericht erstellen, der anzeigt, welche Gruppenrichtlinien der Client anwendet und welche Einstellungen enthalten sind. Mit der Option “/x” schaffen Sie wiederum eine XML-Datei, die Sie in Programmen oder Skripts einlesen können. Ein Beispiel wäre der Befehl gpresult /h c:\temp\test.html. Anschließend können Sie die Datei im Browser öffnen und sich den Bericht anzeigen lassen. Das Tool kann noch mehr Berichte erstellen. Auf der TechNet-Seite von GPResult [6] erhalten Sie Hilfe zu allen Optionen des Werkzeugs.
Windows Store sperren
Wollen Sie auf Rechnern mit Windows 8 den Windows Store sperren, damit Anwender keine Apps installieren können, haben Sie die Möglichkeit, den Gruppenrichtlinienverwaltungs-Editor zu verwenden. Dieser steht aber nur in den Editionen Pro und Enterprise von Windows 8 zur Verfügung. Für eine zentrale Vorgabe für alle Windows 8-PCs müssen Sie auf Domänencontrollern mit Windows Server 2012 eine zentrale Gruppenrichtlinie erstellen:
1. Navigieren Sie zu “Computerkonfiguration / Administrative Vorlagen / Windows-Komponenten / Store.”
2. Aktivieren Sie die Richtlinieneinstellungen zur Deaktivierung des kompletten Stores oder nur das automatisch Herunterladen von Updates.
3. Starten Anwender nach der Einrichtung den Store, erscheint eine entsprechende Meldung.
Fazit
Auch mit Windows Server 2012 hat das Active Directory seine zentrale Rolle bei der Verwaltung von Gesamtstruktur und Nutzern nicht verloren. Wer beim Management des Verzeichnisdiensts die richtigen Tricks zur Hand hat, kann nicht nur Zeit sparen, sondern möglichen Stolpersteinen schon frühzeitig auf die Schliche kommen. (ln)
Inhalt des Artikels:Seite 1: Active Directory installieren
Seite 2: Mehr Effizienz durch die PowerShell
Seite 3: Objekte schützen und wiederherstellen
Seite 4: Verwalten der DC-Betriebsmasterrollen
Seite 5: Active Directory-Replikation
Seite 6: Gruppenrichtlinien testen und Fehler beheben
| << Vorherige Seite | Seite 6 von 6 |
von Thomas Joos Artikel aus dem IT-Administrator Mai 2013
[1] AD Replication Status [2] Gruppenrichtlinien.de [3] GPOGuy.com [4] GPO-Forum von Microsoft [5] SDM Software [6] Hilfeseite zu GPResult |
| Link-Codes |