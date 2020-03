Gruppenrichtlinien sind schon seit Windows NT ein ebenso mächtiges wie bewährtes Instrument der zentralen Konfigurationsverwaltung in Windows-Umgebungen. Trotz einiger Bemühungen seitens Microsoft und ihrer Marktbegleiter, alternative Verwaltungsmechanismen für Windows anzubieten, können wir getrost davon ausgehen, dass uns die GPO noch eine ganze Weile erhalten bleiben werden. Umso wichtiger ist es, Probleme bei Gruppenrichtlinien und deren Anwendung rechtzeitig zu erkennen und zielgerichtet zu beheben. Im zweiten Teil geht es darum, wie Sie mit unerwarteten Werten im GPO-Ergebnissatz am besten umgehen und wie Sie Problemen direkt bei der GPO-Anwendung aus dem Weg gehen.

Haben Sie festgestellt, dass unerwartete Werte im Ergebnissatz ankommen, so gilt es festzustellen, was dazu geführt hat. Der erste Blick sollte der rechten Spalte der Ergebnisausgabe gelten, in der das Gruppenrichtlinienobjekt steht, das für diesen Wert verantwortlich ist. Haben Sie dieses Objekt an dieser Stelle erwartet? Falls nicht, müssen Sie folgende Sachverhalte prüfen:









Bild 3: Der Policy Analyzer macht Konflikte in den Einstellungen sofort sichtbar.

Get-GPO -All | <Backup-GPO Pfad zum Zielordner>



Natürlich kann es auch vorkommen, dass eine korrekterweise angewendete Gruppenrichtlinie plötzlich falsche Werte enthält. Wenn Sie viele GPO-Fenster gleichzeitig offen lassen, sehen sie alle gleich aus, und Sie können sich schnell verklicken. Prompt sind in einem Gruppenrichtlinienobjekt Einstellungen gesetzt, die Sie nicht beabsichtigt haben. Wer AGPM (aus dem Microsoft Desktop Optimization Pack) im Einsatz hat, kann auf eine frühere Version zurückgehen. Mit Bordmitteln bleibt nur die mühsame Suche nach falsch platzierten Einstellungen.Eine bessere Möglichkeit, viele GPOs gleichzeitig auf Konflikte in den Einstellungen hin zu untersuchen, bietet das Microsoft-Tool "Policy Analyzer", das 2016 vorgestellt wurde. Sie können es als Teil des "Microsoft Security Compliance Toolkit" (SCT) unter [1] herunterladen. Eine Installation ist nicht erforderlich, sie müssen lediglich das heruntergeladene ZIP-Archiv auspacken und das Programm "Policy- Analyzer.exe" starten.Um Gruppenrichtlinien gegeneinander abzugleichen, benötigen Sie eine Sicherung davon. Diese können Sie etwa mit der GPMC anfertigen. Wechseln Sie in den Knoten "Gruppenrichtlinienobjekte" und wählen Sie die zu sichernden GPOs aus. Dabei können Sie Windows-typisch die Shift- und Ctrl-Tasten benutzen. Klicken Sie mit der rechten Maustaste auf die Auswahl und anschließend im Kontextmenü auf "Sichern…". Ebenso schnell gelingt ein Backup aller Gruppenrichtlinien mit der PowerShell:In beiden Fällen muss der Zielordner bereits existieren.Aus dem Backup können Sie nun die einzelnen Gruppenrichtlinien in sogenannte "Group Policy Rulesets" importieren. Mit dem Policy Analyzer gleichen Sie die einzelnen Rulesets gegeneinander ab. Im Zweifel müssen Sie also jedes in Frage kommende Objekt in ein separates Ruleset einlesen. Anschließend können Sie sich mit einem Klick auf "View / Compare" den tabellarischen Vergleich anzeigen lassen. Im Menü haben Sie dann die Möglichkeit, den Vergleich nur auf Konflikte beziehungsweise Übereinstimmungen zu beschränken und ihn nach Excel zu exportieren, sofern dieses Programm auf der Maschine installiert ist.