Fachartikel

Seite 2 - Die besten Tricks für das Active Directory (2)

Gruppenrichtlinien testen und Fehler beheben
Im Anschluss an die Konfiguration und Anbindung von Richtlinien daran können Sie die Gruppenrichtlinie auf einer Windows-Arbeitsstation mit gpupdate /force in der Eingabeaufforderung übertragen. Bei der Überprüfung helfen noch folgende Punkte:
  1. Stellen Sie sicher, dass die Clients den DNS-Server verwenden, auf dem die SRV-Records des Active Directory gespeichert sind, also den Windows Server 2012 R2-Server.
  2. Überprüfen Sie mit nslookup in der Eingabeaufforderung, ob auf den Clients der Windows Server 2012 R2-Server aufgelöst werden kann.
  3. Ist die Ereignisanzeige fehlerfrei?
  4. Ist der Benutzer oder Computer in der richtigen OU, auf die die Richtlinie angewendet wird?
  5. Versuchen Sie, die Richtlinie auf eine Sicherheitsgruppe anzuwenden? Dies ist nicht ohne weiteres möglich.
  6. Stimmt die Vererbung? In welcher Reihenfolge starten die Gruppenrichtlinien?
  7. Haben Sie etwas an der standardmäßigen Vererbung der Richtlinie verändert?
  8. Haben Sie irgendwo "Erzwungen" oder "Vererbung deaktivieren" aktiviert?
  9. Geben Sie auf dem PC in der Eingabeaufforderung als angemeldeter Benutzer gpresult > gp.txt ein, um sich das Ergebnis der Richtlinie anzeigen zulassen.
Das Windows-MMC-Snap-In "Richtlinienergebnissatz" bietet eine grafische Oberfläche und wertet die angewendeten Richtlinien aus. Sie bringen den Richtlinienergebnissatz auf einer Arbeitsstation über "MMC / Datei / Snap-In hinzufügen / Richtlinienergebnissatz" auf den Bildschirm. Eine weitere Möglichkeit ist die Eingabe von rsop.msc im Suchfeld des Startmenüs oder der Startseite in Windows Server 2012 R2 und Windows 8.


Bild 2: Auch das Überprüfen eines Computers auf angewendete Gruppenrichtlinien klappt gut mit Cmdlets.

Auf einer hilfreichen Internetseite [2] finden Sie weiterführende Informationen und Tipps rund um den Einsatz von Gruppenrichtlinien und die Fehlerbehebung. Auch auf einer englischsprachigen Site [3] erhalten Sie ausführliche Infos und Tools zum Thema Gruppenrichtlinien. Das deutschsprachige Gruppenrichtlinien-Forum von Microsoft [4] bietet ebenfalls umfassenden Hintergrund.

Auf der Website von SDM Software [5] steht zudem das kostenlose Cmdlet "Group Policy Health" zum Download bereit. Nach dem Herunterladen müssen Sie es aber zunächst in die PowerShell einbinden. Öffnen Sie dazu nach der Installation des Werkzeugs eine Eingabeaufforderung im Verzeichnis "C:\Windows \ Microsoft. NET \ Framework \ v2.0.50727". Sie können dazu im Windows Explorer das Verzeichnis einfach mit der rechten Maustaste anklicken und dabei die Umschalt-Taste gedrückt halten. Anschließend finden Sie im Kontextmenü den Befehl zum Öffnen einer Eingabeaufforderung in diesem Verzeichnis. Setzen Sie ein 64 Bit-System ein, müssen Sie den gleichen Befehl im Verzeichnis "Framework64" durchführen.

Um die DLL-Datei zu registrieren, geben Sie installutil "c:\ Programm Files (x86) \ SDM Software \ Group Policy Health Cmdlet \ GetSdmGPHealth.dll" ein. Beachten Sie, dass der Befehl nur in einer Eingabeaufforderung funktioniert, die Sie mit Administratorrechten gestartet haben. Um das Cmdlet zu verwenden, rufen Sie die PowerShell über den Befehl Launch PowerShell on x64 with GP Health Snap-In über den Startbildschirm auf. Im Verzeichnis "C:\ Program Files (x86) \ SDM Software \ Group Policy Health Cmdlet" finden Sie eine Hilfedatei zum Cmdlet.

Der einfachste Weg, um zu überprüfen, ob ein Computer GPOs abruft, ist der Befehl Get-SDMGPHealth -computer {Computername}. In der Ausgabe sehen Sie, welche Computerrichtlinien und Benutzerrichtlinien der Computer angewendet hat. Das heißt, die Gruppenrichtlinien in dieser Aufzählung kommen am Client an.

Lokal auf einem Computer können Sie in der Eingabeaufforderung mit dem Befehl gpresult /h {HTML-Datei} einen HTML-Bericht erstellen, der anzeigt, welche Gruppenrichtlinien der Client anwendet und welche Einstellungen enthalten sind. Mit der Option "/x" schaffen Sie wiederum eine XML-Datei, die Sie in Programmen oder Skripten einlesen können. Ein Beispiel wäre der Befehl gpresult /h c:\temp\test.html. Anschließend können Sie die Datei im Browser öffnen und sich den Bericht anzeigen lassen. Das Tool kann noch mehr Berichte erstellen. Auf der TechNet-Seite von GPResult [6] erhalten Sie Hilfe zu allen Optionen des Werkzeugs.

Windows Store sperren
Wollen Sie auf Rechnern mit Windows 8 den Windows Store sperren, damit Anwender keine Apps installieren können, haben Sie die Möglichkeit, den Gruppenrichtlinienverwaltungs-Editor zu verwenden. Dieser steht aber nur in den Editionen Pro und Enterprise von Windows 8 zur Verfügung. Für eine zentrale Vorgabe für alle Windows 8-PCs müssen Sie auf Domänencontrollern mit Windows Server 2012 R2 eine zentrale Gruppenrichtlinie erstellen:
  1. Navigieren Sie zu "Computerkonfiguration / Administrative Vorlagen / Windows-Komponenten / Store."
  2. Aktivieren Sie die Richtlinieneinstellungen zur Deaktivierung des kompletten Stores oder nur das automatisch Herunterladen von Updates.
  3. Starten Anwender nach der Einrichtung den Store, erscheint eine entsprechende Meldung.
Fazit
Auch mit Windows Server 2012 R2 hat das Active Directory seine zentrale Rolle bei der Verwaltung von Gesamtstruktur und Nutzern nicht verloren. Wer beim Management des Verzeichnisdiensts die richtigen Tricks zur Hand hat, kann nicht nur Zeit sparen, sondern möglichen Stolpersteinen schon frühzeitig auf die Schliche kommen.


   
Seite 1: Active Directory-Replikation überprüfen
    Seite 2: Gruppenrichtlinien testen und Fehler beheben

<< Vorherige Seite Seite 2 von 2
18.05.2015/Thomas Joos/ln

Nachrichten

Surface mit neuem Prozessor [30.11.2022]

Microsofts neues Surface Pro 9 ist mit zwei Prozessoroptionen verfügbar: Einem Intel-Core-Prozessor der 12. Generation oder erstmals dem Microsoft-SQ3-Prozessor mit 5G-Konnektivität. Zudem sollen Thunderbolt-4-Anschlüsse die Verbindung mit mehreren 4K-Displays und das Setup mit einer externen Grafikkarte unterstützen. [mehr]

Geballte Rechenkraft [25.11.2022]

Supermicro erweitert sein Produktportfolio um Server, die auf den neuen AMD-EPYC-Prozessoren der vierten Generation basieren. Die Systeme richten sich an Unternehmen, die große Datenmengen analysieren und komplexe Simulationen durchführen, darunter maschinelles Lernen wie auch High-Performance-Clustering-Applikationen. [mehr]

Tipps & Tools

Ordnung schaffen: Neues Bordmittel für Windows-Multitasker [9.12.2022]

Für professionelle Anwender sind zahlreiche gleichzeitig geöffnete Applikationen völlig normal. Um gegen das so leicht entstehende Fensterchaos vorzugehen und wieder einen besseren Zugriff auf die Programme zu bekommen, kann ein neues Bordmittel von Windows 11 weiterhelfen: "Snaplayouts" bietet verschiedene Layouts an, um die Fenster übersichtlich zu ordnen. [mehr]

Aumfmerksamkeitserregender Admin-Anstecker [3.12.2022]

Buttons sind wieder in! Und so wie mancher Admin in den 1980er-Jahren mit den bunten Anstecknadeln beispielsweise seine politische Haltung oder seine Lieblingsband kommunizierte, lässt sich heute mit dem Admin-Buttom wunderbar die Verbundenheit mit seinem Berufsstand ausdrücken -- und der Anstecker sich darüber hinaus personalisieren. [mehr]

Buchbesprechung

The Security Culture Playbook

von Perry Carpenter und Kai Roer

Anzeigen