Lesezeit
2 Minuten
Seite 2 - Die besten Tricks für das Active Directory (2)
Gruppenrichtlinien testen und Fehler beheben
Im Anschluss an die Konfiguration und Anbindung von Richtlinien daran können Sie die Gruppenrichtlinie auf einer Windows-Arbeitsstation mit gpupdate /force in der Eingabeaufforderung übertragen. Bei der Überprüfung helfen noch folgende Punkte:
Bild 2: Auch das Überprüfen eines Computers auf angewendete Gruppenrichtlinien klappt gut mit Cmdlets.
Auf einer hilfreichen Internetseite [2] finden Sie weiterführende Informationen und Tipps rund um den Einsatz von Gruppenrichtlinien und die Fehlerbehebung. Auch auf einer englischsprachigen Site [3] erhalten Sie ausführliche Infos und Tools zum Thema Gruppenrichtlinien. Das deutschsprachige Gruppenrichtlinien-Forum von Microsoft [4] bietet ebenfalls umfassenden Hintergrund.
Auf der Website von SDM Software [5] steht zudem das kostenlose Cmdlet "Group Policy Health" zum Download bereit. Nach dem Herunterladen müssen Sie es aber zunächst in die PowerShell einbinden. Öffnen Sie dazu nach der Installation des Werkzeugs eine Eingabeaufforderung im Verzeichnis "C:\Windows \ Microsoft. NET \ Framework \ v2.0.50727". Sie können dazu im Windows Explorer das Verzeichnis einfach mit der rechten Maustaste anklicken und dabei die Umschalt-Taste gedrückt halten. Anschließend finden Sie im Kontextmenü den Befehl zum Öffnen einer Eingabeaufforderung in diesem Verzeichnis. Setzen Sie ein 64 Bit-System ein, müssen Sie den gleichen Befehl im Verzeichnis "Framework64" durchführen.
Um die DLL-Datei zu registrieren, geben Sie installutil "c:\ Programm Files (x86) \ SDM Software \ Group Policy Health Cmdlet \ GetSdmGPHealth.dll" ein. Beachten Sie, dass der Befehl nur in einer Eingabeaufforderung funktioniert, die Sie mit Administratorrechten gestartet haben. Um das Cmdlet zu verwenden, rufen Sie die PowerShell über den Befehl Launch PowerShell on x64 with GP Health Snap-In über den Startbildschirm auf. Im Verzeichnis "C:\ Program Files (x86) \ SDM Software \ Group Policy Health Cmdlet" finden Sie eine Hilfedatei zum Cmdlet.
Der einfachste Weg, um zu überprüfen, ob ein Computer GPOs abruft, ist der Befehl Get-SDMGPHealth -computer {Computername}. In der Ausgabe sehen Sie, welche Computerrichtlinien und Benutzerrichtlinien der Computer angewendet hat. Das heißt, die Gruppenrichtlinien in dieser Aufzählung kommen am Client an.
Lokal auf einem Computer können Sie in der Eingabeaufforderung mit dem Befehl gpresult /h {HTML-Datei} einen HTML-Bericht erstellen, der anzeigt, welche Gruppenrichtlinien der Client anwendet und welche Einstellungen enthalten sind. Mit der Option "/x" schaffen Sie wiederum eine XML-Datei, die Sie in Programmen oder Skripten einlesen können. Ein Beispiel wäre der Befehl gpresult /h c:\temp\test.html. Anschließend können Sie die Datei im Browser öffnen und sich den Bericht anzeigen lassen. Das Tool kann noch mehr Berichte erstellen. Auf der TechNet-Seite von GPResult [6] erhalten Sie Hilfe zu allen Optionen des Werkzeugs.
Windows Store sperren
Wollen Sie auf Rechnern mit Windows 8 den Windows Store sperren, damit Anwender keine Apps installieren können, haben Sie die Möglichkeit, den Gruppenrichtlinienverwaltungs-Editor zu verwenden. Dieser steht aber nur in den Editionen Pro und Enterprise von Windows 8 zur Verfügung. Für eine zentrale Vorgabe für alle Windows 8-PCs müssen Sie auf Domänencontrollern mit Windows Server 2012 R2 eine zentrale Gruppenrichtlinie erstellen:
Auch mit Windows Server 2012 R2 hat das Active Directory seine zentrale Rolle bei der Verwaltung von Gesamtstruktur und Nutzern nicht verloren. Wer beim Management des Verzeichnisdiensts die richtigen Tricks zur Hand hat, kann nicht nur Zeit sparen, sondern möglichen Stolpersteinen schon frühzeitig auf die Schliche kommen.
Seite 1: Active Directory-Replikation überprüfen
Seite 2: Gruppenrichtlinien testen und Fehler beheben
Thomas Joos/ln
[2] www.gruppenrichtlinien.de
[3] www.gpoguy.com
[4] http://social.technet.microsoft.com/Forums/de-DE/gruppenrichtliniende/threads
[5] www.sdmsoftware.com/freeware
[6] http://technet.microsoft.com/en-us/library/cc733160%28WS.10%29.aspx
Im Anschluss an die Konfiguration und Anbindung von Richtlinien daran können Sie die Gruppenrichtlinie auf einer Windows-Arbeitsstation mit gpupdate /force in der Eingabeaufforderung übertragen. Bei der Überprüfung helfen noch folgende Punkte:
- Stellen Sie sicher, dass die Clients den DNS-Server verwenden, auf dem die SRV-Records des Active Directory gespeichert sind, also den Windows Server 2012 R2-Server.
- Überprüfen Sie mit nslookup in der Eingabeaufforderung, ob auf den Clients der Windows Server 2012 R2-Server aufgelöst werden kann.
- Ist die Ereignisanzeige fehlerfrei?
- Ist der Benutzer oder Computer in der richtigen OU, auf die die Richtlinie angewendet wird?
- Versuchen Sie, die Richtlinie auf eine Sicherheitsgruppe anzuwenden? Dies ist nicht ohne weiteres möglich.
- Stimmt die Vererbung? In welcher Reihenfolge starten die Gruppenrichtlinien?
- Haben Sie etwas an der standardmäßigen Vererbung der Richtlinie verändert?
- Haben Sie irgendwo "Erzwungen" oder "Vererbung deaktivieren" aktiviert?
- Geben Sie auf dem PC in der Eingabeaufforderung als angemeldeter Benutzer gpresult > gp.txt ein, um sich das Ergebnis der Richtlinie anzeigen zulassen.
Bild 2: Auch das Überprüfen eines Computers auf angewendete Gruppenrichtlinien klappt gut mit Cmdlets.
Auf einer hilfreichen Internetseite [2] finden Sie weiterführende Informationen und Tipps rund um den Einsatz von Gruppenrichtlinien und die Fehlerbehebung. Auch auf einer englischsprachigen Site [3] erhalten Sie ausführliche Infos und Tools zum Thema Gruppenrichtlinien. Das deutschsprachige Gruppenrichtlinien-Forum von Microsoft [4] bietet ebenfalls umfassenden Hintergrund.
Auf der Website von SDM Software [5] steht zudem das kostenlose Cmdlet "Group Policy Health" zum Download bereit. Nach dem Herunterladen müssen Sie es aber zunächst in die PowerShell einbinden. Öffnen Sie dazu nach der Installation des Werkzeugs eine Eingabeaufforderung im Verzeichnis "C:\Windows \ Microsoft. NET \ Framework \ v2.0.50727". Sie können dazu im Windows Explorer das Verzeichnis einfach mit der rechten Maustaste anklicken und dabei die Umschalt-Taste gedrückt halten. Anschließend finden Sie im Kontextmenü den Befehl zum Öffnen einer Eingabeaufforderung in diesem Verzeichnis. Setzen Sie ein 64 Bit-System ein, müssen Sie den gleichen Befehl im Verzeichnis "Framework64" durchführen.
Um die DLL-Datei zu registrieren, geben Sie installutil "c:\ Programm Files (x86) \ SDM Software \ Group Policy Health Cmdlet \ GetSdmGPHealth.dll" ein. Beachten Sie, dass der Befehl nur in einer Eingabeaufforderung funktioniert, die Sie mit Administratorrechten gestartet haben. Um das Cmdlet zu verwenden, rufen Sie die PowerShell über den Befehl Launch PowerShell on x64 with GP Health Snap-In über den Startbildschirm auf. Im Verzeichnis "C:\ Program Files (x86) \ SDM Software \ Group Policy Health Cmdlet" finden Sie eine Hilfedatei zum Cmdlet.
Der einfachste Weg, um zu überprüfen, ob ein Computer GPOs abruft, ist der Befehl Get-SDMGPHealth -computer {Computername}. In der Ausgabe sehen Sie, welche Computerrichtlinien und Benutzerrichtlinien der Computer angewendet hat. Das heißt, die Gruppenrichtlinien in dieser Aufzählung kommen am Client an.
Lokal auf einem Computer können Sie in der Eingabeaufforderung mit dem Befehl gpresult /h {HTML-Datei} einen HTML-Bericht erstellen, der anzeigt, welche Gruppenrichtlinien der Client anwendet und welche Einstellungen enthalten sind. Mit der Option "/x" schaffen Sie wiederum eine XML-Datei, die Sie in Programmen oder Skripten einlesen können. Ein Beispiel wäre der Befehl gpresult /h c:\temp\test.html. Anschließend können Sie die Datei im Browser öffnen und sich den Bericht anzeigen lassen. Das Tool kann noch mehr Berichte erstellen. Auf der TechNet-Seite von GPResult [6] erhalten Sie Hilfe zu allen Optionen des Werkzeugs.
Windows Store sperren
Wollen Sie auf Rechnern mit Windows 8 den Windows Store sperren, damit Anwender keine Apps installieren können, haben Sie die Möglichkeit, den Gruppenrichtlinienverwaltungs-Editor zu verwenden. Dieser steht aber nur in den Editionen Pro und Enterprise von Windows 8 zur Verfügung. Für eine zentrale Vorgabe für alle Windows 8-PCs müssen Sie auf Domänencontrollern mit Windows Server 2012 R2 eine zentrale Gruppenrichtlinie erstellen:
- Navigieren Sie zu "Computerkonfiguration / Administrative Vorlagen / Windows-Komponenten / Store."
- Aktivieren Sie die Richtlinieneinstellungen zur Deaktivierung des kompletten Stores oder nur das automatisch Herunterladen von Updates.
- Starten Anwender nach der Einrichtung den Store, erscheint eine entsprechende Meldung.
Auch mit Windows Server 2012 R2 hat das Active Directory seine zentrale Rolle bei der Verwaltung von Gesamtstruktur und Nutzern nicht verloren. Wer beim Management des Verzeichnisdiensts die richtigen Tricks zur Hand hat, kann nicht nur Zeit sparen, sondern möglichen Stolpersteinen schon frühzeitig auf die Schliche kommen.
Seite 1: Active Directory-Replikation überprüfen
Seite 2: Gruppenrichtlinien testen und Fehler beheben
<< Vorherige Seite | Seite 2 von 2 |
Thomas Joos/ln
[2] www.gruppenrichtlinien.de
[3] www.gpoguy.com
[4] http://social.technet.microsoft.com/Forums/de-DE/gruppenrichtliniende/threads
[5] www.sdmsoftware.com/freeware
[6] http://technet.microsoft.com/en-us/library/cc733160%28WS.10%29.aspx