Fachartikel

Seite 2 - Die besten Tricks für das Active Directory (2)

Gruppenrichtlinien testen und Fehler beheben
Im Anschluss an die Konfiguration und Anbindung von Richtlinien daran können Sie die Gruppenrichtlinie auf einer Windows-Arbeitsstation mit gpupdate /force in der Eingabeaufforderung übertragen. Bei der Überprüfung helfen noch folgende Punkte:
  1. Stellen Sie sicher, dass die Clients den DNS-Server verwenden, auf dem die SRV-Records des Active Directory gespeichert sind, also den Windows Server 2012 R2-Server.
  2. Überprüfen Sie mit nslookup in der Eingabeaufforderung, ob auf den Clients der Windows Server 2012 R2-Server aufgelöst werden kann.
  3. Ist die Ereignisanzeige fehlerfrei?
  4. Ist der Benutzer oder Computer in der richtigen OU, auf die die Richtlinie angewendet wird?
  5. Versuchen Sie, die Richtlinie auf eine Sicherheitsgruppe anzuwenden? Dies ist nicht ohne weiteres möglich.
  6. Stimmt die Vererbung? In welcher Reihenfolge starten die Gruppenrichtlinien?
  7. Haben Sie etwas an der standardmäßigen Vererbung der Richtlinie verändert?
  8. Haben Sie irgendwo "Erzwungen" oder "Vererbung deaktivieren" aktiviert?
  9. Geben Sie auf dem PC in der Eingabeaufforderung als angemeldeter Benutzer gpresult > gp.txt ein, um sich das Ergebnis der Richtlinie anzeigen zulassen.
Das Windows-MMC-Snap-In "Richtlinienergebnissatz" bietet eine grafische Oberfläche und wertet die angewendeten Richtlinien aus. Sie bringen den Richtlinienergebnissatz auf einer Arbeitsstation über "MMC / Datei / Snap-In hinzufügen / Richtlinienergebnissatz" auf den Bildschirm. Eine weitere Möglichkeit ist die Eingabe von rsop.msc im Suchfeld des Startmenüs oder der Startseite in Windows Server 2012 R2 und Windows 8.


Bild 2: Auch das Überprüfen eines Computers auf angewendete Gruppenrichtlinien klappt gut mit Cmdlets.

Auf einer hilfreichen Internetseite [2] finden Sie weiterführende Informationen und Tipps rund um den Einsatz von Gruppenrichtlinien und die Fehlerbehebung. Auch auf einer englischsprachigen Site [3] erhalten Sie ausführliche Infos und Tools zum Thema Gruppenrichtlinien. Das deutschsprachige Gruppenrichtlinien-Forum von Microsoft [4] bietet ebenfalls umfassenden Hintergrund.

Auf der Website von SDM Software [5] steht zudem das kostenlose Cmdlet "Group Policy Health" zum Download bereit. Nach dem Herunterladen müssen Sie es aber zunächst in die PowerShell einbinden. Öffnen Sie dazu nach der Installation des Werkzeugs eine Eingabeaufforderung im Verzeichnis "C:\Windows \ Microsoft. NET \ Framework \ v2.0.50727". Sie können dazu im Windows Explorer das Verzeichnis einfach mit der rechten Maustaste anklicken und dabei die Umschalt-Taste gedrückt halten. Anschließend finden Sie im Kontextmenü den Befehl zum Öffnen einer Eingabeaufforderung in diesem Verzeichnis. Setzen Sie ein 64 Bit-System ein, müssen Sie den gleichen Befehl im Verzeichnis "Framework64" durchführen.

Um die DLL-Datei zu registrieren, geben Sie installutil "c:\ Programm Files (x86) \ SDM Software \ Group Policy Health Cmdlet \ GetSdmGPHealth.dll" ein. Beachten Sie, dass der Befehl nur in einer Eingabeaufforderung funktioniert, die Sie mit Administratorrechten gestartet haben. Um das Cmdlet zu verwenden, rufen Sie die PowerShell über den Befehl Launch PowerShell on x64 with GP Health Snap-In über den Startbildschirm auf. Im Verzeichnis "C:\ Program Files (x86) \ SDM Software \ Group Policy Health Cmdlet" finden Sie eine Hilfedatei zum Cmdlet.

Der einfachste Weg, um zu überprüfen, ob ein Computer GPOs abruft, ist der Befehl Get-SDMGPHealth -computer {Computername}. In der Ausgabe sehen Sie, welche Computerrichtlinien und Benutzerrichtlinien der Computer angewendet hat. Das heißt, die Gruppenrichtlinien in dieser Aufzählung kommen am Client an.

Lokal auf einem Computer können Sie in der Eingabeaufforderung mit dem Befehl gpresult /h {HTML-Datei} einen HTML-Bericht erstellen, der anzeigt, welche Gruppenrichtlinien der Client anwendet und welche Einstellungen enthalten sind. Mit der Option "/x" schaffen Sie wiederum eine XML-Datei, die Sie in Programmen oder Skripten einlesen können. Ein Beispiel wäre der Befehl gpresult /h c:\temp\test.html. Anschließend können Sie die Datei im Browser öffnen und sich den Bericht anzeigen lassen. Das Tool kann noch mehr Berichte erstellen. Auf der TechNet-Seite von GPResult [6] erhalten Sie Hilfe zu allen Optionen des Werkzeugs.

Windows Store sperren
Wollen Sie auf Rechnern mit Windows 8 den Windows Store sperren, damit Anwender keine Apps installieren können, haben Sie die Möglichkeit, den Gruppenrichtlinienverwaltungs-Editor zu verwenden. Dieser steht aber nur in den Editionen Pro und Enterprise von Windows 8 zur Verfügung. Für eine zentrale Vorgabe für alle Windows 8-PCs müssen Sie auf Domänencontrollern mit Windows Server 2012 R2 eine zentrale Gruppenrichtlinie erstellen:
  1. Navigieren Sie zu "Computerkonfiguration / Administrative Vorlagen / Windows-Komponenten / Store."
  2. Aktivieren Sie die Richtlinieneinstellungen zur Deaktivierung des kompletten Stores oder nur das automatisch Herunterladen von Updates.
  3. Starten Anwender nach der Einrichtung den Store, erscheint eine entsprechende Meldung.
Fazit
Auch mit Windows Server 2012 R2 hat das Active Directory seine zentrale Rolle bei der Verwaltung von Gesamtstruktur und Nutzern nicht verloren. Wer beim Management des Verzeichnisdiensts die richtigen Tricks zur Hand hat, kann nicht nur Zeit sparen, sondern möglichen Stolpersteinen schon frühzeitig auf die Schliche kommen.


   
Seite 1: Active Directory-Replikation überprüfen
    Seite 2: Gruppenrichtlinien testen und Fehler beheben

<< Vorherige Seite Seite 2 von 2
18.05.2015/Thomas Joos/ln

Nachrichten

Dicker Brummer [5.08.2022]

Mit dem Modell HD6500 gibt Synology den Startschuss für seine neue Serie an High-Density-Speichergeräten. Mit einem 4-HE-Formfaktor und 60 Einschüben für 3,5-Zoll-SAS-HDDs und optionalen Expansionseinheiten lassen sich mit dem Neuzugang laut Hersteller bis zu 4 PByte an Daten speichern. [mehr]

Außendienstler [4.08.2022]

Super Micro Computer präsentiert eine ganze Palette neuer Systeme für das Edge-Computing – darunter SuperEdge und eine Reihe von Systemen auf Intel-Xeon-D-Prozessorbasis mit bis zu 20 Kernen und integriertem 25-GbE-Netzwerk. Die neuen Geräte verfügen über einen Temperaturbetriebsbereich von -40 bis 85 Grad Celsius. [mehr]

Kleines Kraftpaket [3.08.2022]

Feiert die Admins! [29.07.2022]

Tipps & Tools

Download der Woche: Zero Install [3.08.2022]

Wenn Sie als Admin ständig zwischen Arbeitsgruppen beziehungsweise Abteilungen hin und her flitzen, können Sie neben Ihrem Softwarerepertoire auf einem Netzwerkordner auch gleich eine umfassende Sammlung an praktischen Werkzeugen mitbringen. Das kostenfreie Tool "Zero Install" stellt Ihnen einen Softwarekatalog bereit, der alle Programme sofort und mit einem Klick ganz ohne Installation startet. Die erforderlichen Daten werden erst bei Bedarf auf den Rechner geladen. [mehr]

Automatisierung von Tasks einrichten [29.07.2022]

Das zentrale Koordinieren von Programmabläufen per Kalender ist für stets wiederkehrende Aufgaben besonders hilfreich. Mit dem kostenfreien Tool "Z-Cron" können Sie das Ausführen von Kommandos, Programmen und Skripten zu ganz bestimmten Zeiten einrichten. Praktisch ist die Tatsache, dass die ausgewählten Anwendungen auch dann automatisch starten, wenn niemand am Rechner eingeloggt ist. [mehr]

Buchbesprechung

Kerberos

von Mark Pröhl und Daniel Kobras

Anzeigen