Lesezeit
2 Minuten
Troubleshooting von Gruppenrichtlinien (1)
Gruppenrichtlinien sind schon seit Windows NT ein ebenso mächtiges wie bewährtes Instrument der zentralen Konfigurationsverwaltung in Windows-Umgebungen. Trotz einiger Bemühungen seitens Microsoft und ihrer Marktbegleiter, alternative Verwaltungsmechanismen für Windows anzubieten, können wir getrost davon ausgehen, dass uns die GPOs noch eine ganze Weile erhalten bleiben werden. Umso wichtiger ist es, Probleme bei Gruppenrichtlinien und deren Anwendung rechtzeitig zu erkennen und zielgerichtet zu beheben. Im ersten Teil des Workhops beschäftigen wir uns vor allem mit dem "Resultant Set of Policy" und der Arbeit mit GPRESULT.EXE.
Wenn irgendetwas im Bereich der Gruppenrichtlinien nicht stimmt, erkennen Sie das in der Regel nicht unmittelbar. Abgesehen von dem Teil mit Benutzer- und Maschinenskripten, dienen Gruppenrichtlinien der Erzwingung von Konfigurationsvorgaben. Es gibt in Windows jedoch leider keinen "Compliance-Indikator", der anzeigen würde, ob die momentane Konfiguration der vorgegebenen entspricht – und erst recht keinen, der die derzeitige Konfiguration unabhängig von der Anwendung der Gruppenrichtlinien untersuchen würde. Daher fallen Probleme mit Gruppenrichtlinien meist erst dadurch auf, dass die Benutzerumgebung "sich verstellt" oder Anwendungen sich anders verhalten als am Tag zuvor. Und weil Gruppenrichtlinien so mächtig sind und eine so zentrale Rolle spielen, sind natürlich gleich viele, wenn nicht gar alle User betroffen. Da sind gute Nerven und präzises, zielgerichtetes Handeln gefragt.
Probleme klassifizieren
Was zu tun ist, wenn eine Applikation die korrekten Einstellungen falsch oder gar nicht verarbeitet, ist sehr individuell und nicht Gegenstand dieses Artikels. Alle anderen Fälle können mithilfe einer strukturierten Herangehensweise meistens schnell geklärt werden.
Überblick gewinnen mit RSoP
Zum RSoP gelangen Sie auf drei Wegen, in allen Fällen muss das betroffene System jedoch laufen. Wollen Sie die Benutzereinstellungen untersuchen, so muss der jeweilige Benutzer interaktiv angemeldet sein. Wenn der Benutzer nicht "greifbar" ist, können Sie immerhin die Daten seiner letzten Sitzung erhalten. Dafür muss er am betroffenen System ein vollständiges Benutzerprofil hinterlassen haben. Gerade bei der Erstdiagnose ist hier jedoch Vorsicht geboten, denn es könnte ja sein, dass zum Zeitpunkt seiner letzten Sitzung alles noch in Ordnung war.
dr/ln/Evgenij Smirnov
Probleme klassifizieren
Haben Sie ein Phänomen festgestellt, bei dem Sie die Gruppenrichtlinien als Ursache vermuten, müssen Sie es zunächst richtig klassifizieren. Ihr Problem wird in eine der folgenden Kategorien fallen:
- Es werden offenbar die gewünschten Einstellungen auf die Endgeräte angewandt, sie haben aber dort nicht die erwartete Wirkung.
- Mit der Anwendung der Gruppenrichtlinien auf die betroffenen Benutzer und Computer ist anscheinend alles in Ordnung, aber es kommen nicht die erwarteten Einstellungen auf den Endgeräten an.
- Es werden nicht alle vorgesehenen Gruppenrichtlinien angewandt oder das Verhalten ist nicht einheitlich.
- Es werden anscheinend gar keine Gruppenrichtlinien mehr angewandt.
Was zu tun ist, wenn eine Applikation die korrekten Einstellungen falsch oder gar nicht verarbeitet, ist sehr individuell und nicht Gegenstand dieses Artikels. Alle anderen Fälle können mithilfe einer strukturierten Herangehensweise meistens schnell geklärt werden.
Überblick gewinnen mit RSoP
Das Werkzeug der Wahl, um die Erstklassifikation vorzunehmen, ist das "Resultant Set of Policy" (RSoP). In diesem können Sie sofort sehen, welche Richtlinien überhaupt für die Anwendung in Frage kamen (aus Bindungen an Domäne, OUs oder Sites), welche tatsächlich angewandt und welche abgelehnt wurden (und warum) sowie welche Einstellungen dabei herausgekommen sind. Hier spielen neben dem Ort der Bindung auch die Reihenfolge, die Loopback-Verarbeitung sowie die Erzwingung der Gruppenrichtlinien eine Rolle.
Seite 1 von 2 | Nächste Seite >> |
dr/ln/Evgenij Smirnov