Troubleshooting von Gruppenrichtlinien (1)

Lesezeit
2 Minuten
Drucken
a- a+
Veröffentlicht Vor 4 Jahren
Zuletzt aktualisiert Vor 1 Jahr
Bis jetzt gelesen

Troubleshooting von Gruppenrichtlinien (1)

09.03.2020 - 00:00
Veröffentlicht in:
Gruppenrichtlinien sind schon seit Windows NT ein ebenso mächtiges wie bewährtes Instrument der zentralen Konfigurationsverwaltung in Windows-Umgebungen. Trotz einiger Bemühungen seitens Microsoft und ihrer Marktbegleiter, alternative Verwaltungsmechanismen für Windows anzubieten, können wir getrost davon ausgehen, dass uns die GPOs noch eine ganze Weile erhalten bleiben werden. Umso wichtiger ist es, Probleme bei Gruppenrichtlinien und deren Anwendung rechtzeitig zu erkennen und zielgerichtet zu beheben. Im ersten Teil des Workhops beschäftigen wir uns vor allem mit dem "Resultant Set of Policy" und der Arbeit mit GPRESULT.EXE.
Funktioniert eine Gruppenrichtlinie nicht wie gedacht, kann das auf den Clients schnell zu Problemen führen.
Wenn irgendetwas im Bereich der Gruppenrichtlinien nicht stimmt, erkennen Sie das in der Regel nicht unmittelbar. Abgesehen von dem Teil mit Benutzer- und Maschinenskripten, dienen Gruppenrichtlinien der Erzwingung von Konfigurationsvorgaben. Es gibt in Windows jedoch leider keinen "Compliance-Indikator", der anzeigen würde, ob die momentane Konfiguration der vorgegebenen entspricht – und erst recht keinen, der die derzeitige Konfiguration unabhängig von der Anwendung der Gruppenrichtlinien untersuchen würde. Daher fallen Probleme mit Gruppenrichtlinien meist erst dadurch auf, dass die Benutzerumgebung "sich verstellt" oder Anwendungen sich anders verhalten als am Tag zuvor. Und weil Gruppenrichtlinien so mächtig sind und eine so zentrale Rolle spielen, sind natürlich gleich viele, wenn nicht gar alle User betroffen. Da sind gute Nerven und präzises, zielgerichtetes Handeln gefragt.

Probleme klassifizieren
Haben Sie ein Phänomen festgestellt, bei dem Sie die Gruppenrichtlinien als Ursache vermuten, müssen Sie es zunächst richtig klassifizieren. Ihr Problem wird in eine der folgenden Kategorien fallen:

  • Es werden offenbar die gewünschten Einstellungen auf die Endgeräte angewandt, sie haben aber dort nicht die erwartete Wirkung.
  • Mit der Anwendung der Gruppenrichtlinien auf die betroffenen Benutzer und Computer ist anscheinend alles in Ordnung, aber es kommen nicht die erwarteten Einstellungen auf den Endgeräten an.
  • Es werden nicht alle vorgesehenen Gruppenrichtlinien angewandt oder das Verhalten ist nicht einheitlich.
  • Es werden anscheinend gar keine Gruppenrichtlinien mehr angewandt.
Die Klassifizierung können Sie nach dieser Skala von oben nach unten oder von unten nach oben durchführen: Entweder Sie kennen das Zusammenspiel der aktuell betroffenen Applikation oder Windows-Funktion mit den Policy-Einstellungen und beginnen die Untersuchung damit, dass Sie direkt nachschauen, welche Werte an den relevanten Stellen in der Registry stehen (Beispiel: Bei Problemen mit WSUS könnte sich ein Blick auf die Werte im Schlüssel "HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows \ WindowsUpdate" lohnen). Oder Sie verlassen sich vorerst darauf, dass auf dem Endgerät alle empfangenen Policy-Einstellungen richtig interpretiert werden, und prüfen, ob der vorgesehene Satz an Richtlinien tatsächlich ausgeliefert wurde.

Was zu tun ist, wenn eine Applikation die korrekten Einstellungen falsch oder gar nicht verarbeitet, ist sehr individuell und nicht Gegenstand dieses Artikels. Alle anderen Fälle können mithilfe einer strukturierten Herangehensweise meistens schnell geklärt werden.

Überblick gewinnen mit RSoP
Das Werkzeug der Wahl, um die Erstklassifikation vorzunehmen, ist das "Resultant Set of Policy" (RSoP). In diesem können Sie sofort sehen, welche Richtlinien überhaupt für die Anwendung in Frage kamen (aus Bindungen an Domäne, OUs oder Sites), welche tatsächlich angewandt und welche abgelehnt wurden (und warum) sowie welche Einstellungen dabei herausgekommen sind. Hier spielen neben dem Ort der Bindung auch die Reihenfolge, die Loopback-Verarbeitung sowie die Erzwingung der Gruppenrichtlinien eine Rolle.

Zum RSoP gelangen Sie auf drei Wegen, in allen Fällen muss das betroffene System jedoch laufen. Wollen Sie die Benutzereinstellungen untersuchen, so muss der jeweilige Benutzer interaktiv angemeldet sein. Wenn der Benutzer nicht "greifbar" ist, können Sie immerhin die Daten seiner letzten Sitzung erhalten. Dafür muss er am betroffenen System ein vollständiges Benutzerprofil hinterlassen haben. Gerade bei der Erstdiagnose ist hier jedoch Vorsicht geboten, denn es könnte ja sein, dass zum Zeitpunkt seiner letzten Sitzung alles noch in Ordnung war.



 Seite 1 von 2 Nächste Seite >>


dr/ln/Evgenij Smirnov

Tags

Ähnliche Beiträge

Durch Anklicken des Hostnamens in der Übersicht der aktiven Endpunkte gelangt der Admin in Heimdal auf die Detailansicht.

Im Test: Heimdal Patch & Asset Management

Vor 2 Monaten von Redaktion IT-A…
Ein zeitgemäßes Patchmanagement darf sich angesichts der vielfältigen Bedrohungen nicht allein auf die Microsoft-Produkte konzentrieren, sondern muss sich auch verbreiteten Drittanbieteranwendungen widmen. Der dänische Anbieter Heimdal Security geht noch einen Schritt weiter und hat eine ganze Suite zum Schutz vor Cyberbedrohungen im Programm. Mit dem Fokus auf das Patchen haben wir uns das cloudbasierte Angebot genauer angesehen.
Device-Management mit Microsoft Intune und Office 365 - Zwei Wege, ein Ziel

Device-Management mit Microsoft Intune und Office 365 - Zwei Wege, ein Ziel

Vor 1 Jahr von Thomas Joos
Um Geräte im Netzwerk oder mobile Geräte, die auf das Netzwerk zugreifen, zu verwalten, bietet sich für Unternehmen entweder Office 365 Mobile Device Management oder Microsoft Intune an. Ein Unterschied zwischen den beiden Lösungen besteht vor allem im Preis. Während das Device-Management zu vielen Abonnements in Office 365 gehört, muss Microsoft Intune gesondert abonniert werden. In diesem Beitrag stellen wir beide Ansätze vor.

Copyright © 2023, Heinemann Verlag