Fachartikel

Troubleshooting von Gruppenrichtlinien (1)

Gruppenrichtlinien sind schon seit Windows NT ein ebenso mächtiges wie bewährtes Instrument der zentralen Konfigurationsverwaltung in Windows-Umgebungen. Trotz einiger Bemühungen seitens Microsoft und ihrer Marktbegleiter, alternative Verwaltungsmechanismen für Windows anzubieten, können wir getrost davon ausgehen, dass uns die GPOs noch eine ganze Weile erhalten bleiben werden. Umso wichtiger ist es, Probleme bei Gruppenrichtlinien und deren Anwendung rechtzeitig zu erkennen und zielgerichtet zu beheben. Im ersten Teil des Workhops beschäftigen wir uns vor allem mit dem "Resultant Set of Policy" und der Arbeit mit GPRESULT.EXE.
Funktioniert eine Gruppenrichtlinie nicht wie gedacht, kann das auf den Clients schnell zu Problemen führen.
Wenn irgendetwas im Bereich der Gruppenrichtlinien nicht stimmt, erkennen Sie das in der Regel nicht unmittelbar. Abgesehen von dem Teil mit Benutzer- und Maschinenskripten, dienen Gruppenrichtlinien der Erzwingung von Konfigurationsvorgaben. Es gibt in Windows jedoch leider keinen "Compliance-Indikator", der anzeigen würde, ob die momentane Konfiguration der vorgegebenen entspricht – und erst recht keinen, der die derzeitige Konfiguration unabhängig von der Anwendung der Gruppenrichtlinien untersuchen würde. Daher fallen Probleme mit Gruppenrichtlinien meist erst dadurch auf, dass die Benutzerumgebung "sich verstellt" oder Anwendungen sich anders verhalten als am Tag zuvor. Und weil Gruppenrichtlinien so mächtig sind und eine so zentrale Rolle spielen, sind natürlich gleich viele, wenn nicht gar alle User betroffen. Da sind gute Nerven und präzises, zielgerichtetes Handeln gefragt.

Probleme klassifizieren
Haben Sie ein Phänomen festgestellt, bei dem Sie die Gruppenrichtlinien als Ursache vermuten, müssen Sie es zunächst richtig klassifizieren. Ihr Problem wird in eine der folgenden Kategorien fallen:

  • Es werden offenbar die gewünschten Einstellungen auf die Endgeräte angewandt, sie haben aber dort nicht die erwartete Wirkung.
  • Mit der Anwendung der Gruppenrichtlinien auf die betroffenen Benutzer und Computer ist anscheinend alles in Ordnung, aber es kommen nicht die erwarteten Einstellungen auf den Endgeräten an.
  • Es werden nicht alle vorgesehenen Gruppenrichtlinien angewandt oder das Verhalten ist nicht einheitlich.
  • Es werden anscheinend gar keine Gruppenrichtlinien mehr angewandt.
Die Klassifizierung können Sie nach dieser Skala von oben nach unten oder von unten nach oben durchführen: Entweder Sie kennen das Zusammenspiel der aktuell betroffenen Applikation oder Windows-Funktion mit den Policy-Einstellungen und beginnen die Untersuchung damit, dass Sie direkt nachschauen, welche Werte an den relevanten Stellen in der Registry stehen (Beispiel: Bei Problemen mit WSUS könnte sich ein Blick auf die Werte im Schlüssel "HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows \ WindowsUpdate" lohnen). Oder Sie verlassen sich vorerst darauf, dass auf dem Endgerät alle empfangenen Policy-Einstellungen richtig interpretiert werden, und prüfen, ob der vorgesehene Satz an Richtlinien tatsächlich ausgeliefert wurde.

Was zu tun ist, wenn eine Applikation die korrekten Einstellungen falsch oder gar nicht verarbeitet, ist sehr individuell und nicht Gegenstand dieses Artikels. Alle anderen Fälle können mithilfe einer strukturierten Herangehensweise meistens schnell geklärt werden.
Überblick gewinnen mit RSoP
Das Werkzeug der Wahl, um die Erstklassifikation vorzunehmen, ist das "Resultant Set of Policy" (RSoP). In diesem können Sie sofort sehen, welche Richtlinien überhaupt für die Anwendung in Frage kamen (aus Bindungen an Domäne, OUs oder Sites), welche tatsächlich angewandt und welche abgelehnt wurden (und warum) sowie welche Einstellungen dabei herausgekommen sind. Hier spielen neben dem Ort der Bindung auch die Reihenfolge, die Loopback-Verarbeitung sowie die Erzwingung der Gruppenrichtlinien eine Rolle.

Zum RSoP gelangen Sie auf drei Wegen, in allen Fällen muss das betroffene System jedoch laufen. Wollen Sie die Benutzereinstellungen untersuchen, so muss der jeweilige Benutzer interaktiv angemeldet sein. Wenn der Benutzer nicht "greifbar" ist, können Sie immerhin die Daten seiner letzten Sitzung erhalten. Dafür muss er am betroffenen System ein vollständiges Benutzerprofil hinterlassen haben. Gerade bei der Erstdiagnose ist hier jedoch Vorsicht geboten, denn es könnte ja sein, dass zum Zeitpunkt seiner letzten Sitzung alles noch in Ordnung war.



Seite 1 von 2 Nächste Seite >>
9.03.2020/dr/ln/Evgenij Smirnov

Nachrichten

PDF-Werkzeuge zentral verwalten [5.06.2020]

Foxit Software hat seine PDF-Werkzeuge rund um PhantomPDF einer Generalüberholung unterzogen. Neue Features sind unter anderem eine Admin-Konsole und ein Updateserver zur Automatisierung und Verbesserung der unternehmensweiten Verwaltung von Softwarelizenzen und -updates. [mehr]

Auf dem Laufenden [2.06.2020]

Samsung erweitert sein Angebot zur Verwaltung mobiler Geräteflotten für Geschäftsanwendungen um Knox E-FOTA One. Dieses ermögliche eine einfache Geräteverwaltung unter anderem durch eine sogenannte Out-of-box-Installation und Schnittstellen zu verschiedenen EMM-(Enterprise Mobility Management)-Systemen. [mehr]

Tipps & Tools

stackconf online fokussiert sich Mitte Juni auf aktuelle IT-Trends [5.06.2020]

Auch Netways verlegt die diesjährige Auflage seiner Open-Source-Infrastruktur-Konferenz notgedrungen ins Internet: Auf der stackconf online stehen vom 16. bis zum 18. Juni 2020 die Themenbereiche hybride Cloudumgebungen, Container, agile Methoden und Continuous Integration im Mittelpunkt. [mehr]

Jetzt buchen: Trainings und Intensiv-Seminar [2.06.2020]

Der Sommer naht und Sie fragen sich sicherlich, wann die nächsten IT-Administrator-Trainings stattfinden. Wir haben gute Neuigkeiten: Im Juli geht es mit den beiden Workshops "Azure Active Directory" und "Logmanagement" weiter. Wir zeigen unter anderem die organisatorischen und technischen Maßnahmen für ein erfolgreiches Logmanagement sowie die technische Umsetzung und das Monitoring des Azure AD. Weiterhin erfahren Sie in unserem Intensiv-Seminar "Office 365 bereitstellen und absichern", wie Sie Ihre Infrastruktur für die Clouddienste von Office vorbereiten und MS Teams verwalten und absichern. [mehr]

Buchbesprechung

Technik der IP-Netze

von Anatol Badach und Erwin Hoffmann

Anzeigen