Fachartikel

Troubleshooting von Gruppenrichtlinien (1)

Gruppenrichtlinien sind schon seit Windows NT ein ebenso mächtiges wie bewährtes Instrument der zentralen Konfigurationsverwaltung in Windows-Umgebungen. Trotz einiger Bemühungen seitens Microsoft und ihrer Marktbegleiter, alternative Verwaltungsmechanismen für Windows anzubieten, können wir getrost davon ausgehen, dass uns die GPOs noch eine ganze Weile erhalten bleiben werden. Umso wichtiger ist es, Probleme bei Gruppenrichtlinien und deren Anwendung rechtzeitig zu erkennen und zielgerichtet zu beheben. Im ersten Teil des Workhops beschäftigen wir uns vor allem mit dem "Resultant Set of Policy" und der Arbeit mit GPRESULT.EXE.
Funktioniert eine Gruppenrichtlinie nicht wie gedacht, kann das auf den Clients schnell zu Problemen führen.
Wenn irgendetwas im Bereich der Gruppenrichtlinien nicht stimmt, erkennen Sie das in der Regel nicht unmittelbar. Abgesehen von dem Teil mit Benutzer- und Maschinenskripten, dienen Gruppenrichtlinien der Erzwingung von Konfigurationsvorgaben. Es gibt in Windows jedoch leider keinen "Compliance-Indikator", der anzeigen würde, ob die momentane Konfiguration der vorgegebenen entspricht – und erst recht keinen, der die derzeitige Konfiguration unabhängig von der Anwendung der Gruppenrichtlinien untersuchen würde. Daher fallen Probleme mit Gruppenrichtlinien meist erst dadurch auf, dass die Benutzerumgebung "sich verstellt" oder Anwendungen sich anders verhalten als am Tag zuvor. Und weil Gruppenrichtlinien so mächtig sind und eine so zentrale Rolle spielen, sind natürlich gleich viele, wenn nicht gar alle User betroffen. Da sind gute Nerven und präzises, zielgerichtetes Handeln gefragt.

Probleme klassifizieren
Haben Sie ein Phänomen festgestellt, bei dem Sie die Gruppenrichtlinien als Ursache vermuten, müssen Sie es zunächst richtig klassifizieren. Ihr Problem wird in eine der folgenden Kategorien fallen:

  • Es werden offenbar die gewünschten Einstellungen auf die Endgeräte angewandt, sie haben aber dort nicht die erwartete Wirkung.
  • Mit der Anwendung der Gruppenrichtlinien auf die betroffenen Benutzer und Computer ist anscheinend alles in Ordnung, aber es kommen nicht die erwarteten Einstellungen auf den Endgeräten an.
  • Es werden nicht alle vorgesehenen Gruppenrichtlinien angewandt oder das Verhalten ist nicht einheitlich.
  • Es werden anscheinend gar keine Gruppenrichtlinien mehr angewandt.
Die Klassifizierung können Sie nach dieser Skala von oben nach unten oder von unten nach oben durchführen: Entweder Sie kennen das Zusammenspiel der aktuell betroffenen Applikation oder Windows-Funktion mit den Policy-Einstellungen und beginnen die Untersuchung damit, dass Sie direkt nachschauen, welche Werte an den relevanten Stellen in der Registry stehen (Beispiel: Bei Problemen mit WSUS könnte sich ein Blick auf die Werte im Schlüssel "HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows \ WindowsUpdate" lohnen). Oder Sie verlassen sich vorerst darauf, dass auf dem Endgerät alle empfangenen Policy-Einstellungen richtig interpretiert werden, und prüfen, ob der vorgesehene Satz an Richtlinien tatsächlich ausgeliefert wurde.

Was zu tun ist, wenn eine Applikation die korrekten Einstellungen falsch oder gar nicht verarbeitet, ist sehr individuell und nicht Gegenstand dieses Artikels. Alle anderen Fälle können mithilfe einer strukturierten Herangehensweise meistens schnell geklärt werden.
Überblick gewinnen mit RSoP
Das Werkzeug der Wahl, um die Erstklassifikation vorzunehmen, ist das "Resultant Set of Policy" (RSoP). In diesem können Sie sofort sehen, welche Richtlinien überhaupt für die Anwendung in Frage kamen (aus Bindungen an Domäne, OUs oder Sites), welche tatsächlich angewandt und welche abgelehnt wurden (und warum) sowie welche Einstellungen dabei herausgekommen sind. Hier spielen neben dem Ort der Bindung auch die Reihenfolge, die Loopback-Verarbeitung sowie die Erzwingung der Gruppenrichtlinien eine Rolle.

Zum RSoP gelangen Sie auf drei Wegen, in allen Fällen muss das betroffene System jedoch laufen. Wollen Sie die Benutzereinstellungen untersuchen, so muss der jeweilige Benutzer interaktiv angemeldet sein. Wenn der Benutzer nicht "greifbar" ist, können Sie immerhin die Daten seiner letzten Sitzung erhalten. Dafür muss er am betroffenen System ein vollständiges Benutzerprofil hinterlassen haben. Gerade bei der Erstdiagnose ist hier jedoch Vorsicht geboten, denn es könnte ja sein, dass zum Zeitpunkt seiner letzten Sitzung alles noch in Ordnung war.



Seite 1 von 2 Nächste Seite >>
9.03.2020/dr/ln/Evgenij Smirnov

Nachrichten

KI auf großer Fahrt [6.04.2020]

2020 sticht das "Mayflower Autonomous Ship" in See. Es ist eines der ersten unbemannten, vollwertigen und vollautonomen Schiffe, das den Atlantik überquert. Unter Verwendung von KI-, Cloud- und Edge-Technologien von IBM sollen im Rahmen des Projekts Gefahren auf See erkannt und vermieden werden. Auch Red Hat Enterprise Linux ist mit an Bord, während eine KI das Kommando hat. [mehr]

Hilfe bei fehlerhaften Windows-Updates [19.03.2020]

Mit der neuen Version 17 von O&O BlueCon können nun auch Windows-Updates von einem PC oder Server entfernt werden, wenn dieser nicht mehr startet. Das neue Werkzeug O&O UpdateRemover ist nun Bestandteil von O&O BlueCon, mit dem sich ein nicht mehr startfähiges Windows-System von USB-Stick oder auch via Netzwerk reparieren lässt. [mehr]

Tipps & Tools

Download der Woche: RegCool [8.04.2020]

Administratoren arbeiten regelmäßig mit dem Registrierungseditor, um Systemdienste und -prozesse zu verwalten. Eine Alternative zum Windows-eigenen Regedit bietet das Tool "RegCool". Das Programm liefert die komplette Funktionalität des Regedit, fügt aber viele Ergänzungen hinzu. Unter anderem lässt sich ein Backup der Registry anlegen sowie Registrierungsschlüssel suchen und ersetzen oder mit Notizen versehen. [mehr]

Jetzt erhältlich: Sonderheft Clientmanagement [6.04.2020]

Das IT-Administrator Sonderheft 2020 "Clientmanagement - Stationäre und mobile Rechner administrieren und absichern" versorgt Administratoren mit Strategien und praktischem Wissen rund um die Verwaltung der Endgeräte im Unternehmen. Wir zeigen, worauf IT-Verantwortliche bei der Beschaffung sowie der Einführung von Clientmanagementwerkzeugen achten müssen. Weiterhin betrachten wir Sicherheitskonzepte für mobile wie stationäre Clients sowie das Management der Anwendungen auf den Clients. Das Sonderheft ist ab sofort versandbereit. [mehr]

Buchbesprechung

Technik der IP-Netze

von Anatol Badach und Erwin Hoffmann

Anzeigen