Fachartikel

Seite 2 - Troubleshooting von Gruppenrichtlinien (1)

Zum RSoP mit GPRESULT
Wenn Sie sich – physisch oder remote – an der Maschine befinden, die Sie diagnostizieren möchten, können Sie das RSoP mit dem Befehlszeilenprogramm GPRESULT.EXE erzeugen, das auf jedem Windows-System vorhanden ist. Die wichtigsten Aufrufe sind:

  • GPRESULT /R zeigt eine Zusammenfassung (ohne einzelne Einstellungen) in Textform an.
  • GPRESULT /V zeigt eine Zusammenfassung und sämtliche Einstellungen in Textform an.
  • GPRESULT /Z zeigt einen sehr ausführlichen Bericht und sämtliche Einstellungen in Textform an.
  • GPRESULT /H <Pfad\Datei.html> erzeugt eine HTML-Datei inklusive einer Zusammenfassung und aller Einstellungen. Die einzelnen Bereiche können Sie im Browser jeweils auf- und zuklappen, was das Auffinden von Einstellungen erleichtert.
  • GPRESULT /X <Pfad\Datei.xml> erzeugt eine maschinenlesbare XML-Datei inklusive einer Zusammenfassung und aller Einstellungen. Die Datenstruktur ist allerdings nur sehr spärlich dokumentiert, Sie werden vermutlich einen eigenen Parser erstellen müssen, der auf Ihren konkreten Troubleshooting-Fall zugeschnitten ist.
Der Datentyp "XML" in der PowerShell erleichtert diesen Prozess übrigens ganz erheblich. Wenn Sie die Datei mittels
$gpres = [xml](Get-Content <Pfad zur Datei>)
in ein XML-Objekt eingelesen haben, stehen Ihnen unter ".UserResults" und ".ComputerResults" die beiden wichtigen Abschnitte des RSoP zur Verfügung. Allerdings sind in der XML keine sprachspezifischen Klartextbeschreibungen zu den einzelnen GPO-Einstellungen enthalten, sodass Sie die Vorlagen auf Ihrem System oder im Central Store bemühen müssen, um die Ergebnisse lesbar darzustellen. Für Menschen ist die HTML-Ausgabe daher deutlich besser geeignet.


Bild 1: Die HTML-Ausgabe von GPRESULT ist klar strukturiert.

Um den Bericht auf Benutzer- oder Computereinstellungen einzuschränken, verwenden Sie den Parameter "/SCOPE USER" beziehungsweise "/SCOPE COMPUTER". Dieser kann mit allen anderen Parametern kombiniert werden. Wenn Sie die Ausgabe von GPRESULT /R, /V oder /Z in eine Textdatei umleiten möchten, stellen Sie vorher die Codepage Ihres Kommandozeilenfensters mit dem Befehl CHCP 1252 auf "ANSI Latin" um, damit die Umlaute richtig wiedergegeben werden. Oder Sie starten den Befehl in einem PowerShell-Fenster, da ist die richtige Kodierung bereits vorgegeben.

GPRESULT können Sie auch remote einsetzen. Mit
GPRESULT /S <Computername weitere Parameter>
wird der RSoP auf einem anderen System ausgeführt. Dafür müssen Sie eine RPC-Verbindung zu dieser Maschine herstellen können. Bei Ausgabe in Dateien werden diese jedoch lokal auf der Maschine erzeugt, auf der Sie den Befehl aufrufen. Das grafische MMC-Snapin "rsop.msc", das Sie vielleicht noch von früher kennen, sollten Sie hingegen nicht mehr verwenden. Es zeigt nicht alle Einstellungen an und ist ohnehin nur lokal in einer interaktiven Sitzung ausführbar. Das Ergebnis lässt sich zudem nicht gut für die Dokumentation Ihres Troubleshootings exportieren.
RSoP mit der PowerShell erzeugen
Wenn Sie auf Ihrem Computer über das Feature "Gruppenrichtlinienverwaltung" (Server) oder über die entsprechenden Teile des "Remote Server Administration Toolkit" (RSAT) verfügen, so steht Ihnen in den aktuellen Versionen auch das PowerShell-Modul "GroupPolicy" zur Verfügung. Zum Generieren des RSoP ist das Cmdlet Get-GPResultantSetOfPolicy vorgesehen. Dieses erstellt ausschließlich vollständige Berichte (keine Zusammenfassungen) in HTML- oder XML-Format und akzeptiert folgende Parameter:

  • Path (obligatorisch): Pfad zur Ausgabedatei.
  • ReportType (obligatorisch): akzeptiert die Werte "HTML" und "XML".
  • Computer (optional): der Computer, für den der RSoP erstellt wird. Wird dieser Parameter weggelassen, erhalten Sie den RSoP für den lokalen Computer.
  • User (optional): der Benutzer, für den der RSoP erstellt wird. Wird er weggelassen, erhalten Sie den RSoP für den Benutzer, der den Befehl aufruft.
Die auf diesem Weg erstellten HTML- und XML-Dateien sind mit denen von GPRESULT jeweils identisch.

RSoP mit der GPMC
Das wohl vertrauteste Werkzeug der Gruppenrichtlinienverwaltung ist die MMC-basierte "Group Policy Management Console" (GPMC). Auch diese bietet die Möglichkeit, den RSoP für einen Computer, Benutzer oder beides anzufertigen. Das Ergebnis, das Sie dabei erhalten, ist mit der HTML-Ausgabe von GPRESULT identisch. Die Auswahl des Zielcomputers erfolgt mittels einer standardmäßigen Active-Directory-Suche. Anschließend werden Benutzer zur Auswahl angezeigt, für die auf diesem Computer ein RSoP erzeugt werden kann. Leider lässt sich daraus nicht ersehen, ob der Benutzer aktuell angemeldet oder das gefundene Benutzerprofil bereits veraltet ist.

Seite 1: Überblick gewinnen mit RSoP
Seite 2: Zum RSoP mit GPRESULT


Im zweiten Teil geht es darum, wie Sie mit unerwarteten Werten im GPO-Ergebnissatz am besten umgehen und wie Sie Problemen direkt bei der GPO-Anwendung aus dem Weg gehen.

<< Vorherige Seite Seite 2 von 2
9.03.2020/dr/ln/Evgenij Smirnov

Nachrichten

Microsoft gibt Startschuss für Surface Go 2 [12.05.2020]

Ab heute ist das "Surface Go 2" von Microsoft auf dem deutschen Markt erhältlich. Redmond positioniert das Gerät als leichtes, schlankes und flexibles 2in1-Device, das für die mobile Nutzung optional in einer LTE-Variante verfügbar ist. [mehr]

Embedded-PC für extreme Umgebungen [11.05.2020]

Mit dem "MX1-10FEP-D" bringt ICP Deutschland den zweiten Embedded-PC aus der MX1-Serie auf den Markt. Dieser bietet laut Hersteller hohe Rechenleistung und vielfältige Anschlussmöglichkeiten sowie Erweiterungsmodule für den Einsatz in extremen Umgebungen. [mehr]

Augen für alles [6.05.2020]

Tipps & Tools

Ergonomisches Arbeiten mit Tablet oder Smartphone [31.05.2020]

Wer häufig mit dem Tablet oder Smartphone arbeitet, kennt das Problem: Schon nach kurzer Zeit werden die Arme vom ständigen Hochhalten schwer. Die anpassbare Halterung "Gooseneck PRO" bietet hierfür eine Lösung: Der elegante Schwanenhals lässt sich beliebig ausrichten und an fast jeder Oberfläche befestigen, während die stufenlose Klemmhalterung das Gerät sicher hält. [mehr]

Windows-Taste deaktivieren [30.05.2020]

Wenn Sie häufig mit dem Copy-Paste-Shortcut arbeiten, sehen Sie in der Windows-Taste vielleicht eher ein Hindernis als einen Vorteil. Denn das versehentliche Öffnen des Startmenüs stört und verlangsamt die Arbeit. Unser Tipp zeigt, wie Sie die Taste in wenigen Schritten im Registry abschalten. [mehr]

Im Test: SepiaTS [28.05.2020]

Buchbesprechung

Technik der IP-Netze

von Anatol Badach und Erwin Hoffmann

Anzeigen