von Redaktion IT-A…
Lesezeit
2 Minuten
Seite 2 - Troubleshooting von Gruppenrichtlinien (1)
Zum RSoP mit GPRESULT
Um den Bericht auf Benutzer- oder Computereinstellungen einzuschränken, verwenden Sie den Parameter "/SCOPE USER" beziehungsweise "/SCOPE COMPUTER". Dieser kann mit allen anderen Parametern kombiniert werden. Wenn Sie die Ausgabe von GPRESULT /R, /V oder /Z in eine Textdatei umleiten möchten, stellen Sie vorher die Codepage Ihres Kommandozeilenfensters mit dem Befehl CHCP 1252 auf "ANSI Latin" um, damit die Umlaute richtig wiedergegeben werden. Oder Sie starten den Befehl in einem PowerShell-Fenster, da ist die richtige Kodierung bereits vorgegeben.
GPRESULT können Sie auch remote einsetzen. Mit
RSoP mit der PowerShell erzeugen
RSoP mit der GPMC
Das wohl vertrauteste Werkzeug der Gruppenrichtlinienverwaltung ist die MMC-basierte "Group Policy Management Console" (GPMC). Auch diese bietet die Möglichkeit, den RSoP für einen Computer, Benutzer oder beides anzufertigen. Das Ergebnis, das Sie dabei erhalten, ist mit der HTML-Ausgabe von GPRESULT identisch. Die Auswahl des Zielcomputers erfolgt mittels einer standardmäßigen Active-Directory-Suche. Anschließend werden Benutzer zur Auswahl angezeigt, für die auf diesem Computer ein RSoP erzeugt werden kann. Leider lässt sich daraus nicht ersehen, ob der Benutzer aktuell angemeldet oder das gefundene Benutzerprofil bereits veraltet ist.
Seite 1: Überblick gewinnen mit RSoP
Seite 2: Zum RSoP mit GPRESULT
Im zweiten Teil geht es darum, wie Sie mit unerwarteten Werten im GPO-Ergebnissatz am besten umgehen und wie Sie Problemen direkt bei der GPO-Anwendung aus dem Weg gehen.
dr/ln/Evgenij Smirnov
Wenn Sie sich – physisch oder remote – an der Maschine befinden, die Sie diagnostizieren möchten, können Sie das RSoP mit dem Befehlszeilenprogramm GPRESULT.EXE erzeugen, das auf jedem Windows-System vorhanden ist. Die wichtigsten Aufrufe sind:
- GPRESULT /R zeigt eine Zusammenfassung (ohne einzelne Einstellungen) in Textform an.
- GPRESULT /V zeigt eine Zusammenfassung und sämtliche Einstellungen in Textform an.
- GPRESULT /Z zeigt einen sehr ausführlichen Bericht und sämtliche Einstellungen in Textform an.
- GPRESULT /H <Pfad\Datei.html> erzeugt eine HTML-Datei inklusive einer Zusammenfassung und aller Einstellungen. Die einzelnen Bereiche können Sie im Browser jeweils auf- und zuklappen, was das Auffinden von Einstellungen erleichtert.
- GPRESULT /X <Pfad\Datei.xml> erzeugt eine maschinenlesbare XML-Datei inklusive einer Zusammenfassung und aller Einstellungen. Die Datenstruktur ist allerdings nur sehr spärlich dokumentiert, Sie werden vermutlich einen eigenen Parser erstellen müssen, der auf Ihren konkreten Troubleshooting-Fall zugeschnitten ist.
$gpres = [xml](Get-Content <Pfad zur Datei>)in ein XML-Objekt eingelesen haben, stehen Ihnen unter ".UserResults" und ".ComputerResults" die beiden wichtigen Abschnitte des RSoP zur Verfügung. Allerdings sind in der XML keine sprachspezifischen Klartextbeschreibungen zu den einzelnen GPO-Einstellungen enthalten, sodass Sie die Vorlagen auf Ihrem System oder im Central Store bemühen müssen, um die Ergebnisse lesbar darzustellen. Für Menschen ist die HTML-Ausgabe daher deutlich besser geeignet.
Bild 1: Die HTML-Ausgabe von GPRESULT ist klar strukturiert.
Um den Bericht auf Benutzer- oder Computereinstellungen einzuschränken, verwenden Sie den Parameter "/SCOPE USER" beziehungsweise "/SCOPE COMPUTER". Dieser kann mit allen anderen Parametern kombiniert werden. Wenn Sie die Ausgabe von GPRESULT /R, /V oder /Z in eine Textdatei umleiten möchten, stellen Sie vorher die Codepage Ihres Kommandozeilenfensters mit dem Befehl CHCP 1252 auf "ANSI Latin" um, damit die Umlaute richtig wiedergegeben werden. Oder Sie starten den Befehl in einem PowerShell-Fenster, da ist die richtige Kodierung bereits vorgegeben.
GPRESULT können Sie auch remote einsetzen. Mit
GPRESULT /S <Computername weitere Parameter>wird der RSoP auf einem anderen System ausgeführt. Dafür müssen Sie eine RPC-Verbindung zu dieser Maschine herstellen können. Bei Ausgabe in Dateien werden diese jedoch lokal auf der Maschine erzeugt, auf der Sie den Befehl aufrufen. Das grafische MMC-Snapin "rsop.msc", das Sie vielleicht noch von früher kennen, sollten Sie hingegen nicht mehr verwenden. Es zeigt nicht alle Einstellungen an und ist ohnehin nur lokal in einer interaktiven Sitzung ausführbar. Das Ergebnis lässt sich zudem nicht gut für die Dokumentation Ihres Troubleshootings exportieren.
RSoP mit der PowerShell erzeugen
Wenn Sie auf Ihrem Computer über das Feature "Gruppenrichtlinienverwaltung" (Server) oder über die entsprechenden Teile des "Remote Server Administration Toolkit" (RSAT) verfügen, so steht Ihnen in den aktuellen Versionen auch das PowerShell-Modul "GroupPolicy" zur Verfügung. Zum Generieren des RSoP ist das Cmdlet Get-GPResultantSetOfPolicy vorgesehen. Dieses erstellt ausschließlich vollständige Berichte (keine Zusammenfassungen) in HTML- oder XML-Format und akzeptiert folgende Parameter:
- Path (obligatorisch): Pfad zur Ausgabedatei.
- ReportType (obligatorisch): akzeptiert die Werte "HTML" und "XML".
- Computer (optional): der Computer, für den der RSoP erstellt wird. Wird dieser Parameter weggelassen, erhalten Sie den RSoP für den lokalen Computer.
- User (optional): der Benutzer, für den der RSoP erstellt wird. Wird er weggelassen, erhalten Sie den RSoP für den Benutzer, der den Befehl aufruft.
RSoP mit der GPMC
Das wohl vertrauteste Werkzeug der Gruppenrichtlinienverwaltung ist die MMC-basierte "Group Policy Management Console" (GPMC). Auch diese bietet die Möglichkeit, den RSoP für einen Computer, Benutzer oder beides anzufertigen. Das Ergebnis, das Sie dabei erhalten, ist mit der HTML-Ausgabe von GPRESULT identisch. Die Auswahl des Zielcomputers erfolgt mittels einer standardmäßigen Active-Directory-Suche. Anschließend werden Benutzer zur Auswahl angezeigt, für die auf diesem Computer ein RSoP erzeugt werden kann. Leider lässt sich daraus nicht ersehen, ob der Benutzer aktuell angemeldet oder das gefundene Benutzerprofil bereits veraltet ist.
Seite 2: Zum RSoP mit GPRESULT
Im zweiten Teil geht es darum, wie Sie mit unerwarteten Werten im GPO-Ergebnissatz am besten umgehen und wie Sie Problemen direkt bei der GPO-Anwendung aus dem Weg gehen.
| << Vorherige Seite | Seite 2 von 2 |
dr/ln/Evgenij Smirnov
