Troubleshooting von Gruppenrichtlinien (2)

Lesezeit
3 Minuten
Bis jetzt gelesen

Troubleshooting von Gruppenrichtlinien (2)

16.03.2020 - 00:00
Veröffentlicht in:
Gruppenrichtlinien sind schon seit Windows NT ein ebenso mächtiges wie bewährtes Instrument der zentralen Konfigurationsverwaltung in Windows-Umgebungen. Trotz einiger Bemühungen seitens Microsoft und ihrer Marktbegleiter, alternative Verwaltungsmechanismen für Windows anzubieten, können wir getrost davon ausgehen, dass uns die GPO noch eine ganze Weile erhalten bleiben werden. Umso wichtiger ist es, Probleme bei Gruppenrichtlinien und deren Anwendung rechtzeitig zu erkennen und zielgerichtet zu beheben. Im zweiten Teil geht es darum, wie Sie mit unerwarteten Werten im GPO-Ergebnissatz am besten umgehen und wie Sie Problemen direkt bei der GPO-Anwendung aus dem Weg gehen.
Fülle an Informationen
Haben Sie den RSoP erzeugt, steht Ihnen eine Fülle wichtiger Informationen für die korrekte Einordnung und Eingrenzung Ihres Problems zur Verfügung:

  • Hinweise auf mögliche Probleme bei der Anwendung der Gruppenrichtlinien finden sich gleich am Anfang des RSoP, in den Abschnitten "Zusammenfassung" und "Komponentenstatus".
  • Hinweise auf mögliche Probleme in der AD-Infrastruktur werden ebenfalls gleich zu Beginn des RSoP untersucht und protokolliert.
  • Hinweise auf Loopback-Verarbeitung: Diese Einstellung kann in einem beliebigen GP-Objekt enthalten sein, das auf die Maschine wirkt. Daher ist sie schwieriger zu finden. Im RSoP steht gleich am Anfang, ob eine Loopback-Verarbeitung zur Anwendung gekommen ist.
  • Hinweise auf falsche Zuordnung von GP-Objekten: Zu jeder Einstellung ist im RSoP das GP-Objekt angegeben, das bei der Bildung des Ergebnissatzes "gewinnt". Sehen Sie dort ein anderes Objekt als erwartet, so müssen Sie sich mit Vererbung, Sicherheits- und WMI-Filterung beschäftigen.
Schauen wir uns die Interpretation der einzelnen Hinweise noch einmal genauer an.


Bild 2: Eine Loopback-Verarbeitung erkennen Sie im RSoP sofort.

Unerwartete Werte im GPO-Ergebnissatz
Haben Sie festgestellt, dass unerwartete Werte im Ergebnissatz ankommen, so gilt es festzustellen, was dazu geführt hat. Der erste Blick sollte der rechten Spalte der Ergebnisausgabe gelten, in der das Gruppenrichtlinienobjekt steht, das für diesen Wert verantwortlich ist. Haben Sie dieses Objekt an dieser Stelle erwartet? Falls nicht, müssen Sie folgende Sachverhalte prüfen:

  • Ist das Objekt falsch verknüpft? Fehlt eventuell die Verknüpfung mit dem von Ihnen erwarteten Objekt? Vielleicht wurde der Benutzer oder Computer, dessen Verhalten Sie diagnostizieren müssen, einfach in eine andere OU verschoben?
  • Stimmt die Priorität der Verknüpfungen noch?
  • Wird die Vererbung irgendwo unterbrochen? Oder wird das unerwartet als maßgeblich aufgeführte Objekt gar erzwungen?
  • Stimmen die Gruppen, Benutzer oder Computer in der Sicherheitsfilterung des tatsächlich angewendeten und des von Ihnen an dieser Stelle erwarteten Objekts? Seit dem Security Bulletin MS16-072 vom 14. Juni 2016 müssen Benutzerrichtlinien auch von dem Computer gelesen werden können, an dem sich der Benutzer anmeldet. Haben Sie aus der Benutzerrichtlinie also "Authenticated Users" entfernt und durch eigene Gruppen ersetzt, so müssen Sie auch "Domain Computers" oder andere Computergruppen hinzufügen, denen die entsprechenden Maschinen angehören.
  • Passen die WMI-Filter, die mit den falsch angewendeten GPOs verknüpft sind? Hinweise darauf finden sich am Anfang des RSoP. Denken Sie dabei stets daran, dass die Validierung des WMI-Filters wie der gesamte GPO-Anwendungsprozess auf der Zielmaschine erfolgt. Ist die WMI-Schnittstelle dort generell gestört, können auch keine Filter für GPO ausgewertet werden.
  • Hat sich die Loopback-Verarbeitung "hereingeschlichen"? Diese Einstellung ist tückisch: Sie braucht nur in einer der auf die Maschine anwendbaren Gruppenrichtlinien vorhanden zu sein, schon gilt sie für alle Benutzereinstellungen.
  • Wurden Richtlinien an AD-Standorte geknüpft und hat der Computer seinen Standort eventuell falsch bestimmt, etwa weil die Subnetze nicht umfassend genug gepflegt sind?


Natürlich kann es auch vorkommen, dass eine korrekterweise angewendete Gruppenrichtlinie plötzlich falsche Werte enthält. Wenn Sie viele GPO-Fenster gleichzeitig offen lassen, sehen sie alle gleich aus, und Sie können sich schnell verklicken. Prompt sind in einem Gruppenrichtlinienobjekt Einstellungen gesetzt, die Sie nicht beabsichtigt haben. Wer AGPM (aus dem Microsoft Desktop Optimization Pack) im Einsatz hat, kann auf eine frühere Version zurückgehen. Mit Bordmitteln bleibt nur die mühsame Suche nach falsch platzierten Einstellungen.


Bild 3: Der Policy Analyzer macht Konflikte in den Einstellungen sofort sichtbar.

Eine bessere Möglichkeit, viele GPOs gleichzeitig auf Konflikte in den Einstellungen hin zu untersuchen, bietet das Microsoft-Tool "Policy Analyzer", das 2016 vorgestellt wurde. Sie können es als Teil des "Microsoft Security Compliance Toolkit" (SCT) unter [1] herunterladen. Eine Installation ist nicht erforderlich, sie müssen lediglich das heruntergeladene ZIP-Archiv auspacken und das Programm "Policy- Analyzer.exe" starten.

Um Gruppenrichtlinien gegeneinander abzugleichen, benötigen Sie eine Sicherung davon. Diese können Sie etwa mit der GPMC anfertigen. Wechseln Sie in den Knoten "Gruppenrichtlinienobjekte" und wählen Sie die zu sichernden GPOs aus. Dabei können Sie Windows-typisch die Shift- und Ctrl-Tasten benutzen. Klicken Sie mit der rechten Maustaste auf die Auswahl und anschließend im Kontextmenü auf "Sichern…". Ebenso schnell gelingt ein Backup aller Gruppenrichtlinien mit der PowerShell:
Get-GPO -All | <Backup-GPO Pfad zum Zielordner>
In beiden Fällen muss der Zielordner bereits existieren.

Aus dem Backup können Sie nun die einzelnen Gruppenrichtlinien in sogenannte "Group Policy Rulesets" importieren. Mit dem Policy Analyzer gleichen Sie die einzelnen Rulesets gegeneinander ab. Im Zweifel müssen Sie also jedes in Frage kommende Objekt in ein separates Ruleset einlesen. Anschließend können Sie sich mit einem Klick auf "View / Compare" den tabellarischen Vergleich anzeigen lassen. Im Menü haben Sie dann die Möglichkeit, den Vergleich nur auf Konflikte beziehungsweise Übereinstimmungen zu beschränken und ihn nach Excel zu exportieren, sofern dieses Programm auf der Maschine installiert ist.

Seite 1: Unerwartete Werte im GPO-Ergebnissatz
Seite 2: Probleme bei der GPO-Anwendung

Im ersten Teil des Workhops beschäftigen wir uns vor allem mit dem "Resultant Set of Policy" und der Arbeit mit GPRESULT.EXE.


Seite 1 von 2 Nächste Seite >>


dr/ln/Evgenij Smirnov

[1] www.microsoft.com/en-us/download/details.aspx?id=55319

Ähnliche Beiträge

Im Test: Heimdal Patch & Asset Management

Ein zeitgemäßes Patchmanagement darf sich angesichts der vielfältigen Bedrohungen nicht allein auf die Microsoft-Produkte konzentrieren, sondern muss sich auch verbreiteten Drittanbieteranwendungen widmen. Der dänische Anbieter Heimdal Security geht noch einen Schritt weiter und hat eine ganze Suite zum Schutz vor Cyberbedrohungen im Programm. Mit dem Fokus auf das Patchen haben wir uns das cloudbasierte Angebot genauer angesehen.

Device-Management mit Microsoft Intune und Office 365 - Zwei Wege, ein Ziel

Um Geräte im Netzwerk oder mobile Geräte, die auf das Netzwerk zugreifen, zu verwalten, bietet sich für Unternehmen entweder Office 365 Mobile Device Management oder Microsoft Intune an. Ein Unterschied zwischen den beiden Lösungen besteht vor allem im Preis. Während das Device-Management zu vielen Abonnements in Office 365 gehört, muss Microsoft Intune gesondert abonniert werden. In diesem Beitrag stellen wir beide Ansätze vor.