Fachartikel

Troubleshooting von Gruppenrichtlinien (2)

Gruppenrichtlinien sind schon seit Windows NT ein ebenso mächtiges wie bewährtes Instrument der zentralen Konfigurationsverwaltung in Windows-Umgebungen. Trotz einiger Bemühungen seitens Microsoft und ihrer Marktbegleiter, alternative Verwaltungsmechanismen für Windows anzubieten, können wir getrost davon ausgehen, dass uns die GPO noch eine ganze Weile erhalten bleiben werden. Umso wichtiger ist es, Probleme bei Gruppenrichtlinien und deren Anwendung rechtzeitig zu erkennen und zielgerichtet zu beheben. Im zweiten Teil geht es darum, wie Sie mit unerwarteten Werten im GPO-Ergebnissatz am besten umgehen und wie Sie Problemen direkt bei der GPO-Anwendung aus dem Weg gehen.
Funktioniert eine Gruppenrichtlinie nicht wie gedacht, kann das auf den Clients schnell zu Problemen führen.
Fülle an Informationen
Haben Sie den RSoP erzeugt, steht Ihnen eine Fülle wichtiger Informationen für die korrekte Einordnung und Eingrenzung Ihres Problems zur Verfügung:

  • Hinweise auf mögliche Probleme bei der Anwendung der Gruppenrichtlinien finden sich gleich am Anfang des RSoP, in den Abschnitten "Zusammenfassung" und "Komponentenstatus".
  • Hinweise auf mögliche Probleme in der AD-Infrastruktur werden ebenfalls gleich zu Beginn des RSoP untersucht und protokolliert.
  • Hinweise auf Loopback-Verarbeitung: Diese Einstellung kann in einem beliebigen GP-Objekt enthalten sein, das auf die Maschine wirkt. Daher ist sie schwieriger zu finden. Im RSoP steht gleich am Anfang, ob eine Loopback-Verarbeitung zur Anwendung gekommen ist.
  • Hinweise auf falsche Zuordnung von GP-Objekten: Zu jeder Einstellung ist im RSoP das GP-Objekt angegeben, das bei der Bildung des Ergebnissatzes "gewinnt". Sehen Sie dort ein anderes Objekt als erwartet, so müssen Sie sich mit Vererbung, Sicherheits- und WMI-Filterung beschäftigen.
Schauen wir uns die Interpretation der einzelnen Hinweise noch einmal genauer an.


Bild 2: Eine Loopback-Verarbeitung erkennen Sie im RSoP sofort.

Unerwartete Werte im GPO-Ergebnissatz
Haben Sie festgestellt, dass unerwartete Werte im Ergebnissatz ankommen, so gilt es festzustellen, was dazu geführt hat. Der erste Blick sollte der rechten Spalte der Ergebnisausgabe gelten, in der das Gruppenrichtlinienobjekt steht, das für diesen Wert verantwortlich ist. Haben Sie dieses Objekt an dieser Stelle erwartet? Falls nicht, müssen Sie folgende Sachverhalte prüfen:

  • Ist das Objekt falsch verknüpft? Fehlt eventuell die Verknüpfung mit dem von Ihnen erwarteten Objekt? Vielleicht wurde der Benutzer oder Computer, dessen Verhalten Sie diagnostizieren müssen, einfach in eine andere OU verschoben?
  • Stimmt die Priorität der Verknüpfungen noch?
  • Wird die Vererbung irgendwo unterbrochen? Oder wird das unerwartet als maßgeblich aufgeführte Objekt gar erzwungen?
  • Stimmen die Gruppen, Benutzer oder Computer in der Sicherheitsfilterung des tatsächlich angewendeten und des von Ihnen an dieser Stelle erwarteten Objekts? Seit dem Security Bulletin MS16-072 vom 14. Juni 2016 müssen Benutzerrichtlinien auch von dem Computer gelesen werden können, an dem sich der Benutzer anmeldet. Haben Sie aus der Benutzerrichtlinie also "Authenticated Users" entfernt und durch eigene Gruppen ersetzt, so müssen Sie auch "Domain Computers" oder andere Computergruppen hinzufügen, denen die entsprechenden Maschinen angehören.
  • Passen die WMI-Filter, die mit den falsch angewendeten GPOs verknüpft sind? Hinweise darauf finden sich am Anfang des RSoP. Denken Sie dabei stets daran, dass die Validierung des WMI-Filters wie der gesamte GPO-Anwendungsprozess auf der Zielmaschine erfolgt. Ist die WMI-Schnittstelle dort generell gestört, können auch keine Filter für GPO ausgewertet werden.
  • Hat sich die Loopback-Verarbeitung "hereingeschlichen"? Diese Einstellung ist tückisch: Sie braucht nur in einer der auf die Maschine anwendbaren Gruppenrichtlinien vorhanden zu sein, schon gilt sie für alle Benutzereinstellungen.
  • Wurden Richtlinien an AD-Standorte geknüpft und hat der Computer seinen Standort eventuell falsch bestimmt, etwa weil die Subnetze nicht umfassend genug gepflegt sind?
Natürlich kann es auch vorkommen, dass eine korrekterweise angewendete Gruppenrichtlinie plötzlich falsche Werte enthält. Wenn Sie viele GPO-Fenster gleichzeitig offen lassen, sehen sie alle gleich aus, und Sie können sich schnell verklicken. Prompt sind in einem Gruppenrichtlinienobjekt Einstellungen gesetzt, die Sie nicht beabsichtigt haben. Wer AGPM (aus dem Microsoft Desktop Optimization Pack) im Einsatz hat, kann auf eine frühere Version zurückgehen. Mit Bordmitteln bleibt nur die mühsame Suche nach falsch platzierten Einstellungen.


Bild 3: Der Policy Analyzer macht Konflikte in den Einstellungen sofort sichtbar.

Eine bessere Möglichkeit, viele GPOs gleichzeitig auf Konflikte in den Einstellungen hin zu untersuchen, bietet das Microsoft-Tool "Policy Analyzer", das 2016 vorgestellt wurde. Sie können es als Teil des "Microsoft Security Compliance Toolkit" (SCT) unter [1] herunterladen. Eine Installation ist nicht erforderlich, sie müssen lediglich das heruntergeladene ZIP-Archiv auspacken und das Programm "Policy- Analyzer.exe" starten.

Um Gruppenrichtlinien gegeneinander abzugleichen, benötigen Sie eine Sicherung davon. Diese können Sie etwa mit der GPMC anfertigen. Wechseln Sie in den Knoten "Gruppenrichtlinienobjekte" und wählen Sie die zu sichernden GPOs aus. Dabei können Sie Windows-typisch die Shift- und Ctrl-Tasten benutzen. Klicken Sie mit der rechten Maustaste auf die Auswahl und anschließend im Kontextmenü auf "Sichern…". Ebenso schnell gelingt ein Backup aller Gruppenrichtlinien mit der PowerShell:
Get-GPO -All | <Backup-GPO Pfad zum Zielordner>
In beiden Fällen muss der Zielordner bereits existieren.

Aus dem Backup können Sie nun die einzelnen Gruppenrichtlinien in sogenannte "Group Policy Rulesets" importieren. Mit dem Policy Analyzer gleichen Sie die einzelnen Rulesets gegeneinander ab. Im Zweifel müssen Sie also jedes in Frage kommende Objekt in ein separates Ruleset einlesen. Anschließend können Sie sich mit einem Klick auf "View / Compare" den tabellarischen Vergleich anzeigen lassen. Im Menü haben Sie dann die Möglichkeit, den Vergleich nur auf Konflikte beziehungsweise Übereinstimmungen zu beschränken und ihn nach Excel zu exportieren, sofern dieses Programm auf der Maschine installiert ist.

Seite 1: Unerwartete Werte im GPO-Ergebnissatz
Seite 2: Probleme bei der GPO-Anwendung

Im ersten Teil des Workhops beschäftigen wir uns vor allem mit dem "Resultant Set of Policy" und der Arbeit mit GPRESULT.EXE.


Seite 1 von 2 Nächste Seite >>
16.03.2020/dr/ln/Evgenij Smirnov

Nachrichten

KI auf großer Fahrt [6.04.2020]

2020 sticht das "Mayflower Autonomous Ship" in See. Es ist eines der ersten unbemannten, vollwertigen und vollautonomen Schiffe, das den Atlantik überquert. Unter Verwendung von KI-, Cloud- und Edge-Technologien von IBM sollen im Rahmen des Projekts Gefahren auf See erkannt und vermieden werden. Auch Red Hat Enterprise Linux ist mit an Bord, während eine KI das Kommando hat. [mehr]

Hilfe bei fehlerhaften Windows-Updates [19.03.2020]

Mit der neuen Version 17 von O&O BlueCon können nun auch Windows-Updates von einem PC oder Server entfernt werden, wenn dieser nicht mehr startet. Das neue Werkzeug O&O UpdateRemover ist nun Bestandteil von O&O BlueCon, mit dem sich ein nicht mehr startfähiges Windows-System von USB-Stick oder auch via Netzwerk reparieren lässt. [mehr]

Tipps & Tools

Download der Woche: RegCool [8.04.2020]

Administratoren arbeiten regelmäßig mit dem Registrierungseditor, um Systemdienste und -prozesse zu verwalten. Eine Alternative zum Windows-eigenen Regedit bietet das Tool "RegCool". Das Programm liefert die komplette Funktionalität des Regedit, fügt aber viele Ergänzungen hinzu. Unter anderem lässt sich ein Backup der Registry anlegen sowie Registrierungsschlüssel suchen und ersetzen oder mit Notizen versehen. [mehr]

Jetzt erhältlich: Sonderheft Clientmanagement [6.04.2020]

Das IT-Administrator Sonderheft 2020 "Clientmanagement - Stationäre und mobile Rechner administrieren und absichern" versorgt Administratoren mit Strategien und praktischem Wissen rund um die Verwaltung der Endgeräte im Unternehmen. Wir zeigen, worauf IT-Verantwortliche bei der Beschaffung sowie der Einführung von Clientmanagementwerkzeugen achten müssen. Weiterhin betrachten wir Sicherheitskonzepte für mobile wie stationäre Clients sowie das Management der Anwendungen auf den Clients. Das Sonderheft ist ab sofort versandbereit. [mehr]

Buchbesprechung

Technik der IP-Netze

von Anatol Badach und Erwin Hoffmann

Anzeigen