Fachartikel

Seite 2 - Troubleshooting von Gruppenrichtlinien (2)

Probleme bei der GPO-Anwendung
Haben Sie festgestellt, dass korrekt gestaltete, delegierte und verknüpfte GPOs auf einem Rechner falsche Ergebnisse produzieren, bleibt Ihnen nur das lokale Troubleshooting. Den ersten Überblick erhalten Sie in den "High-Level-Protokollen", die Sie an zwei Stellen finden:

  • im Event Log unter "Anwendungs- und Dienstprotokolle \ Microsoft \ Windows \ GroupPolicy".
  • im RSoP, indem Sie im Abschnitt "Komponentenstatus" auf "Protokoll anzeigen" klicken.

Bild 4: Hier stimmen die angegebenen Benutzer und Gruppen nicht (mehr).

Betrifft das untersuchte Problem speziell Sicherheitseinstellungen, so lohnt sich auch ein Blick in das Anwendungsprotokoll, denn viele der Ereignisse werden hier unter der Quelle "SceCli" vermerkt. Ein typischer Fall sind Sicherheitskonten unter "Eingeschränkte Gruppen" oder "Zuweisen von Benutzerrechten", die entweder gelöscht wurden oder aus Domänen stammen, zu denen keine Vertrauensstellung mehr besteht.

Um hier weitere Informationen zu erhalten, navigieren Sie in der Registry zu dem Schlüssel "HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ GPExtensions \ {827D319E-6EAC-11D2-A4EA-00 C04F79F83A}" und setzen den Wert "ExtensionDebugLevel" von "0" auf "2". Das Ergebnis finden Sie anschließend in der Datei "%SYSTEMROOT% \ Security \ Logs \ winlogon.log".

Doch auch für den übrigen GPO-Anwendungsprozess können Sie die erweiterte Protokollierung aktivieren. Führen Sie dafür folgende Befehle aus:
MD "%SYSTEMROOT%\Debug\usermode"
REG ADD "HKLM\Software\Microsoft\Windows NT\CurrentVersion\ 
 Diagnostics" /v GPSvcDebugLevel /t REG_DWORD /d 0x00030002
Beim nächsten Zyklus der GPO-Anwendung wird im Ordner "usermode" die Logdatei "gpsvc.log" angelegt. Sie können die Anwendung der GPOs bei Bedarf beschleunigen, indem Sie entweder den Rechner neu starten (und den Benutzer sich neu anmelden lassen) oder den Befehl GPUPDATE /FORCE absetzen. Bedenken Sie dabei jedoch folgende Punkte:

  • Ist Ordnerumleitung im Einsatz oder sind Login-Skripte über Gruppenrichtlinien konfiguriert, wird GPUPDATE möglicherweise Popup-Fenster innerhalb der Benutzersitzungen verursachen.
  • Das protokollierte Ergebnis von GPUPDATE /FORCE kann sich von dem Verhalten im Regelbetrieb unterscheiden. Zum Beispiel wird das Anwenden von Gruppenrichtlinien über langsame Netzwerkverbindungen (und die Erkennung solcher Verbindungen) anders behandelt als beim regelmäßigen Update-Zyklus. Wenn Ihr Problem also beispielsweise genau darin liegen sollte, verfälschen Sie mit GPUPDATE /FORCE zwangsläufig das Versuchsfeld.
Die erweiterte Protokollierung verursacht pro Anwendungszyklus, also im Regelfall pro anderthalb Stunden, bis zu 1 MByte an Protokolldaten. Denken Sie unbedingt daran, nach dem erfolgreichen Troubleshooting die erweiterte Protokollierung zu deaktivieren, indem Sie den oben beschriebenen Registrierungsschlüssel und den Unterordner löschen.

Bei Problemen mit Gruppenrichtlinien, die die Ordnerumleitung betreffen, sollten Sie nach Meldungen Ausschau halten, die auf fehlende Benutzerrechte hinweisen. Es ist keine Seltenheit, dass ein übereifriger Fileserver-Administrator versucht, Zugriffsrechte auf Freigaben für die Ordnerumleitung an die unternehmensweiten Standards für Dateifreigaben anzupassen, und damit die Ordnerumleitung "entschärft".

Fazit
Wenn die Gruppenrichtlinien in Ihrer Umgebung an einer zentralen Stelle aus dem Tritt geraten, ist dies ein Anlass für sofortiges Handeln. Für Ärger sorgen können jedoch auch Störungen in der Anwendung von Gruppenrichtlinien auf einzelne Maschinen. Wenn Sie strukturiert an das Troubleshooting herangehen und sich bereits im Vorfeld mit den zur Verfügung stehenden Werkzeugen und Protokolldateien vertraut gemacht haben, kommen Sie schnell zum Ziel.

Seite 1: Funktionen und Einrichtung
Seite 2: Administration per Kommandozeile

Im ersten Teil des Workhops beschäftigen wir uns vor allem mit dem "Resultant Set of Policy" und der Arbeit mit GPRESULT.EXE.

<< Vorherige Seite Seite 2 von 2
16.03.2020/dr/ln/Evgenij Smirnov

Nachrichten

KI auf großer Fahrt [6.04.2020]

2020 sticht das "Mayflower Autonomous Ship" in See. Es ist eines der ersten unbemannten, vollwertigen und vollautonomen Schiffe, das den Atlantik überquert. Unter Verwendung von KI-, Cloud- und Edge-Technologien von IBM sollen im Rahmen des Projekts Gefahren auf See erkannt und vermieden werden. Auch Red Hat Enterprise Linux ist mit an Bord, während eine KI das Kommando hat. [mehr]

Hilfe bei fehlerhaften Windows-Updates [19.03.2020]

Mit der neuen Version 17 von O&O BlueCon können nun auch Windows-Updates von einem PC oder Server entfernt werden, wenn dieser nicht mehr startet. Das neue Werkzeug O&O UpdateRemover ist nun Bestandteil von O&O BlueCon, mit dem sich ein nicht mehr startfähiges Windows-System von USB-Stick oder auch via Netzwerk reparieren lässt. [mehr]

Tipps & Tools

Download der Woche: RegCool [8.04.2020]

Administratoren arbeiten regelmäßig mit dem Registrierungseditor, um Systemdienste und -prozesse zu verwalten. Eine Alternative zum Windows-eigenen Regedit bietet das Tool "RegCool". Das Programm liefert die komplette Funktionalität des Regedit, fügt aber viele Ergänzungen hinzu. Unter anderem lässt sich ein Backup der Registry anlegen sowie Registrierungsschlüssel suchen und ersetzen oder mit Notizen versehen. [mehr]

Jetzt erhältlich: Sonderheft Clientmanagement [6.04.2020]

Das IT-Administrator Sonderheft 2020 "Clientmanagement - Stationäre und mobile Rechner administrieren und absichern" versorgt Administratoren mit Strategien und praktischem Wissen rund um die Verwaltung der Endgeräte im Unternehmen. Wir zeigen, worauf IT-Verantwortliche bei der Beschaffung sowie der Einführung von Clientmanagementwerkzeugen achten müssen. Weiterhin betrachten wir Sicherheitskonzepte für mobile wie stationäre Clients sowie das Management der Anwendungen auf den Clients. Das Sonderheft ist ab sofort versandbereit. [mehr]

Buchbesprechung

Technik der IP-Netze

von Anatol Badach und Erwin Hoffmann

Anzeigen