Fachartikel

Seite 2 - Troubleshooting von Gruppenrichtlinien (2)

Probleme bei der GPO-Anwendung
Haben Sie festgestellt, dass korrekt gestaltete, delegierte und verknüpfte GPOs auf einem Rechner falsche Ergebnisse produzieren, bleibt Ihnen nur das lokale Troubleshooting. Den ersten Überblick erhalten Sie in den "High-Level-Protokollen", die Sie an zwei Stellen finden:

  • im Event Log unter "Anwendungs- und Dienstprotokolle \ Microsoft \ Windows \ GroupPolicy".
  • im RSoP, indem Sie im Abschnitt "Komponentenstatus" auf "Protokoll anzeigen" klicken.

Bild 4: Hier stimmen die angegebenen Benutzer und Gruppen nicht (mehr).

Betrifft das untersuchte Problem speziell Sicherheitseinstellungen, so lohnt sich auch ein Blick in das Anwendungsprotokoll, denn viele der Ereignisse werden hier unter der Quelle "SceCli" vermerkt. Ein typischer Fall sind Sicherheitskonten unter "Eingeschränkte Gruppen" oder "Zuweisen von Benutzerrechten", die entweder gelöscht wurden oder aus Domänen stammen, zu denen keine Vertrauensstellung mehr besteht.

Um hier weitere Informationen zu erhalten, navigieren Sie in der Registry zu dem Schlüssel "HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ GPExtensions \ {827D319E-6EAC-11D2-A4EA-00 C04F79F83A}" und setzen den Wert "ExtensionDebugLevel" von "0" auf "2". Das Ergebnis finden Sie anschließend in der Datei "%SYSTEMROOT% \ Security \ Logs \ winlogon.log".

Doch auch für den übrigen GPO-Anwendungsprozess können Sie die erweiterte Protokollierung aktivieren. Führen Sie dafür folgende Befehle aus:
MD "%SYSTEMROOT%\Debug\usermode"
REG ADD "HKLM\Software\Microsoft\Windows NT\CurrentVersion\ 
 Diagnostics" /v GPSvcDebugLevel /t REG_DWORD /d 0x00030002
Beim nächsten Zyklus der GPO-Anwendung wird im Ordner "usermode" die Logdatei "gpsvc.log" angelegt. Sie können die Anwendung der GPOs bei Bedarf beschleunigen, indem Sie entweder den Rechner neu starten (und den Benutzer sich neu anmelden lassen) oder den Befehl GPUPDATE /FORCE absetzen. Bedenken Sie dabei jedoch folgende Punkte:

  • Ist Ordnerumleitung im Einsatz oder sind Login-Skripte über Gruppenrichtlinien konfiguriert, wird GPUPDATE möglicherweise Popup-Fenster innerhalb der Benutzersitzungen verursachen.
  • Das protokollierte Ergebnis von GPUPDATE /FORCE kann sich von dem Verhalten im Regelbetrieb unterscheiden. Zum Beispiel wird das Anwenden von Gruppenrichtlinien über langsame Netzwerkverbindungen (und die Erkennung solcher Verbindungen) anders behandelt als beim regelmäßigen Update-Zyklus. Wenn Ihr Problem also beispielsweise genau darin liegen sollte, verfälschen Sie mit GPUPDATE /FORCE zwangsläufig das Versuchsfeld.
Die erweiterte Protokollierung verursacht pro Anwendungszyklus, also im Regelfall pro anderthalb Stunden, bis zu 1 MByte an Protokolldaten. Denken Sie unbedingt daran, nach dem erfolgreichen Troubleshooting die erweiterte Protokollierung zu deaktivieren, indem Sie den oben beschriebenen Registrierungsschlüssel und den Unterordner löschen.

Bei Problemen mit Gruppenrichtlinien, die die Ordnerumleitung betreffen, sollten Sie nach Meldungen Ausschau halten, die auf fehlende Benutzerrechte hinweisen. Es ist keine Seltenheit, dass ein übereifriger Fileserver-Administrator versucht, Zugriffsrechte auf Freigaben für die Ordnerumleitung an die unternehmensweiten Standards für Dateifreigaben anzupassen, und damit die Ordnerumleitung "entschärft".

Fazit
Wenn die Gruppenrichtlinien in Ihrer Umgebung an einer zentralen Stelle aus dem Tritt geraten, ist dies ein Anlass für sofortiges Handeln. Für Ärger sorgen können jedoch auch Störungen in der Anwendung von Gruppenrichtlinien auf einzelne Maschinen. Wenn Sie strukturiert an das Troubleshooting herangehen und sich bereits im Vorfeld mit den zur Verfügung stehenden Werkzeugen und Protokolldateien vertraut gemacht haben, kommen Sie schnell zum Ziel.

Seite 1: Funktionen und Einrichtung
Seite 2: Administration per Kommandozeile

Im ersten Teil des Workhops beschäftigen wir uns vor allem mit dem "Resultant Set of Policy" und der Arbeit mit GPRESULT.EXE.

<< Vorherige Seite Seite 2 von 2
16.03.2020/dr/ln/Evgenij Smirnov

Nachrichten

Klare Sicht in der Produktion [3.07.2020]

baramundi hat das 2020er-Release der baramundi Management Suite veröffentlicht. Der Hersteller hat sie mit der "Manufacturing Edition" um eine Variante zum Management von Endgeräten in Produktionsumgebungen erweitert. Dadurch soll sie auch die Inventarisierung industrieller Steuerungssysteme ermöglichen. [mehr]

Superrechner auf NVIDIA-Basis [2.07.2020]

Atos bringt seinen neuen BullSequana X2415 heraus, der als erster Supercomputer in Europa mit dem "NVIDIA A100 Tensor Core" die NVIDIA-Ampere-Grafikprozessorarchitektur integriert. Das Supercomputer-Blade verspricht enorme Rechenleistung zur Steigerung der Anwendungs-Performance für HPC- und KI-Workloads. [mehr]

Tipps & Tools

Cloud für den Schreibtisch [12.07.2020]

Immer mehr Unternehmen machen in Sachen IT große Schritte in Richtung Cloud. Wenn Sie auch Ihre Wertsachen wie Schlüsselbund, Smartphone und Geldbeutel auslagern wollen, kann ein schickes Gadget weiterhelfen. Die praktische Aufbewahrungsbox aus Holz kommt im Wolkendesign daher und bietet Platz für Ihre wichtigen persönlichen Gegenstände. [mehr]

Flexible Datenübertragung [5.07.2020]

Mit der steigenden Anzahl an neuen Apparaten nehmen auch die verschiedenen Schnittstellen zu. Der microSD-Kartenleser von Callstel kann hier aushelfen. Das Gadget bietet vier Anschlüsse für Lightning, Micro-USB sowie USB Typ A und C. In Kombination mit einer SD-Karte können Sie Ihre Daten ganz einfach transportieren und auf verschiedenen Geräten nutzen. [mehr]

Buchbesprechung

Microsoft Office 365

von Markus Widl

Anzeigen