Gruppenrichtlinien – Handbuch für die Problembehebung Beheben von Bereichsproblemen bei Gruppenrichtlinien

Dieser Abschnitt befasst sich mit Bereichsregeln und enthält Tipps zur Problembehandlung.

Definieren des Gruppenrichtlinienobjekt-Bereichs

Der Vorgang, mit dem festgelegt wird, welche Benutzer und Computer die Einstellungen in einem Gruppenrichtlinienobjekt erhalten sollen, wird als "Definieren des Gruppenrichtlinienobjekt-Bereichs" bezeichnet. Grundlage für diesen Vorgang sind die folgenden drei Faktoren:

• Der Standort, die Domäne oder die Organisationseinheit (OU), mit dem oder der das GPO verknüpft ist
• Die Sicherheitsfilterung des GPOs
• Die WMI-Filterung des GPOs

Bei der Definition, für welche Computer und Benutzer ein GPO gelten soll, können Sie die Standort-, Domänen- und OU-Verknüpfungen eines GPOs als primäre Zuordnungsvorgabe verwenden. Anschließend können Sie Sicherheitsfilter und die WMI-Filter heranziehen, um die Reihe der Computer und Benutzer, auf die das GPO anwendet wird, weiter einzuschränken.

Bei nicht sachgerechter Konfiguration können Sicherheitsfilter oder WMI-Filter zu unerwarteten Ergebnissen führen. In diesem Abschnitt werden Methoden zur Problembehandlung dieser Bereiche erläutert.

Wählen Sie in der folgenden Liste das Problem aus, mit dem Ihre Situation am besten beschrieben wird, und führen Sie dann die entsprechenden Schritte aus, um das Problem zu beheben:

Auf dieser Seite

Definieren des Gruppenrichtlinienobjekt-Bereichs

Richtlinieneinstellungen werden aufgrund von Sicherheitsfilterung falsch angewendet oder zurückgewiesen

Richtlinieneinstellungen werden aufgrund von WMI-Filterung falsch angewendet oder zurückgewiesen

Zum Seitenanfang

Richtlinieneinstellungen werden aufgrund von Sicherheitsfilterung falsch angewendet oder zurückgewiesen

Bei Verwendung von Sicherheitsfilterung müssen Sie ggf. die Berechtigungen des GPOs prüfen, wenn ein unerwartetes Verhalten auftritt.

Ursache

Mithilfe von Gruppenrichtlinien können Sie den Zugriff auf Programme und Daten im Netzwerk gewähren oder verweigern sowie basierend auf zugewiesenen Rechten und der Mitgliedschaft in Sicherheitsgruppen Richtlinien im Hinblick auf die Computerkonfiguration durchsetzen. Dies erfolgt mithilfe der Zugriffssteuerungsfunktionen, die in Windows 2000 Server- und Windows Server 2003-Domänen integriert sind, und wird als Sicherheitsfilterung bezeichnet.

Sie können die Anwendung aller Einstellungen in einem GPO auf der Basis von Mitgliedschaften in Sicherheitsgruppen einschränken, indem Sie einen Sicherheitsfilter für dieses GPO festlegen. Wenn das Computerkonto oder das Benutzerkonto nicht den Kriterien der Sicherheitsfilterung genügt, wird das gesamte GPO auf diesem Client zurückgewiesen. So können Sie beispielsweise spezielle Einstellungen für alle Administratoren in einem Bereich der Hierarchie zuweisen, indem Sie die Einstellung des Sicherheitsfilters so definieren, dass das GPO auf alle Administratoren angewendet wird. Anschließend verknüpfen Sie das GPO mit dem obersten Knoten in dem Bereich der Hierarchie, für den die Einstellungen gelten sollen. Auf diese Weise erhalten zwar alle Benutzer in diesem Bereich der Hierarchie das GPO, es wird jedoch nur auf Mitglieder der Gruppe der Administratoren angewendet.

Damit eine Richtlinie angewendet werden kann, muss die Sicherheitsgruppe, der Benutzer oder der Computer jeweils über die Berechtigungen "Gruppenrichtlinie lesen" und "Gruppenrichtlinie anwenden" verfügen. Standardmäßig verfügen alle Benutzer und Computer für alle neuen Gruppenrichtlinienobjekte über diese Berechtigungen. Diese Berechtigungen werden von der Mitgliedschaft in der impliziten Gruppe der authentifizierten Benutzer vererbt. Ein authentifizierter Benutzer ist ein Benutzer (oder ein Computer) der sich an der Domäne angemeldet hat und authentifiziert wurde.

Lösung

Wenn Sie die Sicherheitsgruppen anzeigen möchten, die bei der Anwendung einer Gruppenrichtlinie auf einen bestimmten Computer gültig waren, prüfen Sie den Gruppenrichtlinien-Ergebnisbericht für diesen Computer. Erweitern Sie sowohl unter Zusammenfassung der Computerkonfiguration als auch unter Zusammenfassung der Benutzerkonfiguration den Bereich Sicherheitsgruppenmitgliedschaft zurzeit der letzten Gruppenrichtlinienanwendung.

So prüfen Sie die Sicherheitsfilterung für ein GPO

1. Öffnen Sie in GPMC den Knoten Gruppenrichtlinienobjekte, wählen Sie das GPO aus, für das Sie eine Problembehandlung durchführen möchten, und wählen Sie dann im rechten Teilfenster die Registerkarte Bereich aus. In den Teilfenstern Sicherheitsfilterung und WMI-Filterung wird die aktuelle Filterkonfiguration angezeigt.
2. Wenn Sie die konkrete Sammlung an Berechtigungen für Benutzer, Gruppen und Computer anzeigen möchten, wechseln Sie auf die Registerkarte Delegierung und klicken dann auf Erweitert. Wählen Sie die Sicherheitsgruppe, den Benutzer oder den Computer aus, die oder den Sie prüfen möchten. Beachten Sie hierbei Folgendes:
   • Wenn das Richtlinienobjekt für die Sicherheitsgruppe, den Benutzer oder den Computer angewendet werden soll, müssen die minimalen Berechtigungen auf Gruppenrichtlinie lesen und Gruppenrichtlinie anwenden festgelegt sein.
   • Wenn das Richtlinienobjekt nicht für die Sicherheitsgruppe, den Benutzer oder den Computer angewendet werden soll, müssen die minimalen Berechtigungen so festgelegt sein, dass Gruppenrichtlinie lesen zugelassen und Gruppenrichtlinie anwenden verweigert wird.

Wenn ein GPO aufgrund von Sicherheitsfilterung fälschlicherweise zurückgewiesen oder angewendet wird, weil der Benutzer oder der Computer Mitglied einer anderen Sicherheitsgruppe als erwartet ist, verwenden Sie das Snap-in Active Directory-Benutzer und -Computer, um die Mitgliedschaft in Sicherheitsgruppen zu prüfen und ggf. zu ändern.

Wenn Sie die Anwendung eines GPOs einschränken möchten, sollten Sie unbedingt die Gruppe Authentifizierte Benutzer entfernen. Andernfalls wird das GPO immer auf alle Benutzer angewendet.

Computer sind Mitglieder der Gruppe der authentifizierten Benutzer. Wenn Sie die Gruppe Authentifizierte Benutzer aus der Liste auf der Registerkarte Bereich entfernen und möchten, dass das GPO auf einen Computer angewendet wird, müssen Sie speziell sicherstellen, dass der Computer zu einer Gruppe gehört, die sich im Abschnitt Sicherheitsfilterung auf der Registerkarte Bereich befindet.

Zum Seitenanfang

Richtlinieneinstellungen werden aufgrund von WMI-Filterung falsch angewendet oder zurückgewiesen

WMI-Filter haben Einfluss darauf, ob ein bestimmtes GPO verarbeitet wird. Wenn WMI einen fehlerhaften Wert zurückgibt, wird das hiermit verknüpfte GPO nicht verarbeitet.

Ursache

Wenn das GPO mit einem WMI-Filter verknüpft ist, werden die Abfragen im WMI-Filter anhand der von WMI auf dem Client bereitgestellten Daten ausgewertet. Diese Daten umfassen beispielsweise den Hardware- und Softwarebestand, Einstellungen und Konfigurationsinformationen.

• Wenn alle Kriterien als wahr ausgewertet werden, wird das GPO angewendet.
• Wenn irgendeines der Kriterien als falsch ausgewertet wird, wird das GPO zurückgewiesen.

Wird ein WMI-Filter gelöscht, werden die Verknüpfungen hierzu nicht ebenfalls automatisch gelöscht. Im Falle einer Verknüpfung zu einem nicht mehr existenten WMI-Filter wird das GPO mit dieser Verknüpfung erst dann wieder verarbeitet, wenn die Verknüpfung entfernt oder der Filter wiederhergestellt wurde.

Lösung

In GPMC werden alle WMI-Filter, die mit GPOs verknüpft sind und vom Computer verarbeitet werden, sowie die Ergebnisse der Filterung nach der Auswertung für diesen Computer (oder den Benutzer) angezeigt.

So prüfen Sie die WMI-Filter in GPMC

1. Öffnen Sie GPMC, klicken Sie auf das GPO, für das Sie eine Problembehandlung durchführen möchten, und klicken Sie dann auf die Registerkarte Bereich. Im Abschnitt WMI-Filterung wird angezeigt, ob ein WMI-Filter mit dem GPO verknüpft ist.
2. Wenn Sie den Filter bearbeiten möchten, klicken Sie auf Öffnen und dann auf Bearbeiten.

Zum Seitenanfang

| Home | Technische Artikel | Community