Gruppenrichtlinien – Handbuch für die Problembehebung Beheben von Problemen bei der Verarbeitung von Gruppenrichtlinien

In diesem Abschnitt werden die Verarbeitungsregeln für Gruppenrichtlinien erläutert und Tipps für die Problembehandlung beschrieben. Gruppenrichtlinienobjekte werden den nachstehend beschriebenen Standardverarbeitungsregeln entsprechend angewendet. Sie können für diese Regeln Ausnahmen festlegen. Diese Ausnahmen können bisweilen zu einem unerwarteten Verhalten führen, wenn sie nicht sorgfältig angewendet werden.

Auf dieser Seite

• Standardverarbeitungsregeln
• Ausnahmen der Verarbeitungsregeln
• Korrekturen für spezielle Verarbeitungsregeln

Standardverarbeitungsregeln

Dieser Abschnitt enthält Details zur Reihenfolge, in der die Gruppenrichtlinieneinstellungen für Benutzer und Computer verarbeitet werden.

Gruppenrichtlinieneinstellungen werden in der folgenden Reihenfolge verarbeitet:

1. Lokales Gruppenrichtlinienobjekt: Jeder Computer verfügt über genau ein Gruppenrichtlinienobjekt, das lokal gespeichert ist. Das lokale Gruppenrichtlinienobjekt wird bei der Verarbeitung von Gruppenrichtlinien für Computer und Benutzer verarbeitet.

2. Standort: Als Nächstes werden alle Gruppenrichtlinienobjekte verarbeitet, die mit dem Standort verknüpft sind, zu dem der Computer gehört. Die Verarbeitung erfolgt in der Reihenfolge, die vom Administrator in der Konsole Gruppenrichtlinienverwaltung (GPMC) auf der Registerkarte Verknüpfte Gruppenrichtlinienobjekte für den Standort angegeben wurde. Das Gruppenrichtlinienobjekt mit der kleinsten Verknüpfungsreihenfolge wird zuletzt verarbeitet und weist daher die höchste Priorität auf.

3. Domäne: Verarbeitung mehrerer mit der Domäne verknüpfter Gruppenrichtlinienobjekte in der Reihenfolge, die vom Administrator in GPMC auf der Registerkarte Verknüpfte Gruppenrichtlinienobjekte für die Domäne angegeben wurde. Das Gruppenrichtlinienobjekt mit der kleinsten Verknüpfungsreihenfolge wird zuletzt verarbeitet und weist daher die höchste Priorität auf.

4. Organisationseinheiten: Gruppenrichtlinienobjekte, die mit der höchsten Organisationseinheit in der Active Directory-Hierarchie verknüpft sind, werden zuerst verarbeitet. Danach werden die Gruppenrichtlinienobjekte verarbeitet, die mit der untergeordneten Organisationseinheit verknüpft sind, usw. Schließlich werden die Gruppenrichtlinienobjekte verarbeitet, die mit der Organisationseinheit verknüpft sind, die den Benutzer oder Computer enthält.

   Auf der Ebene der einzelnen Organisationseinheiten in der Active Directory-Hierarchie können eine, viele oder keine Gruppenrichtlinienobjekte verknüpft sein. Wenn mehrere Gruppenrichtlinienobjekte mit einer Organisationseinheit verknüpft sind, erfolgt deren Verarbeitung in der Reihenfolge, die vom Administrator in GPMC auf der Registerkarte Verknüpfte Gruppenrichtlinienobjekte für die Organisationseinheit angegeben wurde. Das Gruppenrichtlinienobjekt mit der kleinsten Verknüpfungsreihenfolge wird zuletzt verarbeitet und weist daher die höchste Priorität auf.

Diese Reihenfolge bedeutet, dass das lokale Gruppenrichtlinienobjekt zuerst, und die Gruppenrichtlinienobjekte, die mit der Organisationseinheit verknüpft sind, in denen der Computer bzw. Benutzer direktes Mitglied ist, zuletzt verarbeitet werden, sodass bei Konflikten die Einstellungen der früheren Gruppenrichtlinienobjekte überschrieben werden. (Wenn keine Konflikte vorhanden sind, werden die früheren und späteren Einstellungen lediglich aggregiert.)

Ausnahmen der Verarbeitungsregeln

Die Standardreihenfolge für die Verarbeitung von Einstellungen unterliegt den folgenden Ausnahmen:

• Eine Gruppenrichtlinienobjekt-Verknüpfung kann erzwungen und/oder deaktiviert werden. Standardmäßig ist keine Gruppenrichtlinienobjekt-Verknüpfung erzwungen oder deaktiviert. Informationen zur Problembehandlung finden Sie in Gruppenrichtlinienobjekt stellt unerwarteten Wert bereit.
• In einem Gruppenrichtlinienobjekt können die Benutzereinstellungen, die Computereinstellungen oder alle Einstellungen deaktiviert sein. Standardmäßig sind in einem Gruppenrichtlinienobjekt weder die Benutzereinstellungen noch die Computereinstellungen deaktiviert.
• Für eine Organisationseinheit oder Domäne kann Vererbung deaktivieren aktiviert sein. Standardmäßig ist Vererbung deaktivieren nicht aktiviert. Informationen zur Problembehandlung finden Sie in Gruppenrichtlinienobjekt stellt unerwarteten Wert bereit.
• Ein Computer, der Mitglied einer Arbeitsgruppe ist, verarbeitet lediglich das lokale Gruppenrichtlinienobjekt.
• Möglicherweise ist Loopback aktiviert. Informationen zur Problembehandlung finden Sie in Loopbackverarbeitung funktioniert nicht.
• Für Gruppenrichtlinienobjekte gelten u. U Sicherheitsfilter oder WMI-Filter, um den Anwendungsbereich einzuschränken. Weitere Informationen finden Sie in Beheben von Gültigkeitsbereichsproblemen bei Gruppenrichtlinien.

Korrekturen für spezielle Verarbeitungsregeln

Wählen Sie in der folgenden Liste das Problem aus, das Ihre Situation am besten beschreibt, und führen Sie dann die entsprechenden Schritte aus, um das Problem zu beheben:

Auf dieser Seite

Richtlinieneinstellung wird nicht unterstützt

GPO übergibt unerwarteten Wert

Gruppenrichtlinie wird nicht aktualisiert

Richtlinieneinstellungen für Softwareinstallation, Skripts oder Ordnerumleitung werden nicht übernommen

Gruppenrichtlinie wird aufgrund von zwischengespeicherten Anmeldeinformationen nicht übernommen

Vom Computer benötigte Ressourcen sind nicht verfügbar

Loopbackverarbeitung funktioniert nicht: Gruppenrichtlinie

Zum Seitenanfang

Richtlinieneinstellung wird nicht unterstützt

Wenn Sie versuchen, eine Richtlinieneinstellung auf einen Computer unter einem früheren Betriebssystem oder Service Pack anzuwenden, wird die Richtlinieneinstellung u. U. nicht übernommen.

Ursache

Für Windows XP, Windows XP mit Service Pack 2 (SP2) und Windows Server 2003 wurden viele Gruppenrichtlinieneinstellungen eingeführt, die von früheren Betriebssystemen nicht unterstützt werden. Wenn eine Einstellung nicht unterstützt wird, setzt die Gruppenrichtlinie den Registrierungsschlüssel zwar auf den angegebenen Wert. Dieser wird jedoch ignoriert, weil keine Anwendung oder Komponente den betreffenden Registrierungsschlüssel liest. Computer unter Windows-Betriebssystemen vor Windows 2000 unterstützen keine Gruppenrichtlinien.

Lösung

Überprüfen Sie, ob die Einstellung vom Betriebssystem des Clients unterstützt wird. Der Gruppenrichtlinienobjekt-Editor zeigt die Betriebssysteme an, auf denen die jeweilige Richtlinieneinstellung unterstützt wird. Weitere Informationen zu Richtlinieneinstellungen finden Sie in Group Policy Settings Reference for Windows Server 2003 with Service Pack 1 (englischsprachig) auf der Microsoft-Website (https://go.microsoft.com/fwlink/?linkid=15165).

Zum Seitenanfang

GPO übergibt unerwarteten Wert

In diesem Artikel werden allgemeine Gründe für die Übergabe von unerwarteten GPO-Werten aufgrund von Problemen mit der Vorrangstellung von GPOs, der Vererbung und dem zugehörigen Verwaltungsbereich erläutert.

Ursachen

• Die Konfliktlösung bezieht sich auf einzelne Einstellungen und nicht auf gesamte GPOs. Es kann durchaus vorkommen, dass eine Einstellung in einem GPO zu einem Konflikt führt, alle anderen Einstellungen in diesem GPO jedoch angewendet werden.
• Das GPO mit der niedrigsten Verknüpfungsnummer hat Vorrang vor anderen GPOs, mit denen der gleiche Standort, die gleiche Domäne oder OU verknüpft ist. Die Reihenfolge der Verknüpfungen mit einem bestimmten Standort, einer bestimmten Domäne oder OU kann in GPMC (Gruppenrichtlinien-Verwaltungskonsole) geändert werden. (Diese Verknüpfungen sind eine Eigenschaft des Standortes, der Domäne oder der OU; sie sind keine Eigenschaft des GPOs.)
• Wenn eine Gruppenrichtlinienverknüpfung deaktiviert wird, wird das GPO nicht auf die Benutzer oder Computer in dem Container angewendet, mit dem das GPO verknüpft ist.
• Die Einstellung Erzwingen ist eine Eigenschaft der Verknüpfung zwischen einem Active Directory-Container und einem GPO. Sie wird verwendet, um durchzusetzen, dass das GPO auf alle Active Directory-Objekte in einem Container angewendet wird, ungeachtet, wie tief diese verschachtelt sind. Die Einstellungen in einem zwangsweise durchgesetzten GPO setzen andere Einstellungen außer Kraft, die ansonsten Vorrang gehabt hätten, da diese erst später angewendet werden. Wenn GPOs Konflikte verursachende Einstellungen enthalten, die auf zwei Ebenen der Hierarchie durchgesetzt werden, hat die Einstellungen Vorrang, die am weitesten vom Client entfernt durchgesetzt wird. Dies bedeutet eine Umkehr der normalen Regel, die besagt, dass die Einstellung des GPOs mit der am nächsten liegenden Verknüpfung Vorrang hat.

Die eigentliche Wirkungsweise von Erzwingen besteht in einer Änderung der Verarbeitungsreihenfolge. Die Einstellungen in einem erzwungenen GPO werden verarbeitet, wenn alle anderen GPO-Einstellungen bereits verarbeitet wurden.

• Die Einstellung Vererbung deaktivieren bezieht sich auf einen gesamten Active Directory-Container. Hiermit wird die Vererbung aller GPOs mit Ausnahme derer deaktiviert, für deren Verknüpfung vom übergeordneten Active Directory-Objekt zum GPO die Einstellung Erzwingen aktiviert ist.
• Administratoren, die für eine Domäne oder eine OU die Einstellung Vererbung deaktivieren festgelegt haben, können dennoch explizite Verknüpfungen zu GPOs an anderer Stelle in der Domäne herstellen, einschließlich zu GPOs, die andernfalls vererbt würden. (Domänen erben keine GPOs von übergeordneten Domänen.) Wenn Vererbung deaktivieren auf Domänenebene angewendet wird, werden GPOs deaktiviert, die mit Standorten verknüpft sind.

Lösungen

Gehen Sie wie folgt vor, um dieses Problem zu lösen.

So ändern Sie die Rangfolge von GPOs

1. Öffnen Sie GPMC, und klicken Sie auf einen beliebigen Standort-, Domänen oder OU-Knoten.
2. Klicken Sie auf die Registerkarte Gruppenrichtlinienvererbung, und prüfen Sie die Rangfolge der GPOs. Innerhalb jeder Domäne, jedem Standort und jeder Organisationseinheit steuert die Reihenfolge der Verknüpfungen, wann Verknüpfungen angewendet werden.
3. Zum Ändern der Rangfolge einer Verknüpfung können Sie die Reihenfolge der Verknüpfungen ändern, indem Sie die jeweilige Verknüpfung in der Liste nach oben oder unten an die gewünschte Position verschieben. Die Verknüpfung mit der höheren Position (wobei 1 die höchste Position ist) hat für einen gegebenen Standort, eine gegebene Domäne oder OU jeweils Vorrang vor Verknüpfungen mit niedrigeren Positionen. Wenn Sie beispielsweise sechs GPO-Verknüpfungen hinzugefügt haben und zu einem späteren Zeitpunkt entscheiden, dass die zuletzt hinzugefügte Verknüpfung Vorrang haben soll, können Sie diese GPO-Verknüpfung an den Anfang der Liste verschieben.

So prüfen Sie GPO-Verknüpfungen

1. Wählen Sie in GPMC das GPO aus, für das Sie eine Problembehandlung durchführen möchten, und klicken Sie dann auf die Registerkarte Bereich. Nun werden die mit dem GPO verknüpften Container und wird der Status dieser Verknüpfungen angezeigt.
2. Klicken Sie zum Ändern des Status einer Verknüpfung auf die Registerkarte Details, und wählen Sie dann unter GPO-Status eine Option aus. Sie können alle Einstellungen aktivieren und nur die Computereinstellungen oder nur die Benutzereinstellungen deaktivieren.

Zum Seitenanfang

Gruppenrichtlinie wird nicht aktualisiert

In diesem Thema wird erläutert, welche Auswirkungen die Aktualisierungsregeln für Gruppenrichtlinien auf die Verarbeitung haben und wie Aktualisierungsinformationen unter Verwendung der Gruppenrichtlinien-Verwaltungskonsole erfasst werden.

Ursache

Die Aktualisierung von Gruppenrichtlinien bezieht sich auf den Abruf von GPOs seitens eines Clients. Während der Aktualisierung von Gruppenrichtlinien stellt der Client die Verbindung zu einem verfügbaren Domänencontroller her. Wenn sich irgendwelche GPOs geändert haben, stellt der Domänencontroller eine Liste alle zutreffenden GPOs bereit, ungeachtet, ob sich deren Versionsnummer auch tatsächlich geändert hat.

Replikation und Gruppenrichtlinienaktualisierung sind gleichermaßen von der Verzögerungsproblematik betroffen: das System arbeitet ordnungsgemäß, aber die Änderungen sind noch nicht auf dem Client eingetroffen.

Standardmäßig werden GPOs von den clientseitigen Erweiterungen (CSEs) auf dem Computer nur dann verarbeitet, wenn sich die Versionsnummer von mindestens einem GPO auf dem Domänencontroller geändert hat, auf den der Computer zugreift. Dieses Verhalten kann mithilfe von Gruppenrichtlinien geändert werden.

Einige CSEs verarbeiten ungeänderte GPOs, wenn sich die Gruppenmitgliedschaft des Benutzers geändert hat. Beim Start des Computers wird die Gruppenrichtlinie aktualisiert, und es werden die Computereinstellungen angewendet. In folgenden Fällen wird die Gruppenrichtlinie aktualisiert und werden die Computer- und Benutzereinstellungen angewendet:

• Wenn sich ein Benutzer anmeldet
• Wenn auf dem Clientcomputer gpudate ausgeführt wird
• Im Zuge des Aktualisierungsintervalls, sofern ein solches auf dem Computer konfiguriert ist (standardmäßig werden Domänencontroller alle fünf Minuten und alle anderen Computer alle 90 Minuten aktualisiert, wobei ein Zufallsfaktor von bis zu plus oder minus 30 Minuten zum Tragen kommt)

Lösung

Wenn Sie wissen möchten, wann die GPOs der OU des Computers zum letzten Mal verarbeitet wurden, klicken Sie im Gruppenrichtlinien-Ergebnisbericht unter Zusammenfassung der Computerkonfiguration unter Allgemein auf die Registerkarte Zusammenfassung.

Wenn Sie wissen möchten, wann die GPOs der OU des Benutzers zum letzten Mal verarbeitet wurden, klicken Sie im Gruppenrichtlinien-Ergebnisbericht unter Zusammenfassung der Benutzerkonfiguration unter Allgemein auf die Registerkarte Zusammenfassung.

Verwenden Sie zum Erfassen der Gruppenrichtlinien-Aktualisierungsinformationen von Clients und zum Speichern dieser Daten an einer zentralen Position das Tool GPMonitor.exe. Weitere Informationen hierüber sowie eine Möglichkeit zum Downloaden von GPMonitor.exe finden Sie unter Windows Server 2003 Resource Kit Tools (englischsprachig) auf der Microsoft-Website (https://go.microsoft.com/fwlink/?linkid=27766).

Wird auf dem Computer Windows XP ausgeführt und erreichen diese Einstellungen den Computer zum ersten Mal bei der Anmeldung, werden sie ggf. erst bei der nächsten Anmeldung des Benutzers angewendet. Bei einigen Erweiterungen sind möglicherweise sogar zwei oder drei Anmeldungen erforderlich, damit die Einstellungen angewendet werden.

Eine einfache Möglichkeit zur Behandlung von vermuteten Problemen mit der Aktualisierung von Gruppenrichtlinien besteht darin, die Aktualisierung durch Ausführen von gpupdate zu erzwingen und den Computer entweder neu zu starten oder sich abzumelden und wieder anzumelden. Wenn es sich um Probleme mit der Ordnerumleitung, mit servergespeicherten Profilen oder der Softwareinstallation handelt und auf dem Computer Windows XP ausgeführt wird, führen Sie gpudate aus und melden sich dann ab und wieder an. Dieser Ab- und Anmeldevorgang muss ggf. mehr als einmal durchgeführt werden.

Zum Seitenanfang

Richtlinieneinstellungen für Softwareinstallation, Skripts oder Ordnerumleitung werden nicht übernommen

Gruppenrichtlinien können beim Start und bei der Anmeldung (synchrone Verarbeitung) oder als Hintergrundtask nach Start und Anmeldung (asynchrone Verarbeitung) angewendet werden. Änderungen, die bei den periodischen Gruppenrichtlinienaktualisierungen oder durch den Befehl gpupdate erhalten werden, werden asynchron verarbeitet. Auf Computern unter Windows XP werden Gruppenrichtlinieneinstellungen, die bei der Anmeldung empfangen werden, standardmäßig ebenfalls asynchron verarbeitet, damit die Anmeldung schneller durchgeführt wird. Dies wird auch "Schnellstart"-Protokollierung genannt.

Ursache

Softwareinstallation und Skriptverarbeitung muss beim Start oder bei der Anmeldung angewendet werden. Die Ordnerumleitung für den Benutzer muss bei der Anmeldung angewendet werden. Bei Windows XP wird ein Benutzer standardmäßig asynchron angemeldet ("Schnellstart"). Die Gruppenrichtlinien werden nach der Anmeldung des Benutzers im Hintergrund angewendet. Wenn eine neue Gruppenrichtlinienobjekt-Einstellung für Softwareinstallation, Skripts oder Ordnerumleitung auf einem Computer unter Windows XP empfangen wird, ist der Benutzer bereits angemeldet, bevor die Gruppenrichtlinie ausgewertet wurde. Es ist daher zu spät, die Softwareinstallationseinstellung zu übernehmen. In diesem Fall wird ein Flag gesetzt, damit die Gruppenrichtlinie beim nächsten Neustart des Computers bzw. der nächsten Anmeldung des Benutzers vor dem Abschluss von Start und Anmeldung ausgewertet und angewendet wird.

Lösung

Verwenden Sie in Situationen, in denen Benutzer mit einer einzigen Anmeldung Software erhalten, eine Ordnerumleitung implementieren oder neue Skripts ausführen müssen, ein Gruppenrichtlinienobjekt mit der Einstellung Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten. Diese Einstellung befindet sich im Gruppenrichtlinienobjekt-Editor unter Computerkonfiguration\Administrative Vorlagen\System\Anmeldung. Damit diese Einstellung wirksam wird, müssen die Gruppenrichtlinien aktualisiert oder der Computer neu gestartet werden. Um in einer gemischten Desktopumgebung Einheitlichkeit zu gewährleisten, sollten Sie diese Einstellung für alle Windows XP-Computer aktivieren.

Zum Seitenanfang

Gruppenrichtlinie wird aufgrund von zwischengespeicherten Anmeldeinformationen nicht übernommen

Dieses Thema erläutert, wie zwischengespeicherte Anmeldeinformationen verhindern können, dass Gruppenrichtlinien einwandfrei übernommen werden.

Ursache

Wenn sich ein Benutzer erfolgreich am Netzwerk anmeldet, können die Anmeldeinformationen dieses Benutzers auf dem lokalen Computer zwischengespeichert werden. Wenn Netzwerkverbindungsprobleme eine Authentifizierung des Benutzers bei der nächsten Anmeldung des Benutzers am gleichen Computer verhindern, können diese zwischengespeicherten Anmeldeinformationen verwendet werden, um dem Benutzer Zugriff auf die Ressourcen dieses Computers zu ermöglichen. Wenn der Computer später erfolgreich eine Verbindung zum Netzwerk herstellt, können die zwischengespeicherten Anmeldeinformationen für den Zugriff auf Netzwerkressourcen verwendet werden, wie z. B. Gruppenrichtlinienobjekte, die bei der nächsten Gruppenrichtlinienaktualisierung empfangen werden.

Wenn bei der Anmeldung des Benutzers kein Domänencontroller verfügbar ist, kann die Gruppenrichtlinie bei der Anmeldung nicht aktualisiert werden. In diesem Fall werden die neuen Gruppenrichtlinien erst übernommen, wenn eine Gruppenrichtlinienaktualisierung stattfindet und ein Domänencontroller verfügbar ist.

Erfolgt die Anmeldung mit zwischengespeicherten Anmeldeinformationen und wird dann eine RAS-Verbindung hergestellt, wird die Gruppenrichtlinie bei der Anmeldung nicht übernommen. Wenn sich beispielsweise Benutzer, die über eine VPN-Verbindung verbunden werden, mit zwischengespeicherten Anmeldeinformationen anmelden, werden die Einstellungen für die Ordnerumleitung nicht verarbeitet, weil die Richtlinie für die Ordnerumleitung nur bei der Benutzeranmeldung und nicht bei einer Aktualisierung im Hintergrund verarbeitet werden kann.

Lösung

Um die Verwendung von zwischengespeicherten Anmeldeinformationen in einer RAS-Verbindung zu vermeiden, müssen die Benutzer das Kontrollkästchen Über das DFÜ-Netzwerk anmelden im Anmeldedialogfeld von Windows aktivieren. In diesem Fall werden die Benutzer- und Computergruppenrichtlinien übernommen, sofern der Computer ein Mitglied der Domäne ist, zu der der RAS-Server gehört bzw. der der Server vertraut. Computerbasierende Softwareinstallationseinstellungen werden jedoch nicht verarbeitet, weil die Computerrichtlinie normalerweise vor dem Anmeldebildschirm verarbeitet wird. Da jedoch bis zur Anmeldung keine Netzwerkverbindung verfügbar ist, erfolgt die Übernahme der Computerrichtlinie als Hintergrundaktualisierung bei der Anmeldung.

Zum Seitenanfang

Vom Computer benötigte Ressourcen sind nicht verfügbar

Dieser Fehler wist darauf hin, dass die Arbeitsspeicherreservierung fehlgeschlagen ist oder eine andere benötigte Computerressource nicht verfügbar ist. Die Gruppenrichtlinienverarbeitung für den Computer oder Benutzer ist fehlgeschlagen. Dies ist auch weiterhin der Fall, solange dieser Fehler nicht behoben wurde.

Ursache

Dieser Fehler wird normalerweise durch zu wenig Arbeitsspeicher oder zu wenig Festplattenspeicherplatz des Computers zum Zeitpunkt der Verarbeitung der Gruppenrichtlinie verursacht.

Die folgenden Ereignisnummern lösen diesen Fehler aus:

• 1002
• 1035
• 1063
• 1075
• 1078
• 1081
• 1082
• 1094
• 1107

Lösung

Führen Sie zur Behandlung dieses Problems einen oder alle der folgenden Schritte durch:

• Überprüfen Sie die Ereignisbeschreibung, um weitere Details zu erhalten.
• Stellen Sie sicher, dass genügend Arbeitsspeicher auf dem Computer verfügbar ist. Wenn der Computer über zu wenig Arbeitsspeicher verfügt, führen Sie die entsprechenden Schritte aus, um die erforderlichen Ressourcen freizugeben.
• Stellen Sie sicher, dass genügend Festplattenspeicherplatz auf dem Computer verfügbar ist. Wenn der Computer über zu wenig Festplattenspeicherplatz verfügt, führen Sie die entsprechenden Schritte aus, um die erforderlichen Ressourcen freizugeben.

Zum Seitenanfang

Loopbackverarbeitung funktioniert nicht: Gruppenrichtlinie

In diesem Artikel wird erläutert, wie die Loopbackverarbeitung die Art und Weise beeinflusst, wie GPOs normalerweise angewendet werden, und es werden Tipps zur Problembehandlung gegeben.

Loopbackverarbeitung

Beim Loopback handelt es sich um eine erweiterte Gruppenrichtlinieneinstellung, die sich in Computerverwaltungsszenarien in abgeschlossenen Umgebungen (wie Serverfarmen, Kiosks, Labore, Schulungsräume und Empfangsbereiche) als nützlich erweist. Loopback funktioniert nur, wenn sich sowohl das Benutzerkonto als auch das Computerkonto in einer Domäne unter Windows 2000 oder höher befindet. Loopback funktioniert nicht bei Computern, die einer Arbeitsgruppe angehören. Die Aktivierung von Loopback bewirkt, dass die Benutzerkonfigurationseinstellungen in GPOs, die für diesen Computer gelten, für jeden Benutzer angewendet werden, der sich an dem Computer anmeldet, und zwar anstelle von (im Ersetzungsmodus) oder zusätzlich zu (im Zusammenführungsmodus) den Benutzerkonfigurationseinstellungen des jeweiligen Benutzers. Auf diese Weise kann sichergestellt werden, dass bei jedem Benutzer, der sich an einem speziellen Computer anmeldet, ungeachtet von dessen Position in Active Directory eine konsistente Sammlung von Richtlinien angewendet wird. Die Loopbackfunktion wird über die Einstellung Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie gesteuert, die im Gruppenrichtlinienobjekt-Editor (GPMC) unter Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie zu finden ist.

Standardmäßig stammen die Richtlinieneinstellungen eines Benutzers aus einer Sammlung von GPOs, die in Active Directory auf das Benutzerobjekt angewendet werden. Im Verlauf der Verarbeitung der Gruppenrichtlinie auf dem Client stellt das Gruppenrichtlinienmodul eine sortierte Liste von GPOs des Standorts, der Domäne und aller Organisationseinheiten für dieses Benutzerobjekt zusammen.

Die Loopbackfunktion kann auf Nicht konfiguriert, Aktiviert oder Deaktiviert festgelegt werden. Im Status Aktiviert kann für Loopback Zusammenführen oder Ersetzen festgelegt werden. In jedem Fall erhält der Benutzer nur die benutzerbezogenen Richtlinieneinstellungen.

• Loopback mit Ersetzen – Im Falle eines Loopbacks mit Ersetzen wird die Gruppenrichtlinienobjekt-Liste für den Benutzer komplett durch die Gruppenrichtlinienobjekt-Liste ersetzt, die für den Computer bereits beim Start abgerufen wird. Die Benutzerkonfigurationseinstellungen aus dieser Liste werden auf den Benutzer angewendet.
• Loopback mit Zusammenführen – Im Falle eines Loopbacks mit Zusammenführen handelt es sich bei der Gruppenrichtlinienobjekt-Liste um eine Verkettung. Die Standardliste der GPOs für das Benutzerobjekt wird wie im Normalfall abgerufen, anschließend wird jedoch die Liste der GPOs für den Computer (beim Start abgerufen) an diese Liste angehängt. Da die GPOs des Computers nach den GPOs des Benutzers verarbeitet werden, haben diese Vorrang, sofern sich zwischen beliebigen Einstellungen Konflikte ergeben.

Wenn Sie wissen möchten, ob die Loopbackverarbeitung bei der Auswertung der Gruppenrichtlinien auf dem Client angewendet wurde, prüfen Sie den Gruppenrichtlinien-Ergebnisbericht, der unter Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie auf der Registerkarte Einstellungen zu finden ist.

Problembehandlung bei der Loopbackverarbeitung

• Wenn die Loopbackverarbeitung bei einem Client verwendet werden soll, müssen Sie ggf. den Benutzern mitteilen, was sie in diesem Fall zu erwarten haben.
• Wenn die Loopbackverarbeitung gewünscht wird, jedoch nicht angewendet wird, prüfen Sie zunächst, ob die Loopback-Richtlinieneinstellung (eine Computerkonfigurationseinstellungen) über das geeignete GPO auf den Computer angewendet wurde.
• Detaillierte Informationen über die Problembehandlung der Loopbackfunktion im Modus "Ersetzen" in gesamtstrukturübergreifenden Umgebungen finden Sie unter Loopback im Modus "Ersetzen" funktioniert in der gesamtstrukturübergreifenden Umgebung nicht.

Loopbackersetzung funktioniert in gesamtstrukturübergreifender Umgebung nicht

Der Loopbackersetzungsmodus für Gruppenrichtlinien ermöglicht es, einem Benutzer anstelle der Benutzer-Gruppenrichtlinienobjekte, an die das Benutzerkonto normalerweise gebunden ist, die Verwendung bestimmter Benutzer-Gruppenrichtlinienobjekte vorzuschreiben. Dies ist in Terminalserverumgebungen nützlich, weil dadurch die Integrität der Terminalserver garantiert wird. Dies ist auch in einer öffentlichen Computerumgebung nützlich, wie z. B. einem Kiosk oder einer Bibliothek, in der sich viele verschiedene Personen an den Computern anmelden.

Gesamtstrukturübergreifende Vertrauensstellungen wurden in Windows Server 2003 eingeführt. Mit gesamtstrukturübergreifenden Vertrauensstellungen können Sie zwei Stammdomänen verbinden, sodass beide Domänen auf die jeweils andere Domäne zugreifen können. Darüber hinaus wird jeder neuen Domäne, die unter einer der beiden Stammdomänen erstellt wird, automatisch der gleiche Zugriff gewährt wie der übergeordneten Stammdomäne. Auf diese Weise können verschiedene Gesamtstrukturen miteinander kommunizieren, und Benutzer können sich einfach an Computern in einer der beiden Gesamtstrukturen anmelden.

Die Behandlung von Problemen bei der Loopbackersetzung in einer gesamtstrukturübergreifenden Umgebung kann aufgrund der vielen Einflussfaktoren schwierig sein. Selbst dann, wenn die Gruppenrichtlinien einwandfrei eingerichtet sind, kann es weiterhin problematisch sein, die Funktion der Loopbackersetzung in einer gesamtstrukturübergreifenden Umgebung zu gewährleisten.

Ereigniskennungen

Die folgenden Ereigniskennungen sind für diesen Abschnitt von Bedeutung:

Ursache

Um zu verstehen, wie die Loopbackersetzung funktioniert, müssen Sie die Verarbeitungsreihenfolge von Gruppenrichtlinienobjekten kennen. Wenn ein Computer eingeschaltet wird, übernimmt der Computer die Computer-Gruppenrichtlinienobjekte vom Standort, von der Domänen und allen verschachtelten zutreffenden Organisationseinheiten. Wenn sich der Benutzer am Computer anmeldet, werden die Benutzer-Gruppenrichtlinienobjekte in der gleichen Reihenfolge abgewendet. Bei der Loopbackersetzung wird die Verarbeitung der Gruppenrichtlinien durch den Computer geändert. Anstatt die Benutzer-Gruppenrichtlinienobjekte wie üblich zu verarbeiten, werden stattdessen die angegebenen Gruppenrichtlinienobjekte verwendet, unabhängig davon, von welcher Domäne sie kommen oder welche Gruppenrichtlinienobjekte normalerweise angewendet werden.

Mehrere Ursachen können dazu führen, dass die Loopbackersetzung nicht funktioniert. Aufgrund der Komplexität von gesamtstrukturübergreifenden Umgebungen steigt die Anzahl möglicher Probleme, wenn die beiden Technologien zusammen verwendet werden. Als Ursachen für Fehler bei der Loopbackersetzung kommen in Frage: fehlerhafte Loopbackeinrichtung, die Organisationseinheiten verfügen nicht über die erforderliche Benutzergruppenrichtlinie, auf die für das Loopback verwiesen wird, oder RPC wird auf dem Domänencontroller des Computers nicht ausgeführt.

Wenn die Loopbackersetzung in einer gesamtstrukturweiten Umgebung verwendet wird, kann es einige zusätzliche Probleme geben, die hauptsächlich mit Netzwerkzustand und –verbindungen zusammenhängen. Es muss sichergestellt sein, dass die Domänen miteinander kommunizieren können und weiterhin über eine zweiseitige Vertrauensbeziehung verfügen. Firewalls zwischen den beiden Domänen können ebenfalls Probleme verursachen, die den Zugriff von dem Computer, an dem sich der Benutzer anmelden möchte, und dem Domänencontroller blockieren, zu dem der Benutzer gehört.

Lösung

Überprüfen Sie, ob der Loopbackersetzungsmodus in den Gruppenrichtlinien korrekt eingerichtet wurde. Erstellen Sie zum Aktivieren des Loopbackersetzungsmodus ein Gruppenrichtlinienobjekt, das mit der soeben erstellten Serverorganisationseinheit verknüpft ist. Klicken Sie unter Benutzerkonfiguration auf Administrative Vorlagen, auf System und dann auf Gruppenrichtlinie. Doppelklicken Sie anschließend auf die Richtlinieneinstellung Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie. Aktivieren Sie die Richtlinie, indem Sie auf Aktiviert klicken. Klicken Sie nach dem Aktivieren der Einstellung auf Modus, Ersetzen und dann auf OK.

Wenn das Problem dadurch nicht behoben wird, untrersuchen Sie die Netzwerkverbindung zwischen dem Zielcomputer und dem Domänencontroller in der Gesamtstruktur, aus der der Benutzer stammt. Damit der Computer den Domänencontroller des Computers und für den Benutzer erreichen kann, muss RPC ausgeführt werden. Führen Sie die Befehle rpings.exe und rpingc.exe aus, um den Zustand von RPC im Netzwerk zu ermitteln. Sie können auch versuchen, einen Netzwerktrace vom Zielcomputer zum Domänencontroller des Benutzers zu erstellen. Erstellen Sie nach Möglichkeit gleichzeitig einen Netzwerktrace vom Domänencontroller zum Zielcomputer, damit Sie die Position von Netzwerkproblemen feststellen können. Anhand eines Netzwerktrace können Sie auch feststellen, ob eine Firewall dieses Problem verursacht.

Unterstützte Betriebssysteme

Gesamtstrukturübergreifende Vertrauensstellungen und Loopbackersetzung stehen nicht auf allen aktuellen Microsoft-Betriebssystemen zur Verfügung. Ermitteln Sie anhand der folgenden Tabelle, ob diese Konfiguration im Netzwerk verwendet werden kann.

Zum Seitenanfang

| Home | Technische Artikel | Community