Gruppenrichtlinien – Handbuch für die Problembehebung Beheben von strukturellen Problemen bei Gruppenrichtlinien

  • Artikel

In diesem Beitrag

Unterkaptitel "Problembehebung"

Dieser Artikel befasst sich mit Verknüpfungsregeln und enthält Tipps zur Problembehandlung.

Active Directory und Gruppenrichtlinien

In Active Directory werden Objekte nach Standorten, Domänen und OUs organisiert. Domänen und OUs sind hierarchisch organisiert, sodass die hierin enthaltenen Container und Objekte einfach verwaltet werden können. Die in einem GPO definierten Einstellungen können nur angewendet werden, wenn das GPO mit einem oder mehreren dieser Container verknüpft ist.

Mit der Verknüpfung von GPOs mit Standorten, Domänen und OUs können Gruppenrichtlinieneinstellungen für so einen weit oder eng gefassten Teil der Organisation implementiert werden, wie dies gewünscht wird. GPO-Verknüpfungen haben folgenden Einfluss auf Benutzer und Computer:

  • Ein mit einem Standort verknüpftes GPO gilt für alle Benutzer und Computer eines Standortes.
  • Ein mit einer Domäne verknüpftes GPO gilt direkt für alle Benutzer und Computer in der Domäne und per Vererbung für alle Benutzer und Computer in untergeordneten OUs. Richtlinien werden nicht domänenübergreifend vererbt.
  • Ein mit einer OU verknüpftes GPO gilt direkt für alle Benutzer und Computer in der OU und per Vererbung für alle Benutzer und Computer in untergeordneten OUs.
  • Wenn ein GPO erstellt wird, wird es in der Domäne gespeichert. Wird ein GPO mit einem Active Directory-Container wie einer OU verknüpft, handelt es sich bei dieser Verknüpfung um eine Komponente dieses Containers und nicht um eine Komponente des GPOs.

Problembehandlung für spezielle strukturelle Probleme

Wählen Sie in der folgenden Liste das Problem aus, mit dem Ihre Situation am besten beschrieben wird, und führen Sie dann die entsprechenden Schritte aus, um das Problem zu beheben:

Auf dieser Seite

Dn308947.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Active Directory und Gruppenrichtlinien

Dn308947.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Das GPO wird nicht auf einen bestimmten Benutzer oder Computer angewendet

Dn308947.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Wichtige Dateien auf Domänencontrollern oder Clientcomputern fehlen oder sind beschädigt

Dn308947.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Vertrauensstellungen funktionieren nicht

Dn308947.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Nach der Migration wird die Gruppenrichtlinie nicht angewendet

Dn308947.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Das GPO wird nicht auf einen bestimmten Benutzer oder Computer angewendet

In diesem Thema wird erläutert, wie wichtig die geeigneten Mitgliedschaften in Organisationseinheiten und eine ordnungsgemäße Verknüpfung von GPOs für Gruppenrichtlinien sind, und es wird gezeigt, wie solche Probleme mithilfe von GPMC und anderen Tools geprüft werden können.

Ursache

GPOs werden nur dann auf einen Client angewendet, wenn sie mit einem Standort, einer Domäne oder einer OU verknüpft sind, dem oder der der Computer oder der Benutzer an diesem Computer angehört.

Für die Problembehandlung sind fundierte Kenntnisse der jeweiligen Active Directory-Struktur eines Unternehmens und der für Gruppenrichtlinien geltenden Vererbungs- und Filterregel unabdingbar. Anhand dieser Informationen und mithilfe der RSoP-Funktion (Richtlinienergebnissatz) von Windows Server 2003 und Windows XP können Sie die Active Directory-Struktur und die Gruppenrichtlinienverknüpfungen und -filter manipulieren, um zielgruppengerechte Einstellungen für die Benutzer und Computer in der Organisation bereitzustellen. Die gleichen Informationen werden benötigt, um die Probleme zu beheben, die sich in Fällen ergeben, in denen diese Manipulationen zu unerwarteten Ergebnissen führen.

Lösung

Prüfen Sie in Active Directory-Benutzer und -Computer, welchem Standort, welcher Domäne und welcher OU der Benutzer und der Computer angehören.

Erweitern Sie in GPMC die Active Directory-Container, die den betroffenen Client enthalten. Durchsuchen Sie im Navigationsteilfenster die Liste der GPOs für jeden Container auf deaktivierte Verknüpfungen.

GPOs werden entsprechend den Active Directory-Gruppen gefiltert, denen die Benutzer und Computer angehören. Die Active Directory-Objekte, in die Sie die Active Directory-Gruppen setzen, und die Art und Weise, wie Sie Benutzer oder Computer gruppieren, haben Einfluss darauf, wie GPOs verteilt und angewendet werden können.

Replikationsverzögerungen in Active Directory und im FRS können jeden Bereich des GPOs beeinträchtigen.

Wenn eine OU andere OUs enthält und Sie die Leseberechtigungen für die übergeordnete OU entfernen, wird für die Computer oder Benutzer in dieser OU-Hierarchie keine Richtlinie verarbeitet.

Wenn es in den für den Client geltenden GPOs im Konflikt stehende Einstellungen gibt, werden diese entsprechend den Vererbungsregeln der Gruppenrichtlinie aufgelöst.

Hinzufügen eines Benutzers oder eines Computers zu einer OU

Wenn ein Benutzer oder ein Computer einer OU hinzugefügt wird, müssen zwei Dinge passieren, bevor die GPOs, mit denen die neue OU verknüpft ist, auf den Client angewendet werden:

  • Die neue OU-Zuweisung muss auf den Domänencontroller des Clients repliziert werden.
  • Nach Abschluss der Replikation müssen Sie sich entweder abmelden und wieder anmelden, wenn das Benutzerkonto in die neue OU verschoben wurde, oder den Computer neu starten, wenn der Computer in die neue OU verschoben wurde.

Dn308947.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Wichtige Dateien auf Domänencontrollern oder Clientcomputern fehlen oder sind beschädigt

Gruppenrichtlinien werden aufgrund von fehlenden oder beschädigten Dateien nicht übernommen.

Ursache

Die Gruppenrichtlinieninformationen sind in Dateien auf den Domänencontrollern und den Clients enthalten. Wenn eine dieser Dateien fehlt oder beschädigt ist, werden nur einige oder keine Richtlinien übernommen.

Lösung

Untersuchen Sie die Dateien auf dem Domänencontroller und dem Client.

Domänencontroller

Überprüfen Sie mit GPOtool.exe das Vorhandensein und die Integrität der folgenden Dateien in der SYSVOL-Freigabe und deren Unterordner auf dem Domänencontroller.

  • Dateien in der Gruppenrichtlinienvorlage.
  • Registry.pol (Suchen Sie in %windir%\debug\usermode\UserEnv.log nach Verweisen auf diese Datei). Diese Datei wird für die Verarbeitung von administrativen Vorlagen über das CSE für die Registrierung verwendet.

Suchen Sie im Gruppenrichtlinienergebnis-Bericht auf der Registerkarte Richtlinienereignisse nach Ereignissen, die auf Probleme beim Dateizugriff hinweisen. Wenn ein Prozess nicht auf eine Datei zugreifen kann, wird ein Ereignis generiert. Ob dieses Ereignis aufgezeichnet wird, hängt vom Schweregrad des Ereignisses und von der Aktivierung der ausführlichen Protokollierung für den betreffenden Prozess ab.

Sie können auch die Ereignisanzeige auf dem Client verwenden, um die Anwendungsprotokolle anzuzeigen sowie die ausführliche Protokollierung für UserEnv und spezielle Gruppenrichtlinien-CSEs zu aktivieren und anzuzeigen. Weitere Informationen finden Sie in Beheben von Gruppenrichtlinienproblemen mithilfe von Protokolldateien.

Client

Überprüfen Sie auf dem Client das Vorhandensein und die Integrität der folgenden Dateien im Ordner %windir%\system32. Ersetzen Sie verdächtige oder fehlende Dateien von der CD für das Betriebssystem des Clients. Mit dem Systemdatei-Überprüfungsprogramm (Sfc.exe) können Sie alle geschützten Dateien und deren Versionen überpüfen.

  • UserEnv.dll: Dient der Kernverarbeitung von Gruppenrichtlinien einschließlich CSE für die Registrierung und Profilen.
  • Dskquota.dll: Dient der Verarbeitung des CSE für Datenträgerkontingente.
  • Fdeploy.dll: Dient der Verarbeitung des CSE für die Ordnerumleitung.
  • Gptext.dll: Dient der Verarbeitung von Skripts, IP-Sicherheit, QoS-Paketplaner und Einstellungen für drahtlose Verbindungen.
  • Appmgmts.dll: Dient der Verarbeitung des CSE für die Softwareinstallation.
  • Scecli.dll: Dient der Verarbeitung des CSE für Sicherheitseinstellungen.

Dn308947.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Vertrauensstellungen funktionieren nicht

In diesem Thema wird erläutert, wie geprüft werden kann, ob GPOs nicht angewendet werden, weil Vertrauensstellungen nicht funktionieren.

Ursache

GPOs können unter der Voraussetzung domänenübergreifend verknüpft werden, dass zwischen den Domänen eine Vertrauensstellung existiert. Wenn diese Vertrauensstellung aufgehoben wurde, können Clients nicht auf verknüpfte GPOs und zugehörige Dateien zugreifen. Außerdem kann es zu Leistungsproblemen mit domänenübergreifenden Verknüpfungen kommen.

Sie können ein GPO nicht von einer Gesamtstruktur aus mit einem Standort, einer Domäne oder einer OU in einer anderen Gesamtstruktur verknüpfen.

Lösung

Wenn das GPO aufgrund einer fehlenden Vertrauensstellung nicht angewendet werden kann, wird es in der Liste der zurückgewiesenen GPOs aufgeführt, und als Grund wird "Zugriff nicht möglich" angegeben.

Verwenden Sie Active Directory-Domänen und -Vertrauensstellungen oder nltest.exe, um die Vertrauensstellung zu prüfen und im Bedarfsfall wiederherzustellen.

Wenn Sie keine Bedenken haben, identische GPOs in beiden Domänen anzuwenden, kopieren Sie das GPO in die Domäne mit den Active Directory-Containern, zu denen die Verknüpfung hergestellt werden soll.

Dn308947.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Nach der Migration wird die Gruppenrichtlinie nicht angewendet

Ein Gruppenrichtlinienobjekt kann häufig nicht wie erwartet angewendet werden, wenn es aus einer anderen Domäne oder Gesamtstruktur migriert wurde, z. B. aus einer Testumgebung in eine Produktionsumgebung.

Ursache

Die einfache Sicherung und der einfache Import eines GPOs führt häufig nicht zu den gewünschten Ergebnissen, da GPOs domänenspezifische Informationen wie Sicherheitsprinzipale und UNC-Pfade enthalten.

Lösung

Zur Lösung solcher Probleme umfasst GPMC eine Migrationsunterstützungsfunktion einschließlich eines Migrationstabellen-Editors. Wenn ein GPO, das in der einen Gesamtstruktur problemlos funktioniert hat, in der neuen Gesamtstruktur nicht wie erwartet funktioniert, benötigen Sie ggf. eine Migrationstabelle. Darüber hinaus müssen Sie das GPO möglicherweise auch sichern und importieren, anstelle es einfach nun zu kopieren.

  • Prüfen Sie, ob eine Vertrauensstellungen zwischen der Quell- und der Zieldomäne besteht. Wenn eine Vertrauensstellung besteht, kopieren Sie das GPO, andernfalls müssen Sie es importieren.
  • Wenn das GPO Verweise auf Sicherheitsprinzipale oder UNC-Pfade enthält, verwenden Sie eine Migrationstabelle. Der Migrationstabellen-Editor, der zum Lieferumfang von GPMC gehört, bietet auch eine Fehlerprüfung. Dennoch besteht immer noch die Möglichkeit von fehlerhaft geschriebenen UNC-Pfaden.

Weitere Informationen finden Sie im Whitepaper Migrating GPOs Across Domains with GPMC (englischsprachig) auf der Microsoft-Website unter (https://go.microsoft.com/fwlink/?LinkId=14321).

Dn308947.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

| Home | Technische Artikel | Community