• Artikel

Windows-Verwaltung

Ihre Anleitung zur Problembehandlung von Gruppenrichtlinien

Derek Melber

 

Kurz zusammengefasst:

  • Allgemeine GPO-Fragen
  • Gruppenrichtlinien
  • Problembehandlung von GPO-Problemen
  • Tools zur Problembehandlung

Microsoft Active Directory hat sich zu einer wichtigen Komponente vieler IT-Infrastrukturen entwickelt. Eines der wichtigsten Features von Active Directory sind Gruppenrichtlinien, die Administratoren ermöglichen, die Verwaltung der Domänencontroller, Mitgliedsserver und Desktops zu zentralisieren.

Obwohl Gruppenrichtlinien viele Vorteile bieten, haben sie einen kleinen Haken. In einer großen Organisation kann ihr Entwurf und ihre Implementierung zu einer komplexen Angelegenheit werden. Darüber hinaus gestaltet sich die Fehlerbehebung unter Umständen ausgesprochen problematisch. In diesem Artikel wird untersucht, wie Gruppenrichtlinien strukturiert sind und wie die Problembehandlung erfolgt. Das Ziel ist, Ihnen das Lösen von fast allen Problemen mit Gruppenrichtlinien zu ermöglichen.

Lästige Einstellungen

Es gibt viele bewegliche Teile innerhalb von Gruppenrichtlinien, besonders in Bezug auf die Weise, in der sie sich mit dem allgemeinen Design und der Implementierung von Active Directory® überschneiden. Beim Beheben verschiedener Arten von Zugriffs- und Netzwerkfehlern müssen Sie stets Active Directory und die Grundlagen der Gruppenrichtlinienimplementierung in Ihre Suche nach einer Lösung einschließen. Als Einstieg in die Problembehandlung werden zunächst die Gruppenrichtlinieneinstellungen untersucht, die falsch konfiguriert werden können. Anschließend werden kompliziertere Probleme behandelt, die eine Fehlfunktion der Gruppenrichtlinien verursachen können.

Gruppenrichtlinieneinstellungen werden von Active Directory-Administratoren mithilfe der Administrativvorlagendateien (ADM- oder ADMX-Dateien) und des Gruppenrichtlinienobjekt-Editors, auch GPEdit genannt (der beim Ausführen von gpedit.msc gestartet wird), angezeigt. Mithilfe von GPEdit erstellt der Administrator Gruppenrichtlinienobjekt-Dateien bzw. GPOs (Group Policy Objects, Gruppenrichtlinienobjekte). Die GPOs werden so konfiguriert, dass sie auf Computer und Benutzer innerhalb der Active Directory-Struktur angewendet werden können (oder auch nicht). Damit GPOs richtig funktionieren, gibt es eine Reihe von Regeln. Diese Regeln werden im Folgenden behandelt.

GPOs müssen verknüpft sein Wenn ein neues GPO erstellt wird, ist es unter Umständen nicht mit einem Knoten innerhalb von Active Directory verknüpft. Obwohl das GPO bearbeitet und geändert werden kann, hat es keine Auswirkung auf Objekte, bis es mit einem Knoten verknüpft ist. Um sicherzustellen, dass das GPO ordnungsgemäß verknüpft ist, können Sie das Informationsfenster in der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) anzeigen, die in Abbildung 1 dargestellt ist.

Abbildung 1 GPO-Links werden deutlich angezeigt

Abbildung 1** GPO-Links werden deutlich angezeigt **(Klicken Sie zum Vergrößern auf das Bild)

GPOs müssen auf das korrekte Objekt abzielen Wie Sie wissen, müssen Gruppenrichtlinien auf die richtigen Objekte in Active Directory abzielen. Dies wird jedoch manchmal bei einer Übung zur Problembehandlung übersehen. Innerhalb eines GPO gibt es zwei Hauptkategorien: Computer und Benutzer. Merken Sie sich beim Konfigurieren eines GPO, ob es für ein Computer- oder Benutzerobjekt gedacht ist. Dann können Sie überprüfen, ob die richtigen Objekttypen in die Organisationseinheit (Organizational Unit, OU) gestellt werden, in der das GPO verknüpft ist.

GPOs werden nicht auf Gruppen angewendet Auch wenn es wünschenswert wäre, kann ein GPO nicht auf ein Active Directory-Sicherheitsgruppenobjekt angewendet werden. Die einzigen beiden Objekte, die durch eine GPO-Einstellung konfiguriert werden können, sind Computer und Benutzer. GPOs können Objekte nicht über eine Gruppenmitgliedschaft konfigurieren. Wenn zum Beispiel ein GPO vorhanden ist, das mit der Finanzorganisationseinheit verknüpft ist (wie in Abbildung 2 dargestellt), sind Derek und Frank die einzigen Objekte, die von dieser Einstellung betroffen werden. Die Einstellungen im GPO haben keine Auswirkung auf die Mitglieder der Marketinggruppe, unabhängig davon, wer zu dieser Gruppe gehört.

Abbildung 2 Finanzorganisationseinheit und die Objekte innerhalb dieser Einheit

Abbildung 2** Finanzorganisationseinheit und die Objekte innerhalb dieser Einheit **(Klicken Sie zum Vergrößern auf das Bild)

Das Zielobjekt muss sich im Pfad des GPO befinden Wenn Sie feststellen, dass eine GPO-Einstellung nicht die erwarteten Auswirkungen auf ein Objekt hat, empfiehlt es sich, eine weitere wichtige Einstellung zu überprüfen: Das Objekt muss sich im Verwaltungsbereich (Scope of Management, SOM) des GPO befinden. Das heißt, dass sich das Objekt unter dem Knoten befinden muss, an dem das GPO verknüpft ist (auch ein untergeordneter Knoten ist ausreichend). Beispielsweise sind keine der Objekte in der Marketingorganisationseinheit von einem GPO betroffen, das mit der Finanzorganisationseinheit verknüpft ist, wie in Abbildung 3 dargestellt. Der Verwaltungsbereich eines GPO reicht vom Knoten, an dem es verknüpft ist, bis durch die unteren Ebenen der Active Directory-Struktur.

Abbildung 3 Wenn sich Organisationseinheiten auf derselben Ebene befinden, gelten GPOs nur für die Organisationseinheit, an der sie verknüpft sind

Abbildung 3** Wenn sich Organisationseinheiten auf derselben Ebene befinden, gelten GPOs nur für die Organisationseinheit, an der sie verknüpft sind **(Klicken Sie zum Vergrößern auf das Bild)

GPOs müssen aktiviert sein Bei der Erstellung wird ein GPO nicht zum Ändern von Zielobjekten konfiguriert. Es wird jedoch sowohl für die Computer- als auch die Benutzeranteile aktiviert. Falls einer dieser Anteile deaktiviert ist, kann es schwierig sein, dies nachzuverfolgen. Daher empfiehlt sich die Überprüfung, ob einige oder alle GPOs deaktiviert sind, falls Sie ein Problem mit einem GPO beheben müssen, dessen Anwendung fehlschlägt. Wählen Sie hierzu in der GPMC „Gruppenrichtlinienobjekte“ | „Kontorichtlinie“ aus, und überprüfen Sie den GPO-Status.

Für einige Einstellungen ist ein Neustart erforderlich Wenn eine GPO-Einstellung nicht ordnungsgemäß funktioniert, kann es an der damit verbundenen Verarbeitung von GPOs liegen. Wenn die periodische Hintergrundaktualisierung von GPOs ausgelöst wird, können nicht alle, sondern nur einige der GPO-Einstellungen verarbeitet werden. Eine Einstellung wurde daher zwar erstellt, ist möglicherweise aber noch nicht wirksam. Einige Einstellungen werden als Vordergrundrichtlinien kategorisiert und nur angewendet, wenn der Computer neu gestartet wird oder der Benutzer sich abmeldet und anschließend neu anmeldet. Zu diesen Einstellungen zählen Softwareinstallationen, Ordnerumleitungen und Skriptanwendungen.

Synchrone und asynchrone Anwendung von Einstellungen

Innerhalb eines GPO können Sie konfigurieren, wie die Richtlinien bei Neustarts und Anmeldungen angewendet werden sollen. Die Änderungen, die Sie vornehmen können, bieten entweder sofortigen Zugriff auf den Desktop, während die Richtlinien angewendet werden, oder sie gewährleisten, dass alle Richtlinien angewendet werden, bevor der Benutzer Zugriff auf den Desktop erhält. Abbildung 4 zeigt das standardmäßige Verhalten der einzelnen Betriebssysteme. Wenn Sie dieses Verhalten anpassen möchten, können Sie die folgende Richtlinieneinstellung ändern:

Computer Configuration | Administrative Templates | 
System | Logon | Always wait for the network at computer startup and logon

Figure 4 Standardverarbeitung auf dem Client

Betriebssystem Start Anmeldung Richtlinienaktualisierung
Windows 2000 Synchron Synchron Asynchron
Windows XP Professional Asynchron Asynchron Asynchron
Windows Server 2003 Synchron Synchron Asynchron

Die meisten Administratoren bevorzugen eine synchrone Anwendung der Richtlinie, um sicherzustellen, dass alle Richtlinien angewendet werden, bevor der Benutzer auf den Desktop zugreifen kann. Dadurch wird gewährleistet, dass alle Sicherheits- und Konfigurationseinstellungen angewendet werden, bevor die Benutzer mit ihrer Arbeit beginnen. Beachten Sie, dass dies nicht der Standardmodus in Windows® XP Professional ist, da diese Version für eine erhöhte Anmeldegeschwindigkeit optimiert wurde.

Ändern der Standardvererbung

Es gibt vier verschiedene Methoden zum Ändern der Standardvererbung der GPO-Verarbeitung. Diese Optionen sind leistungsstark und sollten sparsam eingesetzt werden, da sie zu beachtlichen Veränderungen am Verhalten der Gruppenrichtlinienverarbeitung führen können. Außerdem kann die Problembehandlung für diese Optionen sehr schwierig sein. Die Optionen zum Ändern der Standardvererbung umfassen die folgenden vier Einstellungen und Konfigurationen:

  • Blockieren der Richtlinienvererbung
  • GPO-Durchsetzung
  • GPO-Filterung der Zugriffssteuerungsliste (ACL)
  • Filter der Windows-Verwaltungsinstrumentation (WMI)

Da diese sparsam eingesetzt werden sollten, ist es relativ einfach, ihre Verwendung zu dokumentieren. Mithilfe der GPMC können Sie herausfinden, ob diese Optionen verwendet werden. Die Blockvererbung wird an der Domäne oder dem Organisationseinheitsknoten in der GPMC durchgeführt. Die GPO-Durchsetzung, das Filtern der ACL und die WMI-Filterung werden auf jedem GPO festgelegt.

Alternativ dazu können Sie den Gpresult-Befehl vom Zielcomputer aus ausführen, um zu erfahren, ob eine dieser Einstellungen die Anwendung der Richtlinien verhindert. Wenn Sie eine detailliertere Ansicht des angewendeten Satzes von Richtlinien abrufen möchten, können Sie dem Gpresult-Befehl den /v-Schalter hinzufügen, um eine ausführliche Ausgabe zu erhalten.

ADM-Vorlagenprobleme

Wenn Sie versuchen, Einstellungen in einem GPO im Abschnitt „Administrative Vorlagen“ zu konfigurieren, arbeiten Sie mit ADM-Vorlagen. Zusätzlich zu ADM-Vorlagen, die mit dem Betriebssystem geliefert werden, können Sie Ihre eigene Vorlage für die Verwendung in einem GPO anpassen. Durch den Code in der ADM-Vorlage werden die Ordner und Richtlinien im Gruppenrichtlinien-Editor unter dem Knoten „Administrative Vorlagen“ erstellt. Falls die ADM-Vorlage jedoch fehlerhaft ist, fehlt oder nicht ordnungsgemäß konfiguriert wurde, werden wahrscheinlich nur einige oder keine der Einstellungen im Editor angezeigt. Beim Verwenden von ADM-Vorlagen können gegebenenfalls die im Folgenden beschriebenen Probleme auftreten.

Fehlende ADM-Vorlagen Wenn Sie ein GPO bearbeiten und feststellen, dass in einer benutzerdefinierten ADM-Vorlage Einstellungen vorhanden sind, die nicht im Editor angezeigt werden, müssen Sie die ADM-Vorlage in das GPO importieren. Klicken Sie dazu einfach mit der rechten Maustaste auf den Knoten „Administrative Vorlagen“ im Editor, und wählen Sie „Vorlagen hinzufügen/entfernen“ aus.

Fehlende Einstellungen Es gibt zwei Arten von Einstellungen, die in einem benutzerdefinierten GPO erstellt werden können: Einstellungen und Richtlinien. Richtlinien sind die Microsoft-Standardeinstellungen, die jeweils einem von vier Unterschlüsseln in der Registrierung zugeordnet sind und mit dem Text „Policies“ (Richtlinien) enden. Einstellungen sind Registrierungsänderungen im „alten Stil“, die nicht unter einen der vier Unterschlüssel fallen und nach ihrer Konfigurierung nur schwer rückgängig gemacht werden können. Standardmäßig werden diese Einstellungen im Editor nicht angezeigt. Sie müssen deren Anzeige über das Menü „Ansicht“ in der Symbolleiste aktivieren. Wählen Sie die Option „Filtern“ aus, und aktivieren Sie das Kontrollkästchen „Nur vollständig verwaltbare Richtlinieneinstellungen anzeigen“. Dadurch werden sofort die Einstellungen angezeigt, die in den von Ihnen importierten benutzerdefinierten ADM-Vorlagen konfiguriert sind.

Praktische Tools

Es gibt viele verschiedene Tools, die Ihnen beim Nachverfolgen von Gruppenrichtlinienproblemen behilflich sind. Einige sind im Betriebssystem integriert, andere können heruntergeladen und installiert werden. Als Nächstes werden die jeweiligen Tools erläutert, damit Sie für Ihre Aufgabe die richtigen Tools auswählen können.

Dcgpofix Möglicherweise tritt in bestimmten Fällen ein Problem mit einem der zwei Standard-GPOs auf: der Standarddomänenrichtlinie oder der Standard-Domänencontrollerrichtlinie. Wenn eines der beiden oder beide GPOs beschädigt sind, sich zu weit außerhalb der Konfiguration befinden, um den Fehler zu beheben, oder wenn ein anderes unbekanntes Problem vorliegt, können Sie mit dem Dcgpofix-Tool den Standardzustand wiederherstellen. Dieses Tool ist in Windows Server® 2003 enthalten. Sie sollten dieses Tool nicht auf einem Windows 2000-Domänencontroller ausführen. Verwenden Sie dort stattdessen Recreatedefpol. Beachten Sie, dass beim Verwenden dieses Tools alle benutzerdefinierten Einstellungen verloren gehen.

Recreatedefpol Dieses Tool ähnelt dem Dcgpofix-Tool, ist jedoch für Windows 2000-Server gedacht. Es kann die zwei Standard-GPOs in ihren ursprünglichen Installationszustand zurücksetzen. Dieses Tool sollte nur im Falle einer Notfallwiederherstellung und nicht zur routinemäßigen Wartung von GPOs verwendet werden. Sie können dieses Tool herunterladen.

Ereignisanzeige Die Ereignisanzeige enthält vielfältige Informationen zu Gruppenrichtlinien. Leider müssen Sie die verschiedenen Protokolldateien durchsuchen, um Gruppenrichtlinieneinträge zu finden. In den Protokolldateien finden Sie Einträge in Bezug auf die Richtlinienanwendung, -replikation und -aktualisierung, die beim Nachverfolgen eines Problems nützlich sein können. Die Ereignisprotokolle enthalten nicht immer genügend Informationen zu bestimmten Gruppenrichtlinienfehlern. Wenn Fehler auftreten, die Sie nicht identifizieren können, suchen Sie auf der TechNet-Website nach dem entsprechenden Problem.

Gpresult Dieses Tool kann nur lokal auf dem Zielcomputer ausgeführt werden. Es stellt jedoch Informationen zum Richtlinienergebnissatz (Resultant Set of Policies, RSoP), zu blockierten GPOs, Berechtigungen für GPOs und vieles mehr bereit. Durch die Verwendung des Befehls zusammen mit dem /v-Schalter werden zahlreiche Informationen über die GPOs, die Auswirkungen auf den Computer haben, angezeigt sowie über Benutzerkonten, die mit der aktuellen Anmeldesitzung verknüpft sind.

Gpupdate Wenn Sie neue GPO-Einstellungen implementieren oder sicherstellen möchten, dass die GPO-Verarbeitung stattgefunden hat, verwenden Sie das Gpupdate-Tool. Es handelt sich dabei um ein Befehlszeilenprogramm, das mit dem Betriebssystem (Windows XP und höhere Versionen) geliefert wird. Wenn Sie es ausführen, wird eine Hintergrundaktualisierung ausgelöst, bei der alle GPO-Einstellungen angewendet werden, die dieser Art der Aktualisierung entsprechen. Wenn Sie den /force-Schalter hinzufügen, werden alle GPO-Einstellungen erneut angewendet, selbst wenn seit der letzten Aktualisierung keine Änderungen am GPO vorgenommen wurden. Das Ausführen dieses Befehls noch vor dem Ausführen des Gpresult-Befehls stellt eine leistungsstarke Methode zum Nachverfolgen von GPO-Problemen dar.

Gpotool Da GPOs vom Domänencontroller, an dem die GPO-Änderungen anfänglich erfolgen, auf alle anderen Domänencontroller repliziert werden, besteht die Möglichkeit, dass die Replikation fehlschlägt oder nicht wirksam konvergiert. Dies führt zu einer Inkonsistenz bzw. einer inkorrekten Anwendung der Änderungen auf die Zielcomputer. Tools, wie z. B. Gpresult und RSOP, können dabei behilflich sein zu bestimmen, welche Änderungen durch die GPOs angewendet wurden. Mithilfe des Gpotool-Tools können Sie jedoch darüber hinaus prüfen, ob die GPOs auf den einzelnen Domänencontrollern konsistent sind. Das Tool gehört zum Windows Server 2003 Resource Kit, der unter go.microsoft.com/fwlink/?LinkId=77613 zur Verfügung steht.

Replmon Wenn Sie Probleme bei der Replikation von GPOs von einem Domänencontroller auf einen anderen beheben möchten, müssen Sie wissen, welche Tools zur Unterstützung des Replikationsvorgangs verwendet werden können. Da ein GPO aus zwei Teilen besteht, die repliziert werden müssen, gibt es zwei Dinge, die Sie beachten müssen. Der erste Teil, bei dem es sich um den Inhalt von SYSVOL auf den einzelnen Domänencontrollern handelt, wird vom Dateireplikationsdienst gesteuert. Diese Replikation kann nur bedingt gesteuert werden, indem Sie den Dienst deaktivieren und aktivieren, damit er ein Replikationsintervall auslöst. Der andere in Active Directory gespeicherte Teil des GPO wird von der Active Directory-Replikation gesteuert. Diese Replikation kann zwischen Domänencontrollern am selben Active Directory-Standort mithilfe der Active Directory-Standorte und -Dienste kontrolliert werden. Wenn Sie jedoch eine Replikation zwischen Domänencontrollern an verschiedenen Active Directory-Standorten auslösen müssen, ist ein Tool wie Replmon erforderlich. Replmon kann im Gegensatz zu Active Directory-Standorten und -Diensten die Replikation der Active Directory-Datenbank über verschiedene Standorte hinweg erzwingen. Wenn eine fehlende Übereinstimmung bei in Active Directory gespeicherten Gruppenrichtlinieninformationen vorliegt, können Sie mit Replmon einen Replikationsvorgang auslösen, um die Informationen auf den einzelnen Domänencontrollern aufeinander abzustimmen. Replmon gehört zu den Supporttools von Resource Kit und Windows XP. Sie können das Tool unter go.microsoft.com/fwlink/?LinkId=77614 herunterladen.

RSOP Ähnlich wie das Befehlszeilenprogramm Gpresult bietet RSOP eine grafische Schnittstelle, um die Einstellungen anzuzeigen, die von den GPOs angewendet wurden. RSOP.MSC ist ein integriertes Tool für Windows XP Professional und Windows Server 2003. Mithilfe dieses Tools werden alle angewendeten Richtlinieneinstellungen in einem ähnlich Format wie im Gruppenrichtlinienobjekt-Editor angezeigt (siehe Abbildung 5).

Abbildung 5 RSOP-Tool

Abbildung 5** RSOP-Tool **

Schlussbemerkung

Die Problembehandlung von Gruppenrichtlinien gehört mit Sicherheit nicht zu den leichtesten Aufgaben. Wie in diesem Artikel erläutert, können Gruppenrichtlinien in der Tat recht kompliziert sein. Zur Problembehandlung von Gruppenrichtlinien müssen Sie die Kernarchitektur und die übergreifende Verarbeitung, die für Gruppenrichtlinien typisch ist, verstehen. Darüber hinaus müssen Sie wissen, wie ein GPO aktualisiert, repliziert, verarbeitet und angewendet wird. Wenn Sie mit den entsprechenden Konzepten vertraut sind, vereinfacht dies die Problembehandlung von Gruppenrichtlinien. Indem Sie den Anleitungen in diesem Artikel folgen und Ihre Tools dementsprechend verwenden, sind Sie für alle möglichen Gruppenrichtlinienprobleme gewappnet.

Derek Melber ist der Leiter des Bereichs Bildung, Zertifizierung und Kompatibilitätslösungen bei DesktopStandard, einer Niederlassung von Microsoft. Er ist der Mitverfasser des Microsoft Windows Group Policy Guide (Microsoft Press, 2005). Derek Melber hat außerdem eine Reihe von Büchern zur Überwachung der Windows-Sicherheit geschrieben (www.theiia.org). Sie erreichen ihn unter: derekm@desktopstandard.com.

© 2008 Microsoft Corporation und CMP Media, LLC. Alle Rechte vorbehalten. Die nicht genehmigte teilweise oder vollständige Vervielfältigung ist nicht zulässig.