So finden Sie die Fehlerursachen in Gruppenrichtlinien

Wie Sie Domänencontroller anpingen

Wenn die Gruppenrichtlinie auf einem Windows-Computer nicht richtig funktioniert, sollten Administratoren zunächst prüfen, ob der betreffende Computer den Namen des Domänencontrollers auflösen kann und ob der Domänencontroller über einen Ping-Befehl angesprochen werden kann. In diesem Beispiel heißt der Domänencontroller dc01. In der Kommandozeile (CLI) kann die Verbindung mit nslookup und ping getestet werden (Abbildung 1).

Wenn sich ein Benutzer auf dem PC am Active Directory (AD) anmelden und die Domänencontroller erreichen kann, sollte der nächste Schritt darin bestehen, die Übertragung der Gruppenrichtlinien über die Befehlszeile erneut zu starten:

Gpupdate /force

Wenn hier Fehlermeldungen erscheinen, liegt das Problem bei der Verbindung zur Domäne und damit möglicherweise bei der Namensauflösung.

Wie Sie mit Policy Analyzer Probleme lösen

Das Tool Policy Analyzer stammt aus dem Microsoft Security Compliance Toolkit. Mit diesem lassen sich Probleme bei der Umsetzung von Gruppenrichtlinien finden. Wir haben dieses Tool bereits im Beitrag Analyse der Gruppenrichtlinien mit Microsoft Policy Analyzer besprochen.

Keine Umsetzung aller Richtlinien

Die umgesetzten Gruppenrichtlinien können unter Windows mit rsop.msc angezeigt werden. So wird schnell ersichtlich, ob der Fehler alle oder nur einzelne Richtlinien betrifft. Im letzteren Fall liegt der Fehler in der Konfiguration der Gruppenrichtlinie, in den Berechtigungen der Richtlinie in der Gruppenrichtlinie-Verwaltungskonsole oder in der Vererbung der Richtlinien.

In der Befehlszeile können Sie mit gpresult /h c:\temp\richtlinien.html einen HTML-Bericht und eine Diagnose der Gruppenrichtlinien erstellen. Auch hier finden Sie schnell einen Grund, warum eine Richtlinie nicht durchgesetzt werden kann. Mit gpresult /r können Sie eine Vorabinformation in der Kommandozeile erzeugen. Hier wird angezeigt, von welchem Domänencontroller die Richtlinien übertragen werden, wann die Richtlinie das letzte Mal erfolgreich umgesetzt wurde und vieles mehr. Mit dem Befehl kann überprüft werden, ob bestimmte Gruppenrichtlinien für einen Benutzer oder Computer von den Domänencontrollern heruntergeladen und ausgeführt werden können.

Wie Sie die Gruppenrichtlinien-Verwaltungskonsole zur Fehlerbehebung nutzen

Wenn die Namensauflösung und der allgemeine Abruf der Gruppenrichtlinien funktioniert, sollte in der Gruppenrichtlinien-Verwaltungskonsole auf den Domänencontrollern überprüft werden, ob es fehlerhafte Einstellungen für die Richtlinie gibt. Wenn Sie hier auf eine Richtlinie klicken und die Registerkarte Details öffnen, können Sie unter Objektstatus überprüfen, ob die Richtlinie auf Aktiviert gesetzt ist (Abbildung 2).

Darüber hinaus kann es nicht schaden, einen Blick auf die entsprechende Organisationseinheit (Organization Unit, OU) zu werfen, mit der die Gruppenrichtlinie in der Gruppenrichtlinien-Verwaltungskonsole verknüpft ist. Hier sollten Sie überprüfen, ob die Richtlinie mit der entsprechenden OU verknüpft ist und welche Einstellungen auf der Registerkarte Gruppenrichtlinienvererbung angezeigt werden.

Wie Sie die Ereignisanzeige nutzen

Wenn ein Computer Gruppenrichtlinien nicht anwenden kann, wird das ebenfalls in der Ereignisanzeige angezeigt. Die entsprechenden Informationen können über die PowerShell in der Ereignisanzeige abgerufen werden (Abbildung 3):

Get-WinEvent -ProviderName Microsoft-Windows-GroupPolicy

Um die Anzeige auf Fehler einzugrenzen, verwenden Sie:

Get-WinEvent -ProviderName Microsoft-Windows-GroupPolicy | where{$_.LevelDisplayName -eq "Fehler"}

Möchten Sie keine Fehler, sondern Warnungen angezeigt bekommen, ersetzen Sie im oberen Befehl Fehler gegen Warnung.

Wie Sie die Protokollierung von Gruppenrichtlinien aktivieren

Sie können die Ausführung von Gruppenrichtlinien auch protokollieren lassen. Dazu müssen Sie in den Gruppenrichtlinien Einstellungen vornehmen, die festlegen, dass Aktionen im Zusammenhang mit Gruppenrichtlinien in Protokolldateien aufgezeichnet werden.

Die Einstellungen befinden sich im Pfad Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Gruppenrichtlinien\Protokollierung und Nachverfolgung. Die Einstellungen beziehen sich hauptsächlich auf Probleme im Zusammenhang mit Gruppenrichtlinieneinstellungen. Für jede Einstellung können eigene Protokolle definiert werden.

Wie Sie mit DcGPOFix Richtlinien auf den Standard zurücksetzen

Wenn der Fehler bei der Ausführung von Gruppenrichtlinien auf die Standardrichtlinien im Active Directory zurückzuführen ist, kann das Zurücksetzen beider Richtlinien das Problem möglicherweise beheben. Dabei gehen jedoch alle Einstellungen verloren, die in den Richtlinien selbst vorgenommen wurden.

Idealerweise führen Sie das Zurücksetzen direkt in der Kommandozeile auf einem Domänencontroller durch. Öffnen Sie dazu eine Kommandozeile und verwenden Sie die folgenden Befehle:

dcgpofix /target:Domain (zurücksetzen von „Default Domain Policy“)

dcgpofix /target:DC (zurücksetzen von „Default Domain Controller Policy“)

dcgpofix /target:both (zurücksetzen von beiden Standard-Richtlinien)

Nach der Ausführung des Befehls sollten Sie auf den angeschlossenen PCs gpupdate /force ausführen oder die Computer neu starten. Wenn das nicht hilft, können Sie die lokalen Sicherheitseinstellungen auf den Computern mit folgendem Befehl zurücksetzen.

secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose