Getty Images

Tipp

Per gpresult die Einstellungen der Gruppenrichtlinien prüfen

Wenn Probleme mit Windows auftreten, können Admins mit gpresult prüfen, welche Gruppenrichtlinieneinstellungen vorhanden sind und welche angewendet werden sollten.

Damon Garn
von
Zuletzt aktualisiert:18 Nov. 2024

Bei der Behebung von Windows-Problemen ist es wichtig zu wissen, welche Gruppenrichtlinieneinstellungen für die Workstation eines Benutzers gelten.

Gruppenrichtlinien sind der Active-Directory-basierte Konfigurationsmanager für Windows von Microsoft. Es handelt sich um ein einfaches und effektives Desktop-Administrations-Tool mit Tausenden von verfügbaren Einstellungen. Mithilfe von Gruppenrichtlinieneinstellungen können IT-Administratoren Aufgaben wie die folgenden durchführen:

  • Verwaltung der Benutzerkontensteuerung (UAC)
  • Sperrung des Zugriffs auf den Microsoft Store
  • Konfiguration der Sperrzeiten für den Bildschirm
  • Wechselmedien zulassen oder verweigern
  • Einschränkung des Zugriffs auf die Systemsteuerung
  • Bereitstellung von Anmelde-Warnbannern
  • Definition von Firewall-Einstellungen
  • Bereitstellung und Verwaltung von Software

Obwohl Gruppenrichtlinien sind hilfreiches Tool, können sie dennoch Herausforderungen mit sich bringen. Um herauszufinden, warum eine Gruppenrichtlinieneinstellung auf der Workstation eines Benutzers vorhanden ist – oder nicht – kann die IT-Abteilung das Dienstprogramm gpresult verwenden.

Was ist gpresult?

Der Befehl gpresult zeigt alle Gruppenrichtlinieneinstellungen an, die derzeit auf das System angewendet werden. Auf diese Weise kann die IT-Abteilung überprüfen, ob es sich um die richtigen Einstellungen handelt, und, fall das nicht der Fall ist, eine Fehlerbehebung für die Konfigurationen durchführen.

Die Gruppenrichtlinieneinstellungen befinden sich in den Verzeichnissen des Systemvolumens (SYSVOL) der einzelnen Domänencontroller. IT-Administratoren bearbeiten die Einstellungen über die Group Policy Management Console (GPMC), wo sie in logischen Sammlungen, den sogenannten Group Policy Objects (GPOs), organisiert sind.

GPOs werden mit der Domäne verknüpft, wenn sie für alle Systeme gelten sollen, mit Standorten, wenn sie für bestimmte physische Standorte gelten sollen, und mit Organisationseinheiten (OUs), wenn sie für Abteilungen oder andere Geschäftseinheiten gelten sollen (Abbildung 1).

bestehendes GPO mit einer OU in der GPMC verknüpfen
Abbildung 1: Die IT kann ein bestehendes GPO mit einer OU in der GPMC verknüpfen.

Wenn sich Benutzer und Computer authentifizieren, sendet der Domänencontroller die verknüpften GPOs an das Client-System. Das Client-System sollte dann die Konfigurationen anwenden. Wenn das nicht der Fall ist, muss die IT-Abteilung mit der Troubleshooting beginnen.

Beim Troubleshooting sollte die IT-Abteilung jede verfügbare Einstellungsoption verstehen. GPO-Einstellungen haben normalerweise die folgenden Optionen:

  • nicht konfiguriert (not configured): Die Konfiguration ist nicht festgelegt. Wenn ein früher angewendetes GPO diese Konfiguration festlegt, steht dieses GPO nicht in Konflikt damit.
  • aktiviert (enabled): Die Konfiguration ist gesetzt, wodurch die Einstellung aktiviert wird. Wenn ein früher angewendetes GPO die Einstellung deaktiviert, gerät dieses GPO in Konflikt und gewinnt.
  • deaktiviert (disabled): Die Konfiguration ist gesetzt, die Einstellung ist deaktiviert. Wenn ein früher angewendetes GPO die Einstellung aktiviert, gerät dieses GPO in Konflikt und gewinnt.

Die GPMC zeigt an, welche GPOs auf die Workstation angewendet werden sollten, während das Tool gpresult anzeigt, welche GPOs tatsächlich auf das System angewendet werden. Die Ergebnisse der beiden Tools stimmen nicht immer überein.

Admins sollten gpresult verwenden, wenn sie auf die Workstation eines Benutzers zugreifen, um zu klären, warum die GPO-Einstellungen von der erwarteten Konfiguration abweichen. Das Problem ist in der Regel recht einfach: Eine Einstellung sollte vorhanden sein und ist es nicht, oder sie ist vorhanden und sollte es nicht sein. In jedem Fall muss die IT-Abteilung feststellen, welches GPO die Konfiguration definiert.

Wie andere Befehlszeilenkommandos verfügt gpresult über Parameter, mit denen das Verhalten des Befehls geändert werden kann, darunter die folgenden:

Parameter Beschreibung
/u führt den Befehl mit den Anmeldeinformationen des angemeldeten Benutzers aus
/p legt bei Verwendung des Parameters /u ein Kennwort für den Benutzer fest
/s führt den Befehl gezielt auf einem bestimmten Computer aus
/scope {Benutzer oder Computer} zeigt die Richtlinien an, die entweder auf die Benutzeridentität oder die Computeridentität angewendet werden. Wenn Sie beides sehen wollen, lassen Sie die Option /scope weg.
/h {Dateiname} gibt die Ergebnisse in einer HTML-Datei aus
/x {Dateiname} gibt die Ergebnisse in einer XML-Datei aus
/r fast die gpresult-Ausgabe zusammen
/v zeigt eine ausführliche Ausgabe an
/z zeigt detaillierte Informationen über die Gruppenrichtlinie auf dem System an
/? zeigt die Hilfe zu diesen und anderen Parametern an

Öffnen Sie die PowerShell-Konsole oder die Eingabeaufforderung cmd.exe, um den Befehl zu verwenden. Der Vorgang variiert je nach Windows-Version, aber eine einfache Suche oder ein Rechtsklick auf Start sollte den Befehl verfügbar machen. Die IT-Abteilung muss außerdem einen Ausgabeparameter in den Befehl gpresult aufnehmen.

Verstehen, wie sich der Vorrang von Gruppenrichtlinien auf gpresult auswirkt

In vielen Fällen treten Probleme mit Gruppenrichtlinien auf, weil nicht lange genug gewartet wird, bis GPOs auf den Client-Systemen aktualisiert werden. Eine weitere häufige Ursache ist das Missverstehen der Reihenfolge, in der GPOs angewendet werden, und welche Einstellungen gewinnen – oder die anderen außer Kraft setzen – wenn es Konflikte gibt.

Das Verständnis der Rangfolge ermöglicht es der IT-Abteilung, die Ausgabe von gpresult zu interpretieren und zu verwenden. Der Begriff Vorrang beschreibt die Reihenfolge, in der GPOs während des Anmeldevorgangs auf Arbeitsstationen angewendet werden. Diese Hierarchie ist von Microsoft sehr bewusst gewählt. Die wichtigste Tatsache ist, dass das zuletzt auf das System angewendete GPO alle Konflikte gewinnt.

  • Site: GPOs, die mit der Active-Directory-Site verknüpft sind, werden zuerst angewendet.
  • Domäne: GPOs, die mit der Active-Directory-Domäne verknüpft sind, werden als Nächstes angewandt und haben Vorrang vor allen widersprüchlichen Site-Einstellungen.
  • übergeordnete OU: Mit der OU verknüpfte GPOs werden als Nächstes angewendet, und diese überschreiben alle widersprüchlichen Site- oder Domain-Einstellungen.
  • untergeordnete OU: GPOs, die mit OUs verknüpft sind, die in anderen OUs verschachtelt sind, werden als nächstes angewandt. Diese haben Vorrang vor allen widersprüchlichen Einstellungen auf den Ebenen Site, Domain oder übergeordnete OU.

OU-Einstellungen, die häufig von Administratoren festgelegt werden, die Desktop-Systeme verwalten, haben Vorrang vor Domäneneinstellungen, die von Domänenadministratoren definiert werden. Der Grund dafür ist, dass die verschiedenen Arten von GPOs unterschiedlichen Zwecken dienen:

  • Standort-GPOs sollten sich auf standortspezifische Einstellungen und in der Regel auf die am wenigsten genutzten Links beschränken.
  • Domänen-GPOs sollten organisationsweite, allgemeine Konfigurationen festlegen.
  • OU-GPOs sollten abteilungsspezifische, fokussierte Konfigurationen festlegen, die eine Anpassung von Einstellungen auf Abteilungsebene ermöglichen, zum Beispiel Softwareverteilung, Druckerkonfigurationen oder Desktop-Management.

Domänenadministratoren können GPOs erzwingen, um die auf OU-Ebene vorgenommenen Einstellungen außer Kraft zu setzen, sollten das aber nur tun, wenn es unbedingt notwendig ist.

Wenn zwei oder mehr GPOs widersprüchliche Einstellungen enthalten und auf der gleichen Ebene verknüpft sind, müssen die Administratoren eine Rangfolge für sie festlegen.

Egal was passiert, das zuletzt angewendete GPO gewinnt. Wenn Desktop-Supportteams unerwartete Einstellungen beheben, ist es daher besonders wichtig, herauszufinden, welches GPO zuletzt angewendet wurde. Das zeigt, welche Richtlinie die Einstellung angewendet hat, und gibt der IT-Abteilung die Möglichkeit, die Richtlinie zu bearbeiten oder die Rangfolge neu zu ordnen, um das gewünschte Ergebnis zu erzielen.

Wann sollten Desktop-Administratoren gpresult verwenden?

Der wichtigste Einsatzzweck von gpresult ist die Feststellung, welche GPOs auf das System angewendet wurden. Auf diese Weise können Desktop-Troubleshooter feststellen, welches GPO die betreffende Einstellung definiert hat. Von dort aus können Administratoren die GPOs anpassen, indem sie ihre Prioritätsstufen oder die Reihenfolge ihrer Anwendung ändern.

Um spezifischere Szenarien zu verstehen, in denen gpresult beim Troubleshooting oder der Berichterstellung nützlich sein kann, betrachten Sie die folgenden Beispiele.

Beispiel 1: Funktionen sind aktiviert, die nicht aktiviert sein sollten

Ein auf Domänenebene verknüpftes GPO aktiviert bestimmte UAC-Einstellungen, aber ein mit einer OU verknüpftes GPO deaktiviert die Funktionen. Der Benutzer ist verwirrt über seine Erfahrungen mit der UAC.

Mit dem Befehl gpresult kann die IT-Abteilung feststellen, welche Richtlinien auf das System des Benutzers anwendet werden. Mit diesem Wissen können Administratoren die Einstellungen in den angewandten GPOs überprüfen und nach Konflikten suchen. Es ist auch möglich, nur den Benutzer- oder Computerbereich anzuzeigen (Abbildung 2). Die IT-Abteilung sollte dann den folgenden Code eingeben, um die Einstellungen im Computerbereich anzuzeigen.

gpresult /scope computer /r
Untersuchung auf GPO-Konflikte
Abbildung 2: Die IT-Abteilung kann nur den Benutzer- oder Computerbereich auf GPO-Konflikte untersuchen.

In diesem Fall wurden drei GPOs auf den Computerbereich angewendet: Firewall-Einstellungen – Entwicklungsabteilung, UAC-Einstellungen – Entwicklungsabteilung und Standarddomänenrichtlinie. Es scheint, dass der nächste Schritt darin besteht, das GPO für die UAC-Einstellungen zu überprüfen.

Beispiel 2: Erforderliche Einstellungen werden nicht angezeigt

Ein entfernter Standort hat strenge Sicherheitsanforderungen. Der Standort ist eine Active Directory Site, mit der ein GPO verknüpft ist, das UAC-Konfigurationen verwaltet. Ein GPO ist mit der OU eines Computers verknüpft, um UAC-Einstellungen zu definieren. Ein System an diesem Standort scheint nicht die erwarteten Einstellungen zu haben.

Beim Troubleshooting dieser Sicherheitsfehlkonfiguration zeigt der Befehl gpresult das mit der OU verknüpfte GPO an und weist darauf hin, dass dieses GPO die Ursache des Problems ist. Die IT-Abteilung kann die genauen Einstellungen anzeigen, indem sie den Schalter verbose hinzufügt. Geben Sie dazu gpresult /scope computer /v ein. Eine Teilmenge der Ausgabe zeigt die drei UAC-Einstellungen (Abbildung 3).

Gruppenrichtlinieneinstellungen
Abbildung 3: Die ausführliche Ausgabe zeigt die tatsächlichen Gruppenrichtlinieneinstellungen.

Beispiel 3: Sicherheitsprüfungen

Sicherheitsprüfer haben einen Administrator gebeten, genau zu zeigen, welche Sicherheitseinstellungen auf einer bestimmten Workstation vorhanden sein. Mit gpresult /h audit.html kann der Administrator einen detaillierten Bericht im HTML- oder XML-Format erstellen, der zeigt, welche Einstellungen vorhanden sind und welche GPOs diese Einstellungen bereitstellen (Abbildung 4).

Einstellungsbericht im HTML- oder XML-Format
Abbildung 4: Die IT kann einen detaillierten Einstellungsbericht im HTML- oder XML-Format erstellen.

Um mehr über bestimmte Einstellungen zu erfahren, gehen Sie auf die Ebene Applied GPO. Die IT-Abteilung kann dasselbe für verweigerte GPOs tun, was bei der Fehlersuche in Bezug auf Berechtigungen oder Filterung hilfreich ist.

Angenommen, ein Administrator hat gerade das GPO, das die UAC-Einstellungen verwaltet, mit einer OU verknüpft, aber wenn er eine in der OU enthaltene Arbeitsstation besucht, gibt es keinen Hinweis darauf, dass das GPO angewendet wird. Der Gruppenrichtlinien-Client auf der Arbeitsstation prüft nur in regelmäßigen Abständen auf neue Einstellungen. Wenn das neue GPO noch nicht angewendet wurde, sollte der Administrator erwägen, den Befehl gpupdate zu verwenden, um das System zu veranlassen, nach neuen Richtlinien zu suchen.

Verwendung von Resultant Set of Policy als Alternative zu gpresult

Es ist auch möglich, viele dieser Informationen mit einem GUI-Tool namens Resultant Set of Policy (RSoP) zu sammeln. Geben Sie rsop.msc in die Suchleiste ein, um das Dienstprogramm aufzurufen.

Das Dienstprogramm startet und prüft das System, um die angewendeten GPOs zu ermitteln. Die Bestandsaufnahme dauert weniger als eine Minute. Sobald die Prüfung abgeschlossen ist, sieht die RSoP-Ausgabe ähnlich aus wie die Bearbeitungsoberfläche in der GPMC. Von dort aus kann die IT-Abteilung die Einstellungen durchsuchen (Abbildung 5).

RSoP-Bericht
Abbildung 5: Der RSoP-Bericht ähnelt dem GPMC.

Das größte praktische Problem bei RSoP besteht darin, zu wissen, wonach man suchen und wo man es finden muss. Es gibt Tausende von Gruppenrichtlinieneinstellungen, und es kann schwierig sein, sich genau daran zu erinnern, welcher Knoten eine bestimmte Konfiguration enthält. Nachdem Sie eine bestimmte Einstellung gefunden haben, zeigt die Konsole das Quell-GPO an (Abbildung 6).

Suchen nach Einstellungen
Abbildung 6: Admins müssen wissen, nach welcher Einstellung sie suchen, um herauszufinden, welches GPO sie angewendet hat.

Erfahren Sie mehr über Serverbetriebssysteme