Wenn der Zugriff auf Gruppenrichtlinien verweigert wird
Möglicherweise erhalten Admins die Fehlermeldung „Zugriff verweigert“, wenn Sie mit einer Gruppenrichtlinie arbeiten. Es gibt verschiedene Schritte, um ein solches Problem zu beheben.
Die Gruppenrichtlinie ist eine der vielseitigsten und leistungsstärksten Verwaltungsmechanismen in Windows und Windows Server, weshalb Administratoren ständig Zugriff darauf haben müssen.
Systemadministratoren verwenden Gruppenrichtlinien, um verwaltete Konfigurationen für Systeme und Benutzer zu erstellen und durchzusetzen. Tools wie der lokale Gruppenrichtlinien-Editor wirken sich auf die Einstellungen der Gruppenrichtlinien für lokale Systeme aus, während Administratoren unternehmensweite Einstellungen mithilfe der Voreinstellungen über die Gruppenrichtlinien-Verwaltungskonsole (GPMC) in einer Active-Directory-Domänendienst-Infrastruktur verwalten können. Administratoren können die Einstellungen auch per Fernzugriff über das Remote Server Administration Tools Pack und Windows PowerShell verwalten.
Mithilfe von Gruppenrichtlinien können Administratoren unter anderem Skripte (zum Beispiel PowerShell-Skripte) ausführen, um Benutzern den Zugriff auf bestimmte Ressourcen und Dienste zu gewähren, den Zugriff auf andere Ressourcen und Dienste zu verhindern und eine Vielzahl einfacher Aufgaben auszuführen, beispielsweise das Öffnen einer bestimmten Startseite für jeden Benutzer.
Wenn ein Administrator versucht, verschiedene Verwaltungsaktionen durchzuführen, zeigt die Gruppenrichtlinienschnittstelle manchmal eine Meldung an, dass der Zugriff verweigert wurde. Gruppenrichtlinien-Administratoren müssen dieses Problem so schnell wie möglich beheben, um negative Auswirkungen zu vermeiden.
Was ist zu tun, wenn die Gruppenrichtlinie Access Denied (Zugriff verweigert) anzeigt?
Es können zwei allgemeine Situationen auftreten, in denen der Zugriff auf die Gruppenrichtlinie verweigert wird.
Das erste Szenario ist, dass Benutzer von Gruppenrichtlinien einen Windows-Dialog mit einer Fehlermeldung wie der folgenden sehen können:
Englisch: Group policy error, you do not have permission to perform this operation. Details: Access Denied.
Deutsch: Gruppenrichtlinienfehler, Sie haben keine Berechtigung, diesen Vorgang auszuführen. Einzelheiten: Zugriff verweigert.
Im Allgemeinen sind solche Zugriffsfehler zwar ärgerlich, aber nicht kritisch. Zugriffsfehler können einen Benutzer daran hindern, Gruppenrichtlinien anzuwenden oder zu ändern, aber das betrifft in erster Linie die Systemeinrichtung. Problematischer ist es, wenn einem Administrator der Zugriff während der Fehlerbehebung im System verweigert wird, zum Beispiel bei der Beantwortung eines Helpdesk-Tickets zur Gruppenrichtlinie.
Gruppenrichtlinien-Zugriffsfehler werden beispielsweise gemeldet, wenn Benutzer versuchen, den Editor für lokale Gruppenrichtlinien auf einem Windows-Gerät zu verwenden. Das Gerät ist in der Regel mit Windows Active Directory verbunden und der Benutzer ist auf dem Gerät angemeldet. Das Problem ist in der Regel, dass der Benutzer als normaler Benutzer mit einem Domänenbenutzerkonto angemeldet ist. In der Praxis muss der Benutzer Mitglied der lokalen Administratorgruppe sein und das Gruppenrichtlinien-Tool (zum Beispiel gpedit für den Gruppenrichtlinien-Editor) mit der Option Als Administrator ausführen (Run as Administrator).
Benutzer ohne Administratorrechte müssen sich an einen zuständigen Systemadministrator wenden, um in die Gruppe aufgenommen zu werden. Generell sollten Benutzer aber nicht über Administratorrechte verfügen, beziehungsweise nur temporär für eine Aufgabe. Der Administrator delegiert dann die Berechtigungen an den Benutzer für genau diese Aufgabe, damit dieser die Gruppenrichtlinienaufgaben ausführen kann. Wenn es sich bei dem Benutzer um einen verantwortlichen Administrator mit gültiger Berechtigung zur Verwaltung von Gruppenrichtlinieneinstellungen handelt, ist es wahrscheinlich, dass er nicht mit einem Administratorkonto angemeldet ist oder ein Gruppenrichtlinien-Verwaltungs-Tool nicht als Administrator ausführt. Durch die Verwendung eines geeigneten Kontos und die Ausführung des Gruppenrichtlinien-Verwaltungs-Tools im Administratormodus lässt sich dieses Problem in der Regel leicht beheben.
Ein zweites Zugriffsproblem kann auftreten, wenn der Windows-Gruppenrichtlinien-Client-Dienst (gpsvc) auf dem Computer nicht ausgeführt wird oder fehlt. Wenn das der Fall ist, können sich normale Benutzer nicht anmelden. Das führt zu einer Fehlermeldung wie der folgenden:
Englisch: The Group Policy Client service failed the logon. Access is denied.
Deutsch: Der Gruppenrichtlinien-Client-Dienst hat die Anmeldung nicht durchgeführt. Der Zugriff wird verweigert.
Die typische Lösung für diesen Zugriffsfehler besteht darin, die Windows Registry zu manipulieren, um festzustellen, ob der Mehrfachwert GPSvcGroup im Registry-Schlüssel SvcHost vorhanden ist, und den Eintrag GPSvcGroup zur Liste der anderen Dienste im Schlüssel hinzuzufügen, wenn der Dienst fehlt. Für den Zugriff auf die Windows Registry sind ein Administratorkonto oder entsprechende Rechte auf dem Computer erforderlich.
Für den Zugriff auf die Windows Registry sind ein Administratorkonto oder entsprechende Rechte auf dem Computer erforderlich.
Jegliche Manipulation der Registry kann jedoch ein Risiko für das System darstellen und sollte nur von erfahrenen Systemadministratoren vorgenommen werden, die sich mit Fragen der Registry-Verwaltung auskennen. Einzelheiten zur sicheren Bearbeitung der Registry und zum Hinzufügen von Diensten finden Sie in der Dokumentation von Microsoft. Falsche Änderungen an den Registry-Einstellungen können dazu führen, dass sich das System unerwartet verhält oder nicht mehr startet. Bevor Sie Änderungen an der Registry vornehmen, sollten Sie einen vollständigen Systemwiederherstellungspunkt erstellen.
Best Practices für Gruppenrichtlinien
Obwohl sich die Ansätze zur Verwaltung von Gruppenrichtlinien von Unternehmen zu Unternehmen und von Administratoren zu Administratoren stark unterscheiden können, können gemeinsam Best Practices dazu beitragen, Probleme mit Gruppenrichtlinien zu vermeiden:
Ändern Sie die Standard-Domänen- und Controller-Richtlinien nicht und fügen Sie keine weiteren hinzu.
