Gruppenrichtlinien – Handbuch für die Problembehebung

Installieren von Tools

Für die Verwaltung oder Problembehandlung von Gruppenrichtlinien sollte die Gruppenrichtlinien-Verwaltungskonsole (GPMC) und sollten im Bedarfsfall auch andere Tools verwendet werden.

Gruppenrichtlinien-Verwaltungskonsole

Die Gruppenrichtlinien-Verwaltungskonsole (GPMC) ist das bevorzugte Tool für die Verwaltung von Gruppenrichtlinien, und sie ist darüber hinaus auch hervorragend für die Problembehandlung geeignet. GPMC bietet die folgende Berichterstellungsfunktionen:

Beide Berichtsarten enthalten wertvolle Informationen zur Problembehandlung. So können Sie beispielsweise eine Liste der angewendeten GPOs ebenso wie eine Liste der zurückgewiesenen GPOs sowie den Grund für die Zurückweisung anzeigen. Sie können sehen, welche Einstellungen angewendet werden oder würden, und Sie erfahren, welches "Gewinner"-GPO den Wert für die Einstellung bereitgestellt hat.

Beispielskripts

GPMC umfasst zudem auch Beispielskripts, die verwendet werden können, um schnell eine Reihe unterschiedlicher Aufgaben zur Problembehandlung durchzuführen. Wenn Sie kein Beispielskript finden können, das Ihren Anforderungen entspricht, können Sie eines der Beispielskripts anpassen oder ein eigenes Skript erstellen. Die folgenden Beispielskripts helfen bei der Behandlung unterschiedlicher Problemstellungen:

Eine vollständige Liste der verfügbaren Beispielskripts, der zugehörigen Dokumentation sowie eine Liste der von GPMC bereitgestellten Scriptingschnittstellen finden Sie im SDK zur Gruppenrichtlinienverwaltungskonsole in der Hilfedatei %programfiles%\gpmc\scripts\gpmc.chm auf jedem Computer, auf dem GPMC installiert ist. (Das SDK zur Gruppenrichtlinien-Verwaltungskonsole ist nur auf Englisch verfügbar.)

Informationen zum Downloaden und Installieren der Gruppenrichtlinien-Verwaltungskonsole finden Sie unter Group Policy Management Console with Service Pack 1 (englischsprachig) auf der Microsoft-Website (http://go.microsoft.com/fwlink/?LinkId=21813).

GPResult.exe

Es gibt zwei Versionen von GPResult.exe.

GPOTool.exe

Bei GPOTool.exe handelt es sich um ein Befehlszeilentool, das in replizierten Domänen verwendet wird, d. h. in Domänen, die mehr als einen Domänencontroller enthalten. Es durchsucht sämtliche Domänencontroller und prüft jeden auf Konsistenz zwischen dem Gruppenrichtliniencontainer (d. h. die im Verzeichnisdienst enthaltenen Informationen) und der Gruppenrichtlinienvorlage (d. h. die auf der Freigabe SYSVOL auf dem Domänencontroller enthaltenen Informationen). Das Tool stellt darüber hinaus auch fest, ob die Richtlinien gültig und zwischen den Domänencontrollern konsistent sind, und es zeigt detaillierte Informationen über die GPOs an, die zwischen den Domänencontrollern repliziert wurden.

Diagnosetool zur Softwareinstallation (Addiag.exe)

Windows Server 2003 umfasst mit dem Tool für die Softwareinstallationsdiagnose (Addiag.exe) ein fortschrittliches Problembehandlungstool, das bei der Behandlung von Problemen mit Richtlinien zur Softwareinstallation zum Erfassen von weiteren Diagnoseinformationen verwendet werden kann.

Der Name der binären ausführbaren Datei für dieses Tool lautet Addiag.exe. Mit dem Ausführen von addiag.exe /? von der Befehlszeile aus wird die Syntax bereitgestellt.

Dieses Tool stellt ausführliche Informationen zu den Anwendungen, die in Active Directory sichtbar sind und für den aktuellen Benutzer installiert sind, sowie allgemeine Diagnoseinformation und die zugehörigen Ereignisprotokolleinträge bereit.

Addiag.exe gehört zu den Supporttools von Windows Server 2003. Diese Supporttools werden nicht mit dem Windows-Betriebssystem installiert; sie müssen separat aus dem Ordner \Support\Tools\ der Windows-Betriebssystem-CD installiert werden.

Kennen lernen der integrierten Problembehandlungstools

Dieser Abschnitt enthält Informationen über die Verwendung der Gruppenrichtlinienmodellierung und der Gruppenrichtlinienergebnisse in GPMC zum Generieren von Berichten.

Gruppenrichtlinienergebnisse

GPMC nutzt die RSoP-Funktionalität (Resultant Set of Policy, Richtlinienergebnissatz) von Windows Server 2003 und Windows XP zur Bereitstellung von Berichten zu der Art und Weise, wie Gruppenrichtlinien auf die einzelnen Clients angewendet werden. Da diese Berichte auf eine neue Funktion von Windows XP und Windows Server 2003 aufsetzen, muss auf den Clients, für die diese Berichte generiert werden, eines der genannten Betriebssysteme ausgeführt werden.

  Hinweis

Gruppenrichtlinienergebnisse setzen auf die Windows-Verwaltungsinstrumentation (WMI) auf. Wenn die WMI nicht ausgeführt wird, sind Sie nicht in der Lage, Richtlinienergebnissätze oder Gruppenrichtlinienergebnisse zu verwenden. In diesem Fall bietet die Anzeige der UserEnv-Protokolldatei im ausführlichen Modus die Informationen, die Sie für die Problembehandlung benötigen, z. B. indem die GPOs angezeigt werden, die nicht angewendet werden konnten. Weitere Informationen über UserEnv finden Sie unter Beheben von Gruppenrichtlinienproblemen mithilfe von Protokolldateien.

So generieren Sie einen Gruppenrichtlinien-Ergebnisbericht

Gruppenrichtlinienmodellierung

Bevor Sie ein GPO implementieren, sollten Sie die Gruppenrichtlinienmodellierung verwenden, um die möglichen Auswirkungen dieses speziellen GPOs zu prüfen. Im Gruppenrichtlinien-Modellierungsbericht finden Sie auf den Registerkarten Zusammenfassung und Einstellungen ähnliche Informationen wie die, die Sie im Gruppenrichtlinien-Ergebnisbericht finden. Im Gruppenrichtlinien-Modellierungsbericht werden jedoch keine Richtlinienereignisse seitens des Clients erfasst. Anstelle der Registerkarte Richtlinienereignisse wird hier auf der Registerkarte Abfrage eine Liste der Bedingungen angezeigt, die bei der Erstellung des Modells zugrunde gelegt wurden.

So generieren Sie einen Gruppenrichtlinien-Modellierungsbericht

Registerkarte "Zusammenfassung"

Die Bereiche, die auf der Registerkarte Zusammenfassung unter den Überschriften Computerkonfiguration und Benutzerkonfiguration dargestellt werden, werden in der folgenden Tabelle aufgeführt und erläutert.

Registerkarte "Einstellungen"

Auf der Registerkarte Einstellungen werden die tatsächlich angewendeten Einstellungen aufgeführt. Diese sind nach Quelle der Einstellung sortiert (z. B. Computerkonfiguration\Windows-Einstellungen oder Benutzerkonfiguration\Administrative Vorlagen). Der Bericht umfasst auch das "Gewinner"-GPO für jede Einstellung.

Anhand dieser Informationen können Sie das GPO im Navigationsbereich finden. Die Informationen, die beim Klicken auf das GPO angezeigt werden, sind von den Rechten abhängig, die Ihrem Benutzerkonto gewährt wurden. Wenn Sie über die geeigneten Rechte verfügen, können Sie die Einstellungen prüfen oder bearbeiten und erhalten zudem eine Liste der Standorte, Domänen und OUs, die mit dem GPO verknüpft sind.

Registerkarte "Richtlinienereignisse"

Bei Verwendung von GPMC zur Erzeugung eines Berichts des Richtlinienergebnissatzes auf dem Client werden Ereignisse, die auf dem Client protokolliert wurden und mit Gruppenrichtlinien in Verbindung stehen, auf der Registerkarte Richtlinienereignisse angezeigt. Zu den Quellen für diese Ereignisse gehören das Gruppenrichtlinien-Kernmodul auf dem Client (der UserEnv-Prozess) und die CSEs für Gruppenrichtlinien.

Die Anzeige auf der Registerkarte Richtlinienereignisse ist mit der in der Ereignisanzeige vergleichbar. Hierbei handelt es sich um ein besonders hilfreiches Problembehandlungstool von GPMC, da hiermit nur die Gruppenrichtlinienereignisse der Ereignisanzeige herausgefiltert werden. Tabelle 2 enthält eine Liste sowie eine Definition der Quellen.

  Hinweis

Zum Anzeigen der Gruppenrichtlinienereignisse auf einem Computer unter Windows XP SP1 oder Windows Server 2003 müssen Sie auf diesem Computer als lokaler Administrator angemeldet sein. Wenn Sie über die erforderlichen Rechte zum Erzeugen eines Gruppenrichtlinien-Ergebnisberichts, jedoch nicht über das Recht zum Anzeigen von Gruppenrichtlinienereignissen auf dem Client verfügen, wird auf der Registerkarte Richtlinienereignisse die Meldung "Das Ereignisprotokoll konnte nicht geöffnet werden: Zugriff verweigert" anstelle einer Liste der Ereignisse angezeigt.

In bestimmten Situationen werden einige Protokolleinträge nicht erstellt, um ein Überlaufen der Protokolldatei auf dem Client zu verhindern. Wenn ein Computer beispielsweise nicht mit dem Netzwerk verbunden ist und sich ein Benutzer mit im Cache befindlichen Anmeldeinformationen anmeldet, wird in den Einträgen für den Komponentenstatus auf der Registerkarte Zusammenfassung des Gruppenrichtlinien-Ergebnisberichts der fehlgeschlagene Zugriff sowie die fehlgeschlagene Anwendung der Gruppenrichtlinien angezeigt. Die Liste der hiermit zusammenhängenden Fehlerereignisse wird jedoch nicht im Anwendungsereignisprotokoll auf dem Client oder auf der Registerkarte Richtlinienereignisse angezeigt.

  Hinweis

Die UserEnv-Protokollierung erfolgt standardmäßig nicht ausführlich, sondern es werden nur Fehler und Warnungen erfasst und auf der Registerkarte Richtlinienereignisse angezeigt. Weitere Informationen finden Sie in Beheben von Gruppenrichtlinienproblemen mithilfe von Protokolldateien.

Installieren von Tools für die Behandlung von externen Problemen

Gruppenrichtlinien sind von verschiedenen Betriebssystemtechnologien wie Active Directory, DNS (Domain Name System) und FRS (File Replication Service, Dateireplikationsdienst) abhängig. Die folgenden Tools helfen Ihnen bei der Behandlung von Problemen in Verbindung mit diesen abhängigen Technologien.

Sonar.exe

Sonar ist ein Befehlszeilentool, das es dem Administrator ermöglicht, die wichtigsten Statistiken sowie den Status von Mitgliedern eines FRS-Replikationssatzes zu überwachen. Verwenden Sie Sonar zum Überwachen der wichtigsten Statistiken eines Replikationssatzes und überwachen Sie so Datenverkehrsspitzen, Rückstände und den freien Speicher. Sonar.exe steht unter Sonar.exe: FRS Status Viewer (englischsprachig) auf der Microsoft-Website (http://go.microsoft.com/fwlink/?LinkId=16719) zum kostenlosen Download bereit.

Active Directory-Supporttools

Im Hilfe- und Supportcenter von Windows Server 2003 finden Sie unter dem Thema "Active Directory-Supporttools" eine Liste der Active Directory-Supporttools. Verwenden Sie diese Tools für die Behandlung von Problemen mit Active Directory.

Andere Befehlszeilentools von Windows Server 2003

Zum Lieferumfang von Windows Server 2003 gehört eine Reihe von Befehlszeilentools wie Ping.exe, Netdiag.exe und Dcdiag.exe. Eine vollständige Referenz zu den Tools im Lieferumfang von Windows Server 2003 finden Sie auf der Microsoft-Website unter Windows Server 2003 Technical Reference: Tools and Settings Collection (englischsprachig) (http://go.microsoft.com/fwlink/?LinkId=4972).

Aktivieren der Überwachung

Der Administrator kann mithilfe von Gruppenrichtlinien die Überwachung von Windows-Registrierungsschlüsseln aktivieren. Alternativ kann er eine Sicherheitsvorlage zum Überwachen von Registrierungsschlüsseln oder den Registrierungs-Editor für diesen Zweck verwenden. Der Administrator muss zudem auch für die zu überwachenden Registrierungsschlüssel SACLs konfigurieren.

Zum Aktivieren der Überwachung der Windows-Registrierung kann die Richtlinieneinstellung Objektzugriffsversuche überwachen unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Überwachungsrichtlinien verwendet werden.

Mit der Richtlinieneinstellung Objektzugriffsversuche überwachen wird festgelegt, ob das Ereignis des Benutzerzugriffs auf ein Objekt (z. B. eine Datei, einen Ordner, einen Registrierungsschlüssel, einen Drucker usw.) überwacht werden soll, für das eine eigene SACL (System Access Control List, Systemzugriffssteuerungsliste) definiert wurde. Standard: Keine Überwachung.

Zum Konfigurieren von Berechtigungen zum Überwachen von Registrierungsschlüsseln klicken Sie in der Konsole des Gruppenrichtlinienobjekt-Editors unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen mit der rechten Maustaste auf Registrierung, klicken dann auf Schlüssel hinzufügen, wählen den Registrierungsschlüssel aus, für den die Überwachung aktiviert werden soll, und klicken dann auf Erweitert. Klicken Sie im Dialogfeld Datenbanksicherheit auf die Registerkarte Überwachung, geben Sie dann die Benutzer oder Gruppen an, die die Berechtigung hierzu erhalten sollen, und legen Sie die Berechtigungen fest, die verwendet werden sollen.

Weitere Informationen über das Aktivieren der Überwachung von Registrierungsschlüsseln finden Sie unter HOW TO: Use Group Policy to Audit Registry Keys in Windows Server 2003 (englischsprachig oder in maschineller Übersetzung) auf der Microsoft-Website (http://go.microsoft.com/fwlink/?LinkId=35275).

Aktivieren der Protokollierung

Zur Behandlung von Problemen mit Benutzerprofilen und der Verarbeitung von Gruppenrichtlinien können Sie die UserEnv-Protokollierung aktivieren.

  Vorsicht

Dieser Abschnitt enthält Informationen über das Ändern der Registrierung. Bevor Sie Änderungen an der Registrierung vornehmen, sollten Sie diese sichern und sich vergewissern, dass Sie die Registrierung im Falle eines Problems wiederstellen können. Informationen über das Sichern, Wiederherstellen und Bearbeiten der Registrierung finden Sie unter Beschreibung der Microsoft Windows-Registrierung auf der Microsoft-Website (http://go.microsoft.com/fwlink/?LinkId=35500).

So aktivieren Sie die UserEnv-Protokollierung auf dem Client

Für UserEnvDebugLevel können folgende Werte eingegeben werden:

Der Standardwert ist NORMAL|LOGFILE (0x00010001).

Wählen Sie zum Deaktivieren der Protokollierung NONE (0x00000000) aus.

Sie können die Werte von UserEnvDebugLevel auch kombinieren. Beispielsweise können Sie VERBOSE 0x00000002 und LOGFILE 0x00010000 kombinieren, um 0x00010002 zu erhalten. Wenn der Wert von UserEnvDebugLevel also auf 0x00010002 festgelegt wird, wird sowohl LOGFILE (Protokolldatei) als auch VERBOSE (Ausführlich) aktiviert. Die Kombination dieser Werte kann wie im Folgenden gezeigt mit der Verwendung einer ODER-Anweisung verglichen werden:

0x00010000 ODER 0x00000002 = 0x00010002

Die Protokolldatei wird in die Datei Userenv.log im Ordner %Systemroot%\Debug\UserMode\ geschrieben. Wenn die Datei Userenv.log bereits vorhanden und größer als 300 KB ist, wird die vorhandene Datei in Userenv.bak umbenannt und eine neue Protokolldatei erstellt.

Weitere Informationen über das Aktivieren der Protokollierung für clientseitige Erweiterungen und die serverseitige Protokollierung finden Sie unter Beheben von Gruppenrichtlinienproblemen mithilfe von Protokolldateien.

Aktivieren der Protokollierung für Sicherheitseinstellungen

Zu den Konfigurations- und Analysetools für die Sicherheitseinstellungen gehört Scecli.dll, womit die clientseitige Erweiterung für Gruppenrichtlinien implementiert wird. Scecli.dll stellt clientseitige Schnittstellen zum Sicherheitskonfigurationsmodul bereit und führt während der Richtlinienweitergabe eine Richtlinienergebnissatz-Protokollierung durch.

Der Administrator kann die Protokollierung für Scecli.dll aktivieren. Das Protokoll wird in die Datei Winlogon.log geschrieben, die im Ordner %SYSTEMROOT%\Security\Logs erstellt wird.

So konfigurieren Sie die Protokollierungsausgabe für den Sicherheitskonfigurations-Client

Aktualisieren Sie die Richtlinieneinstellungen, um den Fehler zu reproduzieren, indem Sie an der Befehlseingabeaufforderung Folgendes eingeben: gpudate /force.

In diesem Beitrag