Auf dieser Seite
In diesem Thema wird das empfohlene Framework für die Behandlung von Problemen mit Gruppenrichtlinien vorgestellt.
Wissenswertes zur Verarbeitung von Gruppenrichtlinien
Bevor Sie sich mit der Behandlung von Problemen mit Gruppenrichtlinien befassen, sollten Sie zunächst ein grundlegendes Verständnis der Verarbeitung von Gruppenrichtlinien auf dem Client entwickeln. Die Verarbeitung von Gruppenrichtlinien kann in zwei verschiedene Phasen untergliedert werden: | • |
Grundlegende Verarbeitung von Gruppenrichtlinien. Wenn der Client mit der Verarbeitung von Gruppenrichtlinien beginnt, muss er zunächst feststellen, ob er den Domänencontroller erreichen kann, ob irgendwelche GPOs geändert wurden und welche Richtlinieneinstellungen (basierend auf den clientseitigen Erweiterungen) verarbeitet werden müssen. Die Verarbeitung in dieser Anfangsphase wird vom Gruppenrichtlinien-Kernmodul übernommen. | | • |
Verarbeitung durch die clientseitigen Erweiterungen (CSEs). Richtlinieneinstellungen werden in unterschiedliche Kategorien wie administrative Vorlagen, Sicherheitseinstellungen, Ordnerumleitung, Datenträgerkontingente und Softwareinstallation unterteilt. Die Einstellungen in jeder Kategorie setzen eine bestimmte CSE zwecks Verarbeitung voraus, und jede CSE verfügt über eigene Regeln für die Verarbeitung von Einstellungen. Das Gruppenrichtlinien-Kernmodul ruft die CSEs auf, die für die Verarbeitung der Einstellungen erforderlich sind, die auf dem Client angewendet werden sollen. |
Empfohlener Prozess für die Problembehandlung
Übergeordnete Schritte zur Behandlung von Problemen mit Gruppenrichtlinien1. |
Prüfen Sie die erforderliche Infrastruktur. Vergewissern Sie sich, dass die erforderlichen Dienste und Komponenten ausgeführt werden und wie erwartet konfiguriert sind. | 2. |
Prüfen Sie die Kernkonfiguration. Vergewissern Sie sich, dass der Computer mit dem Netzwerk verbunden und Mitglied der Domäne ist und dass er die richtige Systemzeit aufweist. | 3. |
Prüfen Sie die Gruppenrichtlinienausnahmen. Prüfen Sie, dass Ausnahmen (Verwaltungsbereich) wie Sicherheitsfilterung, WMI-Filterung, Deaktivieren der Vererbung, Erzwingen der Verarbeitung, Loopbackverarbeitung und Einstellungen für langsame Verbindungen die normale Verarbeitung von GPOs nicht beeinträchtigen. | 4. |
Verwenden Sie Tools wie GPResult.exe, GPOTool.exe und GPMC, um sicherzustellen, dass Gruppenrichtlinieneinstellungen, deren Bereitstellung erwartet wird, auch tatsächlich bereitgestellt werden und dass Gruppenrichtlinienobjekte auf Domänencontrollern konsistent und verfügbar sind. | 5. |
Verwenden Sie Ereignisprotokolle, UserEnv-Protokolle und CSE-Protokolle, um Probleme zu analysieren und eine Lösung zu finden. |
Nach der Prüfung der Netzwerkkonnektivität empfiehlt es sich, zunächst zu prüfen, ob ein Problem bis zur grundlegenden Gruppenrichtlinie zurückverfolgt werden kann. Da die CSEs nicht mit der Arbeit beginnen können, bevor die grundlegende Verarbeitung der Gruppenrichtlinien abgeschlossen ist, gelten die unter Beheben von grundlegenden Problemen mit Gruppenrichtlinien erläuterten Probleme allgemein und ungeachtet der Frage, welche CSE die Einstellung verarbeitet. Daher sollten Sie zunächst sicherstellen, dass es sich bei Ihrem Problem nicht um ein grundlegendes Problem mit der Gruppenrichtlinie handelt, bevor Sie damit beginnen, das Problem in den anderen vorstehend aufgeführten Bereichen zu suchen.
Gehen Sie zur Feststellung, welche Gruppenrichtlinienprobleme bei Ihnen vorliegen, wie folgt vor: 1. |
Generieren Sie mithilfe von GPMC einen Gruppenrichtlinien-Ergebnisbericht. | 2. |
Prüfen Sie die Angaben im Bericht, um Antworten auf drei Fragen zu erhalten, die für die Navigation im Ablaufdiagramm verwendet werden: | • |
Wird das GPO im Gruppenrichtlinien-Ergebnisbericht als angewendet aufgeführt? | | • |
Wird die Einstellung im Gruppenrichtlinien-Ergebnisbericht aufgeführt? | | • |
Wird das GPO in der Liste der zurückgewiesenen GPOs aufgeführt? |
| 3. |
Vergleichen Sie die Ergebnisse des Berichts mit dem Ablaufdiagramm in Abbildung 1. | 4. |
Die meisten der Ergebnisse im Bericht können grundlegenden Problemen mit Gruppenrichtlinien im Ablaufdiagramm zugeordnet werden. Untersuchen Sie zuerst die grundlegenden Probleme mit Gruppenrichtlinien, auch wenn die Ergebnisse des Berichts auf eine bestimmte CSE hinweisen. | 5. |
Wenn das Problem weiterhin besteht, prüfen Sie, ob eine CSE involviert ist. | 6. |
Wenn Sie das Problem damit immer noch nicht lokalisieren kann, müssen Sie ggf. einen Blick in die Protokolldateien werfen, um die Ursache zu ermitteln. | 7. |
Wenn Sie feststellen, dass der Fehler mit einer Komponente zusammenhängt, prüfen Sie das UserEnv-Protokoll, um zu ermitteln, ob seitens der lokalen Sicherheitsautorität (LSA) irgendwelche Ereignisse protokolliert wurden. |
Abbildung 1 Ablaufdiagramm für die Problembehandlung von Gruppenrichtlinien
Weitere Informationen über das Erstellen von Gruppenrichtlinien-Ergebnisberichten und zur Interpretation des Ablaufdiagramms finden Sie unter Beheben von grundlegenden Problemen mit Gruppenrichtlinien.
Zur Behandlung von Problemen mit Gruppenrichtlinien müssen Sie einen oder mehrere der folgenden Bereiche berücksichtigen: | • | Beheben von grundlegenden Problemen mit Gruppenrichtlinien
Dieser Abschnitt beginnt mit einem Ablaufdiagramm für die Behandlung von Problemen mit der grundlegenden Funktionalität von Gruppenrichtlinien. Dieses Ablaufdiagramm soll Ihnen dabei helfen, mögliche Ursachen des Problems zu erkennen und andere mögliche Ursachen schnell ausschließen zu können. Weitere Informationen über bestimmte Probleme finden Sie in den folgenden Artikeln: | | • |
Beheben von Problemen, die mit einer bestimmten CSE oder einem bestimmten Richtlinieneinstellungstyp zusammenhängen. Dieser Abschnitt umfasst Methoden der Problembehandlung, die sich auf einen speziellen Richtlinientyp beziehen. Informationen über diesbezügliche Probleme finden Sie in den folgenden Artikeln: | | • | Beheben von Gruppenrichtlinienproblemen mithilfe von Protokolldateien
Dieser Abschnitt hilft Ihnen bei der Interpretation zahlreicher Fehler, die in Protokollen wie UserEnv.log und Winlogon.log gefunden werden können. In diesem Zusammenhang kann es vorkommen, dass Sie die ausführliche Protokollierung für Protokolldateien aktivieren und die Ergebnisse analysieren müssen. |
Asynchrone Verarbeitung und Anmeldungsoptimierung unter Windows XP
Gruppenrichtlinien können beim Start und bei der Anmeldung (synchrone Verarbeitung) oder als Hintergrundtask nach Start und Anmeldung (asynchrone Verarbeitung) angewendet werden. Änderungen, die bei den periodischen Gruppenrichtlinienaktualisierungen oder durch den Befehl gpupdate empfangen werden, werden asynchron verarbeitet. Auf Computern unter Windows XP werden Gruppenrichtlinien, die bei der Anmeldung empfangen werden, standardmäßig ebenfalls asynchron verarbeitet, damit die Anmeldung schneller durchgeführt werden kann.
Richtlinien zur Softwareinstallation und zur Skriptverarbeitung müssen beim Start oder bei der Anmeldung angewendet werden. Die Ordnerumleitung für den Benutzer muss bei der Anmeldung angewendet werden. Unter Windows XP meldet sich der Benutzer im asynchronen Modus an. Die Gruppenrichtlinien werden nach der Anmeldung des Benutzers im Hintergrund angewendet. Dementsprechend kann die Anmeldung schneller erfolgen. Wenn nun jedoch eine neue Gruppenrichtlinienobjekt-Einstellung für Softwareinstallation, Skripts oder Ordnerumleitung auf einem Computer unter Windows XP empfangen wird, ist der Benutzer bereits angemeldet, bevor die Gruppenrichtlinie ausgewertet wurde. Es ist daher zu spät, z. B. die Softwareinstallationseinstellung zu übernehmen. In diesem Fall wird ein Flag gesetzt, damit die Gruppenrichtlinie beim nächsten Neustart des Computers bzw. bei der nächsten Anmeldung des Benutzers vor dem Abschluss von Start und Anmeldung ausgewertet und angewendet wird.
Verwenden Sie in Situationen, in denen Benutzer mit einer einzigen Anmeldung Software erhalten, eine Ordnerumleitung implementieren oder neue Skripts ausführen müssen, ein Gruppenrichtlinienobjekt mit der Einstellung Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten. Diese Einstellung befindet sich im Gruppenrichtlinienobjekt-Editor unter Computerkonfiguration\Administrative Vorlagen\System\Anmeldung. Damit die Einstellung wirksam wird, müssen die Gruppenrichtlinien aktualisiert oder muss der Computer neu gestartet werden. |
Windows 2000 |
Synchron |
Synchron |
Asynchron |
Windows XP Professional |
Asynchron |
Asynchron |
Asynchron |
Windows Server 2003 |
Synchron |
Synchron |
Asynchron |
Hinweis
Server führen keine asynchrone Verarbeitung durch.
| |
