Gruppenrichtlinien – Handbuch für die Problembehebung

Beheben von Problemen bei Sicherheitseinstellungen

Aktualisiert: 02. Mrz 2005

In diesem Abschnitt wird die Behandlung von Problemen in Bezug auf Richtlinien für Sicherheitseinstellungen erläutert.

Hintergrundinformationen zum CSE für Sicherheitseinstellungen

Das CSE für Sicherheitseinstellungen stellt clientseitige Schnittstellen zum Sicherheitskonfigurationsmodul bereit und führt während der Richtlinienweitergabe eine Richtlinienergebnissatz-Protokollierung durch .

Die Binärdatei, die das CSE für die Sicherheit enthält, ist Scecli.dll. Dieser Name wird normalerweise in Ereignissen, Fehlermeldungen und Protokolleinträgen angezeigt, die bei der Verarbeitung von Gruppenrichtlinienobjekten für die Sicherheit generiert und protokolliert werden. Scecli verwaltet die Anwendung der Sicherheitsrichtlinieneinstellungen, die im Gruppenrichtlinienobjekt-Editor im Knoten Sicherheitseinstellungen vorhanden sind. Scecli ist für die folgenden Bereiche verantwortlich:

•	Kontorichtlinien
•	Lokale Richtlinien
•	Ereignisprotokoll
•	Eingeschränkte Gruppen
•	Systemdienste
•	Registrierung
•	Dateisystem

Wird das CSE für die Sicherheit vom Gruppenrichtlinienmodul benachrichtigt, wird eine Liste der anzuwendenden Grupenrichtlinienobjekte bereitgestellt. Das CSE für die Sicherheit kopiert dann die Datei gpttmpl.inf aus der Ordnerstruktur der einzelnen Richtlinien in Sysvol. Diese Dateien werden lokal in den verborgenen Ordner %SYSTEMROOT%\Security\Templates\Policies kopiert. Die Einstellungen werden aus gpttmpl.inf in Sysvol gelesen und in eine temporäre Datei mit dem Namen tmpgptfl.inf geschrieben. Nach dem erfolgreichen Kopieren der Einstellungen wird die Datei kopiert und inkrementell beginnend bei gpt00000.inf benannt. Wenn das Gruppenrichtlinienobjekt mit der Domäne verknüpft ist, erhält die zwischengespeicherte Vorlage die Erweiterung DOM, andernfalls die Erweiterung INF.

Dies erfolgt deshalb, weil einige Einstellungen nur angewendet werden, wenn sie mit der Domäne verknüpft sind. Weitere Informationen finden Sie in Gruppenrichtlinien-Anwendungsregeln für Domänencontroller auf der Microsoft-Website unter (http://go.microsoft.com/fwlink/?LinkId=39978). Die Vorlagen im zwischengespeicherten Pfad werden dann in aufsteigender Reihenfolge angewendet. Die Datei gpt00000.inf wird vor gpt00001.inf angewendet. Im Fall eines Konflikts hat gpt00001.inf Vorrang.

Korrekturen für spezielle Probleme für Sicherheitseinstellungen

Wählen Sie in der folgenden Liste das Problem aus, das Ihre Situation am besten beschreibt, und führen Sie dann die entsprechenden Schritte aus, um das Problem zu beheben:

Auf dieser Seite


	Replikation von Gruppenrichtlinieneinstellungen zwischen Domänencontrollern schlägt fehl
	Änderungen von Kennwortrichtlinieneinstellungen werden nicht wirksam
	Kontorichtlinienvorlagen werden nicht richtig übernommen
	Richtlinien für Sicherheitseinstellungen werden mit Warnungen weitergegeben
	Beim Öffnen von Kontorichtlinien oder lokalen Richtlinien treten Scecli.dll-Fehler auf
	Standard-Grupppenrichtlinienobjekte wurden beschädigt: Wiederherstellung in Notfällen
	Windows-Sicherheitseinstellungen bleiben nach deren Entfernen weiterhin wirksam

Zum Seitenanfang

Replikation von Gruppenrichtlinieneinstellungen zwischen Domänencontrollern schlägt fehl

Ursache

Wenn Sie falsche Berechtigungen für den Ordner %SystemRoot%\Winnt\Sysvol falsche Gruppen für das Benutzerrecht Auslassen der durchsuchenden Überprüfung zuweisen, kann ein Replikationsproblem auftreten. Das Replikationsproblem tritt auch auf, wenn die Berechtigungen für die sysvol-Freigabe zu restriktiv sind.

Lösung

Gehen Sie zur Problembehandlung folgendermaßen vor:

•

Vergewissern Sie sich, dass die Berechtigungen für den Ordner %SystemRoot%\Winnt\Sysvol und dessen Unterorder wie in Ereignis-IDs 1000 und 1001 werden alle fünf Minuten im Anwendungsprotokoll aufgezeichnet auf der Microsoft-Website (http://go.microsoft.com/fwlink/?LinkId=35272) beschrieben festgelegt sind.

•

Klicken Sie in der Konsole Gruppenrichtlinienverwaltung mit der rechten Maustaste auf das Gruppenrichtlinienobjekt Standard-Domänencontrollerrichtlinie (in der Organisationseinheit Domänencontroller), klicken Sie auf Bearbeiten, und vergewissern Sie sich, dass die Sicherheitseinstellung Auslassen der durchsuchenden Überprüfung (in Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten) die folgenden Standardgruppen enthält:

•	Authentifizierte Benutzer
•	Jeder
•	Administratoren

•

Aktualisieren Sie die Sicherheitsrichtlinien, indem Sie gpupdate /force ausführen.

Zum Seitenanfang

Änderungen von Kennwortrichtlinieneinstellungen werden nicht wirksam

Kennwortrichtlinieneinstellungen werden nicht wirksam.

Ursache

Wenn Änderungen an Kennwortrichtlinieneinstellungen vorgenommen wurden, diese jedoch nicht angewendet werden, weist dies möglicherweise darauf hin, dass die Richtlinieneinstellungen nicht aktualisiert wurden.

Lösung

So erzwingen Sie eine Richtlinienaktualisierung

•	Klicken Sie auf Start und auf Ausführen, geben Sie nun gpudate ein, und klicken Sie anschließend auf OK. Auf diese Weise werden die Richtlinieneinstellungen aktualisiert, wodurch auch die Änderungen an der Kennwortrichtlinie auf dem Computer aktualisiert werden.

Mit GPUpdate werden die lokalen Gruppenrichtlinieneinstellungen sowie die Gruppenrichtlinieneinstellungen aktualisiert, die in Active Directory gespeichert sind. Dies umfasst auch die Sicherheitseinstellungen. Mit diesem Befehl wird die nun veraltete Option /refreshpolicy des Befehls secedit vorweggenommen.

Zum Seitenanfang

Kontorichtlinienvorlagen werden nicht richtig übernommen

Ein Administrator wendet eine Sicherheitsvorlage an, mit der in den Kontorichtlinien Einstellungen festgelegt werden, die der Administrator nicht verwenden möchte, wie Einstellungen, die bewirken, dass Benutzer ihre Kennwörter zu einem Zeitpunkt ändern müssen, den der Administrator nicht für günstig hält. Das Problem lässt sich mit der Festlegung von Nicht definiert für die Kontorichtlinien nicht lösen.

Ursache

Unrichtig angewendete Kontorichtlinieneinstellungen. Im vorliegenden Fall hat der Administrator eine Sicherheitsvorlage angewendet, die unerwünschte Auswirkungen zeigt.

Lösung

Gehen Sie wie folgt vor, um Probleme mit fälschlicherweise angewendeten Vorlagen zu lösen:

Wenden Sie die Standardeinstellungen für Kontorichtlinien erneut an. Die Standardeinstellungen des GPOs der Standarddomänenrichtlinie für eine saubere Installation von Windows Server 2003 befinden sich in %windir%\inf\dcfirst.inf. Die Sicherheitsvorlage Dcfirst.inf wird verwendet, um die Sicherheitseinstellungen im GPO der Standarddomänenrichtlinie festzulegen, wenn der erste Domänencontroller in der Domäne installiert wird. Mit dem Importieren dieser Vorlage in die Standarddomänenrichtlinie (und dem Deaktivieren von Datenbank vor dem Importieren aufräumen) werden die Sicherheitseinstellungen auf einen sauberen Installationsstatus zurückgesetzt.

Das Gleiche gilt für die Sicherheitsvorlage Defdcgpo.inf, die die Standardsicherheitseinstellungen für das GPO der Standarddomänencontrollerrichtlinie (für eine saubere Installation von Windows Server 2003) enthält. Die Vorlage Defdcgpo.inf finden Sie unter %windir%\inf\.

Hinweis

Bei Domänenkonten muss die Kontorichtlinie in der Standarddomänenrichtlinie oder in einer neuen Richtlinie definiert werden, die mit dem Stamm der Domäne verknüpft ist und der Vorrang vor der Standarddomänenrichtlinie eingeräumt wurde, die von den Domänencontrollern durchgesetzt wird, aus denen die Domäne besteht. Wenn auf Domänenebene mehr als ein GPO verknüpft ist, das Kontorichtlinieneinstellungen enthält, setzt sich die Kontorichtlinie der Domäne aus den kumulierten Richtlinieneinstellungen aus allen mit der Domäne verknüpften GPOs zusammen. Ein Domänencontroller bezieht die Kontorichtlinie immer aus einem mit der Domäne verknüpften GPO, bei dem es sich standardmäßig um das GPO der Standarddomänenrichtlinie handelt. Dies gilt auch dann, wenn auf die OU, die den Domänencontroller enthält, eine andere Kontorichtlinie angewendet wird. Standardmäßig erhalten auch Arbeitsstationen und Server (wie Mitgliedscomputer), die in eine Domäne eingebunden sind, die gleiche Kontorichtlinie für die lokalen Konten. Allerdings können die lokalen Kontorichtlinien für Mitgliedscomputer von der Domänenkontorichtlinie abgegrenzt werden, indem eine Kontorichtlinie für die OU definiert wird, die die Mitgliedscomputer enthält. Das Ändern der Standarddomänenrichtlinie ist nicht zu empfehlen. Wenn Sie Kontorichtlinien benötigen, die sich vom GPO der Standarddomänenrichtlinie unterscheiden, können Sie ein neues GPO erstellen und dieses mit dem Stamm der Domäne verknüpfen, hierin die gewünschte Richtlinie festlegen und diesem GPO dann einen höheren Rang als dem GPO der Standarddomänenrichtlinie zuweisen.

Warten Sie, bis die Änderungen im Zuge der Replikation an den Domänencontroller weitergegeben wurden.

Prüfen Sie, ob die Richtlinie auf die Clients angewendet wird.

So weisen Sie die Standardsicherheitseinstellungen über die Windows-Oberfläche erneut zu

Klicken Sie auf Start und auf Ausführen, geben Sie nun mmc ein, und klicken Sie anschließend auf OK.

Führen Sie einen der folgenden Schritte durch:

•	Klicken Sie zum Erstellen einer neuen Konsole im Menü Datei auf Neu.
•	Klicken Sie zum Öffnen einer vorhandenen Konsole im Menü Datei auf Öffnen, klicken Sie auf die Konsole, die Sie öffnen möchten, und klicken Sie dann auf Öffnen.

Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen, und klicken Sie dann in Snap-In hinzufügen/entfernen auf Hinzufügen.

Klicken Sie auf Sicherheitskonfiguration und -analyse. Klicken Sie dann nacheinander auf Hinzufügen, auf Schließen und auf OK.

Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Sicherheitskonfiguration und -analyse, und klicken Sie dann auf Datenbank öffnen.

Geben Sie in Dateiname einen Dateinamen ein, und klicken Sie dann auf Öffnen.

Führen Sie einen der folgenden Schritte durch:

•	Klicken Sie für einen Domänencontroller in der Konsolenstruktur mit der rechten Maustaste auf Sicherheitskonfiguration und -analyse, und klicken Sie auf Vorlage importieren. Klicken Sie im Dialogfeld Vorlage importieren auf In diesem Ordner suchen, und wählen Sie dann im Ordner %windir%\inf die Vorlage dcfirst.inf aus.
•	Klicken Sie für andere Computer in der Konsolenstruktur mit der rechten Maustaste auf Sicherheitskonfiguration und -analyse, klicken Sie auf Vorlage importieren, und klicken Sie dann auf Sicherheit einrichten.

Aktivieren Sie das Kontrollkästchen Datenbank vor dem Importieren aufräumen, und klicken Sie dann auf Öffnen.

Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Sicherheitskonfiguration und -analyse, und klicken Sie dann auf Computer jetzt konfigurieren.

10.

Führen Sie einen der folgenden Schritte durch:

•	Wenn Sie das im Dialogfeld Fehlerprotokollpfad angegebene Standardprotokoll verwenden möchten, klicken Sie auf OK.
•	Wenn Sie ein anderes Protokoll verwenden möchten, geben Sie in Fehlerprotokollpfad einen gültigen Pfad und Dateinamen ein, und klicken Sie auf OK.

11.

Klicken Sie nach Abschluss der Konfiguration mit der rechten Maustaste auf Sicherheitskonfiguration und -analyse, und klicken Sie dann auf Protokolldatei anzeigen.

Wichtig

Die Anwendung einer gesamten Setup-Sicherheitsvorlage ist eine drastische Maßnahme, die möglichst vermieden werden sollte; der bessere Weg besteht darin, die Einstellungen auf die geringstmögliche Anzahl zu verringern. Verwenden Sie stattdessen das Befehlszeilentool secedit mit dem Schalter /areas, um die Standardeinstellungen für bestimmte Bereiche anzuwenden.

Hinweis

Für die Durchführung dieses Verfahrens sind verschiedene Berechtigungen erforderlich, und zwar je nach Umgebung, in der die Standardsicherheitseinstellungen erneut angewendet werden sollen.

Sie möchten die Standardsicherheitseinstellungen auf dem lokalen Computer erneut anwenden: Für dieses Verfahren müssen Sie als Administrator oder als Mitglied der Gruppe der Administratoren für den lokalen Computer angemeldet sein. Ist der Computer in eine Domäne eingebunden, können auch Mitglieder der Gruppe der Domänenadministratoren dieses Verfahren ausführen. Als optimale Methode unter dem Aspekt der Sicherheit empfiehlt es sich, für diese Methode den Befehl Ausführen als zu verwenden.

Sie möchten die Standardsicherheitseinstellungen auf einem Computer erneut anwenden, der in eine Domäne eingebunden ist: Für dieses Verfahren müssen Sie in Active Directory Mitglied der Gruppe der Domänenadministratoren oder der Gruppe der Organisations-Administratoren sein, oder Sie müssen über ein lokales Administratorkonto oder ein Konto in der Gruppe der lokalen Administratoren verfügen.

So öffnen Sie die Sicherheitskonfiguration und -analyse

Klicken Sie auf Start und auf Ausführen, geben Sie nun mmc ein, und klicken Sie anschließend auf OK.

Führen Sie einen der folgenden Schritte durch:

•	Klicken Sie zum Erstellen einer neuen Konsole im Menü Datei auf Neu.
•	Klicken Sie zum Öffnen einer vorhandenen Konsole im Menü Datei auf Öffnen, klicken Sie auf die Konsole, die Sie öffnen möchten, und klicken Sie dann auf Öffnen.

Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen, und klicken Sie dann in Snap-In hinzufügen/entfernen auf Hinzufügen.

Klicken Sie auf Sicherheitskonfiguration und -analyse. Klicken Sie dann nacheinander auf Hinzufügen, auf Schließen und auf OK.

Der Standardpfad für die Protokolldatei lautet Systemroot\Dokumente und Einstellungen\Benutzerkonto\Eigene Dateien\Sicherheit\Protokolle.

Wenn Sie die Standardsicherheitseinstellungen erneut anwenden, werden alle Einstellungen, die in Setup security.inf definiert sind, so festgelegt, wie dies von der Vorlage vorgegeben wird; andere Einstellungen, die in der Vorlage nicht definiert sind, bleiben jedoch möglicherweise erhalten.

So wenden Sie die Standardsicherheitseinstellungen über die Befehlszeile erneut an

Klicken Sie auf Start, zeigen Sie auf Alle Programme, dann auf Zubehör, und klicken Sie anschließend auf Eingabeaufforderung.

Geben Sie für einen Server oder eine Arbeitsstation Folgendes ein:

secedit /configure /DBDateiname/CFG "%windir%\Security\Templates\Setup security.inf" [/overwrite][/areas Bereich1Bereich2...] [/log Protokollpfad] [/quiet]

Geben Sie für einen Domänencontroller Folgendes ein:

secedit /configure /DB Dateiname/CFG "%windir%\inf\dcfirst.inf" [/overwrite][/areas Bereich1Bereich2...] [/log Protokollpfad] [/quiet]

In der nachstehenden Tabelle werden die Secedit-Argumente erläutert, die bei diesem Verfahren verwendet werden.

Argument

Beschreibung

/DBDateiname

Erforderlich. Gibt den Pfad zu der Datenbank an, die die anzuwendende Sicherheitsvorlage enthält. Geben Sie zum Erstellen einer neuen Datenbank den Dateinamen und den Pfad zu der Datenbank an.

/CFG"%windir%\Security\Templates\Setup security.inf"

Gibt den Pfad zur Vorlage Setup Security.inf an, die die Standardsicherheitseinstellungen enthält.

/overwrite

Gibt die Datenbank an, die vor dem Importieren der Sicherheitsvorlage geleert werden soll. Wird dieser Parameter nicht angegeben, werden die Einstellungen in der Sicherheitsvorlage der Datenbank hinzugefügt. Wird dieser Parameter nicht angegeben und befinden sich in der Datenbank und in der zu importierenden Vorlage Einstellungen, die zueinander im Konflikt stehen, erhalten die Einstellungen der Vorlage den Vorrang.

/areasBereich1Bereich2...

Gibt die Sicherheitsbereiche an, die auf das System angewendet werden sollen. Wird dieser Parameter nicht angegeben, werden alle in der Datenbank definierten Sicherheitseinstellungen auf das System angewendet. Wenn mehrere Bereiche konfiguriert werden sollen, geben Sie zwischen den einzelnen Bereichen ein Leerzeichen ein. Die folgenden Sicherheitsbereiche werden unterstützt:


Bereichsname	Beschreibung
SECURITYPOLICY	Enthält Kontorichtlinien, Überwachungsrichtlinien, Einstellungen für die Ereignisprotokollierung sowie Sicherheitsoptionen.
GROUP_MGMT	Enthält Einstellungen für eingeschränkte Gruppen.
USER_RIGHTS	Enthält die Zuweisung von Benutzerrechten.
REGKEYS	Enthält Berechtigungen für die Registrierung.
FILESTORE	Enthält Berechtigungen für das Dateisystem.
SERVICES	Enthält Einstellungen des Systemdienstes.

/logProtokollpfad

Gibt eine Datei an, in der der Status des Konfigurationsprozesses protokolliert werden soll. Wird dieser Parameter nicht angegeben, werden die Konfigurationsdaten in der Datei Scesrv.log protokolliert, die sich im Ordner %windir%\Security\Logs befindet.

/quiet

Gibt an, dass der Konfigurationsprozess ohne Bestätigungen seitens des Benutzers erfolgen soll.

So zeigen Sie die vollständige Syntax des Befehls "secedit" an

•	Geben Sie an der Eingabeaufforderung den folgenden Befehl ein: secedit /?.

Zum Seitenanfang

Richtlinien für Sicherheitseinstellungen werden mit Warnungen weitergegeben

Unter Windows 2000 können die mit Scecli.dll zusammenhängenden Ereignisse 1202 und 1000 in bestimmten Fällen auf Domänencontrollern alle 5 Minuten und auf Clients alle 90 Minuten auftreten. Dementsprechend werden Sicherheitseinstellungen mit Warnungen weitergegeben, und die clientseitige Erweiterung für Gruppenrichtlinien-Sicherheitseinstellungen fällt möglicherweise aus.

Ursache

Diese Scecli.dll-Ereignisse können in Fällen wie den folgenden auftreten:

•	Ein Administrator hat ein Programm installiert, das Benutzerkonten erstellt und diesen Benutzerkonten Rechte zuweist. Später entfernt der Administrator das Programm, wodurch die Benutzerkonten gelöscht werden. In diesem Zuge werden jedoch nicht die Rechte aus der Gruppenrichtlinie gelöscht, bevor die Konten gelöscht werden.
•	Ein Administrator fügt ein Benutzerkonto hinzu und weist diesem Konto Rechte zu. Später löscht der Administrator das Konto, entfernt das Konto jedoch nicht aus der Richtlinie für Benutzerrechte.

Diese Ereignisse können als Fehler anzeigen, dass ein Sicherheitskonto zu einer Sicherheitskennung (SID) aufgelöst oder eine aufgehobene Vertrauensstellung wiederhergestellt werden muss.

Lösung

In der Warnungskategorie mit der Scecli.dll-Ereigniskennung 1202 wird eine Reihe unterschiedlicher Probleme protokolliert; diese werden kollektiv als "1202-Ereignisse" bezeichnet. Der Fehlercode der Warnung in der Ereignisanzeige gibt den Typ des aufgetretenen Problems an.

So zeigen Sie Diagnose- und Problembehandlungsinformationen in Verbindung mit 1202-Ereignissen an

•	Ermitteln Sie anhand der Benachrichtigung in der Ereignisanzeige (z. 0x4b8) den Fehlercode.
•	Wechseln Sie zum Abschnitt mit den Fehlercodes unter Problembehandlung bei SCECLI 1202-Ereignissen auf der Microsoft-Website (http://go.microsoft.com/fwlink/?LinkId=39979), und folgen Sie den Schritten zur Problembehebung in diesem Abschnitt.
•	Informationen über die Weitergabe von Sicherheitsrichtlinien mit der Warnung 0x534 finden Sie unter Error Message: Security Policies Are Propagated with Warning: 0x534 (englischsprachig) auf der Microsoft-Website (http://go.microsoft.com/fwlink/?LinkId=39980).

Zum Seitenanfang

Beim Öffnen von Kontorichtlinien oder lokalen Richtlinien treten Scecli.dll-Fehler auf

Scecli.dll-Fehler können auftreten, wenn Sie Kontorichtlinien oder lokale Richtlinien in der Richtlinie für Lokaler Computer öffnen.

Ursache

Wenn Sie versuchen, Kontorichtlinien oder lokale Richtlinien in der Richtlinie für Lokaler Computer zu öffnen, erhalten Sie ggf. die folgenden Fehlermeldungen:

•	"Die lokale Richtliniendatenbank konnten nicht geöffnet werden. Bei dem Versuch, die Datenbank zu öffnen, ist ein unbekannter Fehler aufgetreten."
•	SceCli-Ereigniskennung 1202: "Die Sicherheitsrichtlinien wurden mit Warnung 0x4b8 propagiert: Ein erweiterter Fehler ist aufgetreten."

Diese Fehlermeldung kann auftreten, wenn die Protokolldateien der lokalen Gruppenrichtlinien beschädigt sind. Dies weist in der Regel darauf hin, dass die Datei secedit.sdb beschädigt ist.

Lösung

So können Sie die Datei "secedit.sdb" prüfen und wiederherstellen

1.	Stellen Sie fest, ob secedit.sdb beschädigt ist, indem Sie esentutl /g %windir%\security\database\secedit.sdb ausführen.
2.	Versuchen Sie, die Datei secedit.sdb aus einer Datensicherung wiederherzustellen, die erstellt wurde, bevor das Problem auftrat.
3.	Wenn die Datei secedit.sdb beschädigt ist, versuchen Sie es zunächst mit einer "sanften" Wiederherstellung, indem Sie esentutl /r edb im Verzeichnis %windir%\security ausführen.
4.	Wenn diese Form der Wiederherstellung fehlschlägt, versuchen Sie, die Datei mit esentutl /p %windir%\security\database\secedit.sdb zu reparieren. Löschen Sie anschließend die Protokolldateien %windir%\security\edb und *%windir%\security\log**.
5.	Erstellen Sie die Datei secedit.sdb neu. Löschen Sie die folgenden Dateien: %windir%\security\edb, *%windir%\security\log und %windir%\security\database\secedit.sdb**.
6.	Starten Sie den Computer neu.

Hinweis

Wenn Sie auf einem Computer unter Windows 2000 einen Reparaturversuch mit esentutl /p unternehmen, gehen die lokalen Sicherheitsrichtlinieneinstellungen verloren und müssen neu erstellt werden.

Wenn Sie auf einem Computer unter Windows Server 2003 einen Reparaturversuch mit esentutl /p unternehmen, gehen die persistenten Sicherheitseinstellungen (auch als Tattoo-Tabelle bezeichnet) verloren, d. h. also, wenn die Gruppenrichtlinieneinstellungen undefiniert sind, werden die Einstellungen des Servers nicht auf die ursprünglichen Werten zurückgesetzt.

Weitere Informationen finden Sie in den folgenden Artikeln, in denen weitere bekannte Probleme erläutert werden, die den Fehler 0x4b8 verursachen können.

•	Ereignis-IDs 1000 und 1202 nach der Konfiguration von Richtlinien auf der Microsoft-Website (http://go.microsoft.com/fwlink/?linkid=39982).
•	ESENT-Ereignis-IDs 1000, 1202, 412 und 454 werden wiederholt im Anwendungsprotokoll festgehalten auf der Microsoft-Website (http://go.microsoft.com/fwlink/?LinkId=39984).

Zum Seitenanfang

Standard-Grupppenrichtlinienobjekte wurden beschädigt: Wiederherstellung in Notfällen

Die GPOs der Standarddomäne wurden beschädigt, und es gibt keine Datensicherungen des GPOs der Standarddomänenrichtlinien und des GPOs der Standard-Domänencontrollerrichtlinie.

Ursache

Die GPOs der Standarddomäne wurden beschädigt (z. B. aufgrund einer fehlerhaften Konfiguration), und Sie verfügen nicht über Datensicherungen des GPOs der Standarddomänenrichtlinie oder des GPOs der Standard-Domänencontrollerrichtlinie.

Lösung

Wenn Sie sich in einem Szenario zur Wiederherstellung im Notfall befinden, sollten Sie ggf. die Verwendung des Tools Dcgpofix in Betracht ziehen. Wenn Sie das Tool Dcgpofix verwenden, wird dringend empfohlen, dass Sie sofort bei dessen Ausführung die Sicherheitseinstellungen dieser GPOs prüfen und manuell so anpassen, dass sie Ihren Anforderungen gerecht werden.

Mit Dcgpofix werden die standardmäßigen Gruppenrichtlinienobjekte auf ihren ursprünglichen Standardstatus nach der Erstinstallation eines Domänencontrollers zurückgesetzt. Das Tool Dcgpofix erstellt zwei neue standardmäßige Gruppenrichtlinienobjekte und legt die Einstellungen basierend auf den Vorgängen fest, die nur im Verlauf von Dcpromo durchgeführt werden. Es ist wichtig zu wissen, dass Dcgpofix nicht die Sicherheitseinstellungen in dem Stadium wiederherstellt, in dem sie sich vor der Ausführung von Dcpromo befunden haben.

Wichtig

Dcgpofix sollte nur als Tool für den äußersten Notfall verwendet werden.

Zum Erstellen von regelmäßigen Datensicherungen der standardmäßigen Domänen-GPOs und aller anderen GPOs verwenden Sie die Gruppenrichtlinien-Verwaltungskonsole (GPMC).

Es empfiehlt sich darüber hinaus, auch das Verzeichnis Sysvol immer im Rahmen eines regelmäßig angesetzten Datensicherungsverfahrens zu sichern.

So führen Sie Dcgpofix aus

•	Geben Sie Folgendes an der Befehlseingabeaufforderung ein: dcgpofix [/ignoreschema][target: {domain \| dc \| both}]

Dabei gilt:

/ignoreschema ist ein optionaler Parameter. Wird dieser Parameter gesetzt, wird die Versionsnummer des Active Directory-Schemas ignoriert.

/target: {domain | dc | both} ist ebenfalls ein optionaler Parameter, der die Zieldomäne, den Domänencontroller oder beides angibt. Wird /target nicht angegeben, verwendet Dcgpofix standardmäßig beides.

Hinweis

Dcgpofix finden Sie im Ordner C:\Windows\Repair.

Zur Verwendung dieses Tools müssen Sie als Domänen- oder Organisations-Aministrator angemeldet sein.

Dcgpofix prüft die Versionsnummer des Active Directory-Schemas, um die Kompatibilität zwischen der von Ihnen verwendeten Version von Dcgpofix und der Schemakonfiguration von Active Directory sicherzustellen. Sind die Versionen nicht kompatibel, wird Dcgpofix nicht ausgeführt.

Die folgenden Erweiterungseinstellungen befinden sich in einem standardmäßigen Gruppenrichtlinienobjekt: Remoteinstallationsdienste (RIS), Sicherheitseinstellungen und verschlüsselndes Dateisystem (EFS). Die folgenden Erweiterungseinstellungen befinden sich nicht in einem standardmäßigen Gruppenrichtlinienobjekt und werden hiermit nicht wiederhergestellt: Softwareinstallation, Pflege von Internet Explorer, Skripts, Ordnerumleitung und administrative Vorlagen.

Die folgenden Änderungen werden in einem standardmäßigen Gruppenrichtlinienobjekt nicht beibehalten oder wiederhergestellt: Sicherheitseinstellungen, die vom Setup von Exchange 2000 vorgenommen wurden, Sicherheitseinstellungen, die bei einer Aktualisierung von Windows NT auf Windows 2000 in die standardmäßige Gruppenrichtlinie migriert wurden, sowie Änderungen an Richtlinienobjekten, die von SMS (Systems Management Server) vorgenommen wurden.

Sie können dieses Tool nur auf Server unter einem Produkt aus der Windows Server 2003-Familie ausführen.

Weitere Informationen über die Verwendung von GPMC zum Sichern und Wiederherstellen von GPOs finden Sie im Whitepaper Administering Group Policy with GPMC (englischsprachig) auf der Microsoft-Website (http://go.microsoft.com/fwlink/?LinkId=17528).

Weitere Informationen über das Wiederherstellen von Systemstatusdaten unter Verwendung des Datensicherheitstools von Windows Server 2003 finden Sie unter Backing Up and Recovering Data (englischsprachig) auf der Microsoft Website (http://go.microsoft.com/fwlink/?LinkId=22347).

Weitere Informationen über das Verwalten des Verzeichnisses Sysvol finden Sie unter Best Practices for Sysvol Maintenance (englischsprachig und in maschineller Übersetzung) auf der Microsoft-Website (http://go.microsoft.com/fwlink/?LinkId=39986).

Weitere Informationen über die Verwendung von Dcgpofix finden Sie unter The Dcgpofix tool does not restore security settings in the Default Domain Controller Policy to their orginal state (englischsprachig und in maschineller Übersetzung) auf der Microsoft-Website (http://go.microsoft.com/fwlink/?LinkId=35269).

Zum Seitenanfang

Windows-Sicherheitseinstellungen bleiben nach deren Entfernen weiterhin wirksam

Ursache

Dieses Problem tritt normalerweise auf, wenn eine Sicherheitseinstellung durch Gruppenrichtlinien definiert und später auf "nicht definiert." festgelegt wird.

Lösung

Unter bestimmten Umständen bleiben Windows-Sicherheitseinstellungen wirksam, nachdem sie auf "nicht definiert" eingestellt wurden. Anhand des folgenden Flussdiagramms können Sie feststellen, ob die Sicherheitseinstellung aufgrund dieses Verhaltens wirksam bleibt.

Kontorichtlinie, Zuweisen von Benutzerrechten und Überwachungsrichtlinie

Ermitteln Sie anhand des folgenden Flussdiagramms, wie sich die betreffende Einstellung beim Entfernen über Gruppenrichtlinien verhält, wenn sich die wirksame Sicherheitseinstellung unter Kontorichtlinie, Lokale Richtlinie\Zuweisen von Benutzerrechten oder Lokale Richtlinien\Überwachungsrichtlinie befindet:

Abbildung 1

Sicherheitsoptionen

Abbildung 2

Ereignisprotokoll und Systemdienste

Ermitteln Sie anhand des folgenden Flussdiagramms, wie sich die betreffende Einstellung beim Entfernen über Gruppenrichtlinien verhält, wenn sich die wirksame Sicherheitseinstellung unter Ereignisprotokoll oder Systemdienste befindet:

Abbildung 3

Eingeschränkte Gruppen

Abbildung 4

Alle anderen Windows-Sicherheitseinstellungen

Stellen Sie bei Windows 2003- und Windows XP-Sicherheitseinstellungen, die nicht in den obigen Abschnitten behandelt wurden, beim Entfernen über Gruppenrichtlinien wieder die vorherigen Werte ein. Windows 2000-Sicherheitseinstellungen, die nicht in den obigen Abschnitten behandelt wurden, werden automatisch wieder auf den vorherigen Wert eingestellt, es sei denn, die Einstellung ist in der lokalen Richtlinie festgelegt. In diesem Fall wird der Wert der lokalen Richtlinie verwendet.

Zum Seitenanfang

In diesem Beitrag

•	Überblick
•	Einführung
•	Überprüfen der administrativen Arbeitsstationseinstellungen
•	Schnellkorrekturen
•	Konfigurieren der administrativen Arbeitsstationseinstellungen
•	Problembehebung
•	Zusätzliche Ressourcen

Unterkaptitel "Problembehebung"

•	Grundlegende Probleme mit Gruppenrichtlinien
•	Probleme bei Richtlinieneinstellungen für administrative Vorlagen
•	Probleme bei Sicherheitseinstellungen
•	Probleme mit Richtlinieneinstellungen für Skripts
•	Probleme bei Richtlinieneinstellungen für die Softwareinstallation
•	Probleme bei Richtlinieneinstellungen für die Ordnerumleitung
•	Probleme mit der CSE für Datenträgerkontingente
•	Gruppenrichlinien- probleme mithilfe von Protokolldateien beheben