gpupdate, gpresult, gpfixup: Kommandozeilen-Tools für Gruppenrichtlinien

    Die Management-Console für die GruppenrichtlinienOhne die grafische Management-Console gpmc.msc für die Gruppenrichtlinien wäre deren Management schlechterdings unmöglich: Kein Administrator mag sich vorstellen, die gesammelten Richtlinien seiner Organisation per Scriptsammlung, Kommandozeile (PowerShell eingeschlossen) oder als XML-Datei verwalten zu müssen. Für bestimmte Aktionen ist eine nebenbei geöffnete Eingabeaufforderung jedoch eine sinnvolle Ergänzung, etwa um gerade gemachte Änderungen sofort zu propagieren oder die Resultate zu überprüfen.

    gpmc

    Es ist kein Kommandozeilenwerkzeug im eigentlichen Sinne, sondern ruft die Management-Console für die Gruppenrichtlinienverwaltung auf. gpmc lässt sich durch die entsprechende Windows-Voreinstellung der Variablen PATHEXT auch ohne Eingabe der Dateiendung starten. Wenn man sich jedoch gerade innerhalb der Kommandozeilenumgebung befindet, ist es handlicher als der Startmenü-Eintrag unter „Verwaltung“. Ähnliches gilt für dsa, die Console für die Active-Directory-Benutzer- und Computerverwaltung.

    gpupdate

    Das Tool sorgt dafür, dass der lokale Computer umgehend die Computer- und Benutzer-Gruppenrichtlinien neu lädt. Durch die Verarbeitungsoptimierung werden nur geänderte Gruppenrichtlinien wirklich neu angewendet. Der Parameter /force sorgt dafür, dass die Verarbeitungsoptimierung außer Kraft gesetzt wird und wirklich alle Richtlinien neu eingelesen werden – nützlich etwa wenn man lokale Richtlinien am Client gesetzt hatte und diese wieder vom Server überschreiben lassen will.

    gpresult

    Das Programm ermittelt, welche Richtlinien auf welche Benutzer und Computer angewendet werden. Sind Gruppenrichtlinienobjekte zwar vorhanden, werden aber nicht verarbeitet, werden sie unter Angabe des jeweiligen Grundes hierfür aufgelistet.

    gpfixup

    Es repariert Gruppenrichtlinien und ihre Abhängigkeiten nach der Umbenennung einer Domäne. Dies ist nach einer solchen Operation generell nötig. Microsoft beschreibt im TechNet die genaue Prozedur und hat eine Referenz aller Parameter hinterlegt.

    repadmin

    Dabei handelt es sich um ein Tool zur Analyse, Diagnose und Fehlerbehebung bei der Active Directory-Replikation. Mit repadmin kann man etwa einzelne Objekte zwischen zwei Domänencontrollern replizieren. Erste-Hilfe-Befehle, die man auch ohne Dokumentation im Kopf hat, sind etwa repadmin /showrepl zur Anzeige des Replikationsstatus oder repadmin /syncall zur Synchronisation eines DC mit allen Replikationspartnern.

    Als letzten Parameter gibt man jeweils den FQDN des DC an, wenn man repadmin nicht auf diesem selbst ausführt. Die Anwendung des komplexen Werkzeuges und das gesamte Verfahren erklärt Microsoft in einem 123seitigen Word-Dokument.

    Keine Kommentare