Gruppenrichtlinienobjekte bereinigen: hartnäckige Einstellungen entfernen

Zum Management von Gruppen­richtlinien gehört aber nicht nur, dass man ständig neue Einstellungen hinzunimmt, sondern auch solche entfernt, die nicht mehr benötigt werden. Ärgerlich ist dann jedoch, wenn man Teile aus einer umfangreichen Gruppen­richtlinie herausnimmt, diese aber nicht gelöscht werden.

Dann kann es sein, dass Dateien zurückbleiben und diese je nach Setup weiterhin repliziert werden. Zudem bleiben die Referenzen für die Client Side Extension (CSE) bestehen, so dass sich die Abarbeitungs­zeit trotz verschlankter GPOs nicht reduziert.

Eine solche Pflege der GPOs erzielt daher weder eine Verbesserung der Übersichtlichkeit, des Repli­zierungs­aufwands noch der Verarbeitungszeit.

GPOs vor dem Bearbeiten sichern

Daher kann es sinnvoll sein, GPO-Bestandteile durch manuelles Eingreifen zu entfernen. Dabei sollte man jedoch überlegt vorgehen, weil eine falsche Änderung weitreichende Folgen haben kann. In jedem Fall ist ein vorheriges Backup der GPOs und des Systemstatus ratsam. Am besten evaluiert man die Änderungen vorher in einer Testumgebung.

In diesem Artikel beschäftigen wir uns mit dem Fall, dass Ordner­umleitungen nicht mehr benötigt werden und die Einstellungen gelöscht werden sollen. Zuständig ist dafür das GPO U_TST_Profilmgmt, welches Laufwerks­zuordnungen und Ordner­umleitungen umfasst.

Die Einstellungen für die Ordner­umleitung finden sich in der versteckten Datei fdeploy1.ini unter dem Sysvol-Verzeichnis des Domänen-Controllers.

Nun deaktiviere ich im GPO-Editor die Ordnerumleitung(en).

Im GPO sind die Einträge aber weiterhin sichtbar, was irreführend und bei komplexeren GPOs ärgerlich ist. Zudem bleiben auch die Dateien fdeploy.ini und fdeploy1.ini bestehen.

Für die spätere Verwendung brauchen wir die Unique ID der Gruppen­richtlinie. Diese entnimmt man der Registerkarte Details in der Gruppen­richtlinien­verwaltung. In unserem Beispiel lautet sie {686F35FD-B3A8-4CD6-A20D-85FBF5FF1E09}

Anschließend macht man das entsprechende GPO anhand seines UID im Sysvol ausfindig und löscht unter dem Ordner User das Unter­verzeichnis Documents & Settings.

Nun erscheint in der GPO U_TST_Profilmgmt eine Fehlermeldung, weil sie auf Dateien verweist, die nicht mehr existieren.

Um dieses Problem zu beheben, öffne ich im nächsten Schritt die Active Directory-Benutzer und -Computer. Dort muss man sicherstellen, dass Erweiterte Funktionen im Menü Ansicht aktiv ist.

In der Struktur navigiert man zum entsprechenden GPO, dieses ist unter <Domäne> => System => Policies => UID {686F35FD-B3A8-4CD6-A20D-85FBF5FF1E09} zu finden.

Nun wählt man im Kontextmenu des GPO den Befehl Eigenschaften aus. Im folgenden Dialog wechselt man zum Reiter Attribute Editor und bearbeitet das Attribut gPCUserExtensionNames.

Nun lösche ich nur jenen Teil, welcher sich auf die Ordner­umleitung bezieht, und zwar inklusive der eckigen Klammern (am besten kopiert man dazu den Wert des Attributs in einen externen Editor). Die GUID lautet in diesem Fall {25537BA6-77A8-11D2-9B6C-0000F8080861} der ganze Ausdruck sieht so aus:

[{25537BA6-77A8-11D2-9B6C-0000F8080861}{88E729D6-BDC1-11D1-BD2A-00C04FB9603F}]

Die CSE-GUIDs, die man für diesen Zweck benötigt, kann man mit diesem PowerShell-Befehl aus der Registry auslesen:

gci "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions" |
Out-GridView

Alternativ findet sich eine schön aufbereitete Liste auf der Website von Martin Binder.

Bitte beachten Sie, dass der restliche Teil und die Klammern verbleiben, in meinem Beispiel wäre das:

[{00000000-0000-0000-0000-000000000000}{2EA1A81B-48E5-45E9-8BB7-A6E3AC170006}][{5794DAFD-BE60-433F-88A2-1A31939AC01F}{2EA1A81B-48E5-45E9-8BB7-A6E3AC170006}]

Nach dem Verlassen des Editors bestätigt man die Warnung und speichert die Änderung.

Nun ist dieser Teil des GPO nicht mehr sichtbar, der Fehler verschwunden und die nicht benötigten Dateien gelöscht. Nach dem Prinzip können auch andere GPOs bereinigt werden.