Tags: Gruppenrichtlinien, Active Directory
Die meisten Gruppenrichtlinienobjekte (GPOs) fassen mehrere Einstellungen zu einem Windows-Feature oder einer Anwendung zusammen. Möchte man eine bestimmte Einstellung wieder daraus entfernen, dann funktioniert das oft nicht rückstandslos. In diesem Fall ist manuelle Nacharbeit nötig.
Bei GPOs empfiehlt es sich, diese so zu organisieren, dass die Übersichtlichkeit gewahrt bleibt. Denn es kommen nicht nur regelmäßig neue administrative Vorlagen hinzu, sondern mit der Zeit verwalten GPOs auch unterschiedliche Windows- und Office-Versionen nebeneinander. Dadurch steigt ihre Anzahl auch die Komplexität.
GPOs verschlanken
Zum Management von Gruppenrichtlinien gehört aber nicht nur, dass man ständig neue Einstellungen hinzunimmt, sondern auch solche entfernt, die nicht mehr benötigt werden. Ärgerlich ist dann jedoch, wenn man Teile aus einer umfangreichen Gruppenrichtlinie herausnimmt, diese aber nicht gelöscht werden.
Dann kann es sein, dass Dateien zurückbleiben und diese je nach Setup weiterhin repliziert werden. Zudem bleiben die Referenzen für die Client Side Extension (CSE) bestehen, so dass sich die Abarbeitungszeit trotz verschlankter GPOs nicht reduziert.
Eine solche Pflege der GPOs erzielt daher weder eine Verbesserung der Übersichtlichkeit, des Replizierungsaufwands noch der Verarbeitungszeit.
GPOs vor dem Bearbeiten sichern
Daher kann es sinnvoll sein, GPO-Bestandteile durch manuelles Eingreifen zu entfernen. Dabei sollte man jedoch überlegt vorgehen, weil eine falsche Änderung weitreichende Folgen haben kann. In jedem Fall ist ein vorheriges Backup der GPOs und des Systemstatus ratsam. Am besten evaluiert man die Änderungen vorher in einer Testumgebung.
In diesem Artikel beschäftigen wir uns mit dem Fall, dass Ordnerumleitungen nicht mehr benötigt werden und die Einstellungen gelöscht werden sollen. Zuständig ist dafür das GPO U_TST_Profilmgmt, welches Laufwerkszuordnungen und Ordnerumleitungen umfasst.
Die Einstellungen für die Ordnerumleitung finden sich in der versteckten Datei fdeploy1.ini unter dem Sysvol-Verzeichnis des Domänen-Controllers.
Nun deaktiviere ich im GPO-Editor die Ordnerumleitung(en).
Im GPO sind die Einträge aber weiterhin sichtbar, was irreführend und bei komplexeren GPOs ärgerlich ist. Zudem bleiben auch die Dateien fdeploy.ini und fdeploy1.ini bestehen.
Für die spätere Verwendung brauchen wir die Unique ID der Gruppenrichtlinie. Diese entnimmt man der Registerkarte Details in der Gruppenrichtlinienverwaltung. In unserem Beispiel lautet sie {686F35FD-B3A8-4CD6-A20D-85FBF5FF1E09}
Anschließend macht man das entsprechende GPO anhand seines UID im Sysvol ausfindig und löscht unter dem Ordner User das Unterverzeichnis Documents & Settings.
Nun erscheint in der GPO U_TST_Profilmgmt eine Fehlermeldung, weil sie auf Dateien verweist, die nicht mehr existieren.
Um dieses Problem zu beheben, öffne ich im nächsten Schritt die Active Directory-Benutzer und -Computer. Dort muss man sicherstellen, dass Erweiterte Funktionen im Menü Ansicht aktiv ist.
In der Struktur navigiert man zum entsprechenden GPO, dieses ist unter <Domäne> => System => Policies => UID {686F35FD-B3A8-4CD6-A20D-85FBF5FF1E09} zu finden.
Nun wählt man im Kontextmenu des GPO den Befehl Eigenschaften aus. Im folgenden Dialog wechselt man zum Reiter Attribute Editor und bearbeitet das Attribut gPCUserExtensionNames.
Nun lösche ich nur jenen Teil, welcher sich auf die Ordnerumleitung bezieht, und zwar inklusive der eckigen Klammern (am besten kopiert man dazu den Wert des Attributs in einen externen Editor). Die GUID lautet in diesem Fall {25537BA6-77A8-11D2-9B6C-0000F8080861} der ganze Ausdruck sieht so aus:
[{25537BA6-77A8-11D2-9B6C-0000F8080861}{88E729D6-BDC1-11D1-BD2A-00C04FB9603F}]
Die CSE-GUIDs, die man für diesen Zweck benötigt, kann man mit diesem PowerShell-Befehl aus der Registry auslesen:
gci "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions" |
Out-GridView
Alternativ findet sich eine schön aufbereitete Liste auf der Website von Martin Binder.
Bitte beachten Sie, dass der restliche Teil und die Klammern verbleiben, in meinem Beispiel wäre das:
[{00000000-0000-0000-0000-000000000000}{2EA1A81B-48E5-45E9-8BB7-A6E3AC170006}][{5794DAFD-BE60-433F-88A2-1A31939AC01F}{2EA1A81B-48E5-45E9-8BB7-A6E3AC170006}]
Nach dem Verlassen des Editors bestätigt man die Warnung und speichert die Änderung.
Nun ist dieser Teil des GPO nicht mehr sichtbar, der Fehler verschwunden und die nicht benötigten Dateien gelöscht. Nach dem Prinzip können auch andere GPOs bereinigt werden.
Täglich Know-how für IT-Pros mit unserem Newsletter
Benjamin Bürk ist Senior Systems Engineer und betreut seit 2002 IT-Infrastrukturen von Unternehmen. Sein Schwerpunkt liegt im Aufbau und Betrieb von Server-Systemen und Microsoft 365-Umgebungen. Er ist ITIL4 Foundation, dreifach als MCSA sowie als MCSE Productivity zertifiziert..
// E-Mail, LinkedIn, Podcast //
Verwandte Beiträge
Weitere Links