Policy Analyzer: Fehler in GPOs finden, GPO-Versionen vergleichen
Microsoft veröffentlichte ein kostenloses Tool, mit dem man GPOs samt ihren Eigenschaften in einer Tabelle darstellen kann. Zu den Features von Policy Analyzer gehört, Konflikte in den Einstellungen aufzuspüren und verschiedene Versionen von GPOs zu vergleichen.
Möchte man herausfinden, welche Einstellungen über GPOs gesetzt werden, dann kann man diese in der Gruppenrichtlinienverwaltung für jedes einzelne Objekt anzeigen. Für Analysen, die eine größere Zahl von GPOs betrachten, muss man dagegen auf andere Werkzeuge ausweichen.
Beschränkte Bordmittel für das GPO-Troubleshooting
So eignet sich etwa PowerShell, um leere sowie nicht verlinkte Gruppenrichtlinienobjekte zu ermitteln oder solche, die mit einem WMI-Filter verknüpft sind (siehe dazu: GPOs analysieren mit PowerShell).
Beim Troubleshooting von Gruppenrichtlinien möchte man aber meist herausfinden, warum bestimmte Einstellungen nicht an den Zielrechnern ankommen oder dort nicht die vorgesehen Werte aufweisen.
Mit gpresult kann man dann zwar feststellen, welche GPOs auf einem Rechner ausgeführt werden. Liegt jedoch ein Konflikt zwischen GPOs vor, weil sie die gleiche Einstellung konfigurieren, dann gibt dieses Tool für die Kommandozeile darüber keinen Aufschluss.
Tabellarische Auflistung von GPO-Eigenschaften
Hier setzt der neue Policy Analyzer an, indem er eine Sammlung von Gruppenrichtlinienobjekten einliest und ihre Eigenschaften in einer Tabelle darstellt. Dazu zählen der Registry-Schlüssel, die das Objekt schreibt, der Name der Einstellung und der ihr zugeordnete Wert. Der Policy Analyzer weist auf Konflikte hin, die durch eine redundante Konfiguration entstehen.
Aufschlussreich ist zudem die Information, ob eine bestimmte Einstellung in der Registry des lokalen Rechners gesetzt wurde. Wenn das Tool hier eine Abweichung vom Wert der untersuchten GPOs entdeckt, markiert es die entsprechende Zelle grau.
GPO-Versionen vergleichen
Eine weitere Aufgabe, die der Policy Analyzer erfüllen soll, besteht im Vergleichen von verschiedenen GPO-Versionen. Wahlweise kann man Unterschiede zwischen neueren und älteren Versionen aufspüren und so Änderungen nachverfolgen. Schließlich lassen sich die GPOs aus der Domäne den lokalen Gruppenrichtlinien gegenüberstellen.
Die genannten Features des Programms schließen zweifellos eine Lücke, die in den RSAT-Programmen klafft. Auch der empfehlenswerte Security Compliance Manager untersucht GPOs nur in Hinblick auf Abweichungen von den Microsoft-Empfehlungen. Hinweise auf Inkonsistenzen innerhalb der eigenen GPOs gibt er hingegen nicht.
Anspruch und Wirklichkeit
Dem grundsätzlichen Nutzen des Policy Analyzer stehen eine nicht gerade intuitive Bedienung sowie die fehlende Anpassung auf nicht-englischsprachige Versionen des Betriebssystems gegenüber.
Im ersten Schritt importiert man die zu untersuchenden GPOs in das Tool. Dazu klickt man nach dem Start von PolicyAnalyzer.exe auf die Schaltfläche Add und öffnet das File-Menü im anschließend angezeigten Dialog des Importers.
Dort führt man den Befehl Add files from GPO(s) aus und navigiert zum zentralen Speicher der Domäne (der Pfad folgt dem Muster \\contoso.de\SYSVOL\contoso.de\Policies). Alternativ gibt man einen Ordner an, in dem man ein Backup der GPOs hinterlegt hat. Nach dem Einlesen der Liste klickt man auf Import, um sie in einer XML-Datei mit der Endung .PolicyRules zu speichern.
Englische ADML-Dateien erforderlich
Als Hürde für den Import erweist sich, dass der Policy Analyzer die Sprachdateien (*.adml) der administrativen Templates im Verzeichnis %SYSTEMROOT%\PolicyDefinitions\en-US benötigt (einen eventuell konfigurierten zentraler Store ignoriert er). Auf einem deutschen Windows ist dieser Ordner aber weitgehend leer, so dass man dort erst die Dateien nachinstallieren muss.
Die Policy Rules dienen als Grundlage für alle weiteren Operationen. Wählt man mehrere davon aus, dann stellt das Tool ihre Werte in separaten Spalten dar, so dass man sie relativ einfach vergleichen kann. Hakt man zudem die Option Compare local registry an, dann erhält man eine weitere Spalte mit lokal konfigurierten Einstellungen. Der Vergleich mit den lokalen Gruppenrichtlinien erfordert die Anmeldung als Administrator.
GPO-Liste filtern und durchsuchen
Bei einer längeren Liste von GPOs, in der mehrere Konflikte oder Abweichungen von den Registry-Werten auftreten, kann man die Ansicht auf die betroffenen Zeilen einschränken, indem man die dafür zuständigen Befehle aus dem Menü View ausführt.
Dort findet sich auch ein Eintrag namens GPO filter. Damit lässt sich die Zahl der Objekte einzeln eingrenzen, wenn man dies nicht schon vor dem Import getan hat, etwa durch ein selektives Backup der GPOs. Schließlich besitzt der Policy Analyzer im Unterschied zur Gruppenrichtlinienverwaltung noch eine Volltextsuche, mit der man bestimmte Einstellungen auffinden kann.
Verfügbarkeit
Der Policy Analyzer erfordert keine Installation, sondern kann nach dem Entpacken des ZIP-Archivs direkt ausgeführt werden. Zum Lieferumfang gehört eine einfache Anleitung im PDF-Format sowie Muster für Policy Rules. Das Tool kann kostenlos von der Website des Herstellers heruntergeladen werden.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- GPO-Fehlersuche: Logging für Gruppenrichtlinien aktivieren
- Health Report erstellen für Local Administrator Password Solution (LAPS)
- PDF-Dokumente mit Windows Desktop Search durchsuchen
- Group Policy Analyzer 3.1: Support für deutsche ADML und Central Store
- Lösungen für GPO-Probleme nach Update MS 16-072 bzw. KB3163622
Keine Kommentare