GPO-Fehlersuche: Logging für Gruppenrichtlinien aktivieren

    , 20.05.2020
    Tags: ,

    GPO-Fehler im EventlogDie Group Policy Preferences über­nehmen oft wichtige, aber fehler­anfällige Auf­gaben wie das Zu­ordnen von Netz­lauf­werken und Druckern. Den Ur­sachen ist dabei oft nur schwer auf die Spur zu kommen. Hilf­reich ist in diesem Fall die Proto­kollierung, die sich ziel­genau auf bestimmte Ein­stellungen ein­grenzen lässt.

    Wenn Gruppen­richtlinien auf einem Rechner nicht greifen, dann besteht der erste Schritt meist darin, dass man sich mit

    gpresult /r

    überzeugt, ob das GPO auf diesen User oder Computer überhaupt angewandt wurde. Alternativ kann man für diesen Zweck den RSoP-Assistenten in der Gruppen­richtlinien­verwaltung konsultieren.

    Gängige Fehlerquellen ausschließen

    Typische Fehlerquellen sind die eine nicht vorhandene Verknüpfung mit der betreffenden OU bzw. Domäne oder ein falsch eingestellter WMI-Filter. Unerwartete Effekte auf die Adressierung von GPOs können zudem durch das Loopback Processing sowie durch das Deaktivieren der Vererbung entstehen.

    Stellt sich beim Überprüfen dieser Mechanismen heraus, das ein GPO zwar angewandt wird, aber keinen Effekt erzielt, dann kann man in der Gruppen­richtlinien­verwaltung unter Details => Objektstatus nachschauen, ob eventuell Einstellungen für einen bestimmten Zweig deaktiviert wurden.

    In der GPMC prüfen, ob Einstellungen für Benutzer oder Computer deaktiviert wurden.

    Konflikte zwischen GPOs

    Ein weiterer Grund, warum ein GPO zwar ausgeführt wird, aber seine Einstellungen sich nicht auswirken, kann darin bestehen, dass es Konflikte zwischen GPOs gibt. Diese treten auf, wenn eine bestimmte Einstellung mehrfach konfiguriert wurde, so dass das zuletzt angewandte GPO gewinnt.

    Konflikte in den Einstellungen von GPOs hebt der Policy Analyzer gelb hervor.

    In dieser Situation hilft RSoP nicht weiter, aber Microsoft bietet für diesen Zweck den Group Policy Analyzer an.

    Eventlog prüfen mit PowerShell

    Kann man an dieser Stelle alle bisher genannten Ursachen ausschließen, dann läuft irgendetwas bei der Ausführung des GPO falsch. Dazu kann ein Blick in das Eventlog aufschlussreich sein:

    Get-WinEvent -ProviderName Microsoft-Windows-GroupPolicy |
    where{$_.LevelDisplayName -eq "Fehler" -or $_.LevelDisplayName -eq "Warnung"} | fl

    Hier erhält man sowohl Warnungen auch als auch Fehler, die bei der Ausführung der Gruppen­richtlinien aufgetreten sind.

    Eventlog für GPO-spezifische Einträge mit PowerShell auswerten

    Tracing aktivieren

    Gerade bei Group Policy Preferences (GPP), die zumeist komplexere Operationen ausführen als bloß einen Wert in die Registry zu schreiben, helfen die Einträge aus dem Eventlog meist nicht aus. Das gilt etwa für die Zuordnung von Druckern oder Netzlauf­werken, wo beim Zugriff auf die Ressourcen im Netz verschiedene Dinge schieflaufen können.

    Daher gibt es für die GPP zusätzlich die Möglichkeit, den gesamten Ablauf der Aktion, die im GPO definiert wurde, detailliert in einer Textdatei aufzuzeichnen.

    Dies erfolgt seinerseits über die Gruppen­richtlinien. Die entsprechenden Einstellungen finden sich unter Computer­konfiguration => Richtlinien => Administrative Vorlagen => System => Gruppenrichtlinien => Proto­kollierung und Nach­verfolgung.

    Für jede Operation der Group Policy Preferences lässt sich das Logging und Tracing separat aktivieren.

    Wie man hier schnell sieht, steht für jede GPP-Funktion eine eigene Einstellung zur Verfügung, so dass man das Logging auf die problematische Option reduzieren kann.

    Aktiviert man das Aufzeichnen der GPO-Ausführung, dann kann man zuerst festlegen, ob bestimmte Ereignisse in das Eventlog geschrieben werden sollen. Vorgabe ist hier Warnungen und Fehler, alternativ kann man nur Fehler, alles oder nichts dafür vorsehen.

    Einstellungen für die Protokollierung der GPP-Ausführung

    Den detaillierten Mitschnitt des gesamten Ablaufs schaltet man über die Option Nachverfolgung ein. Dabei muss man den Pfad für die Log-Dateien angeben, und zwar separat für Benutzer, Computer und Modellierung. Außerdem lässt sich hier die Größe der Protokoll­datei begrenzen.

    Voreingestellt als Pfad ist %COMMONAPPDATA%\GroupPolicy\Preference\Trace. Beim ersten Teil handelt es sich um keine normale Umgebungs­variable, sondern eine spezifische für die Client Side Extensions. Unter neueren Versionen von Windows ist sie identisch mit %ProgramData%.

    Das Tracing hilft nicht nur beim Auffinden von Fehlern, die der eigenen Umgebung geschuldet sind. Vielmehr enthalten die GPP eine Reihe von Einstellungen, die unter Windows 10 nicht mehr unter­stützt werden.

    Mysteriöse Fehler, die durch veraltete Einstellungen entstehen, lassen sich im Protokoll aufspüren.

    Das gilt etwa für das Startmenü oder die geplanten Aufgaben, wo man keine Nachrichten mehr anzeigen oder per Mail verschicken kann. In diesem Fall findet sich in der Log-Datei der Fehler:

    hr = 0x80041330 "In der Aufgabendefinition wird ein veraltetes Feature verwendet."

    Solche Ursachen sind schwer zu entdecken, weil der GPO-Editor keinen Hinweis auf darauf enthält, dass die Einstellung nicht mehr unterstützt wird, und die Ausführung der Gruppenrichtlinie einfach sang- und klanglos scheitert.

    Keine Kommentare