Tags: Gruppenrichtlinien, Troubleshooting
Die Group Policy Preferences übernehmen oft wichtige, aber fehleranfällige Aufgaben wie das Zuordnen von Netzlaufwerken und Druckern. Den Ursachen ist dabei oft nur schwer auf die Spur zu kommen. Hilfreich ist in diesem Fall die Protokollierung, die sich zielgenau auf bestimmte Einstellungen eingrenzen lässt.
Wenn Gruppenrichtlinien auf einem Rechner nicht greifen, dann besteht der erste Schritt meist darin, dass man sich mit
gpresult /r
überzeugt, ob das GPO auf diesen User oder Computer überhaupt angewandt wurde. Alternativ kann man für diesen Zweck den RSoP-Assistenten in der Gruppenrichtlinienverwaltung konsultieren.
Gängige Fehlerquellen ausschließen
Typische Fehlerquellen sind die eine nicht vorhandene Verknüpfung mit der betreffenden OU bzw. Domäne oder ein falsch eingestellter WMI-Filter. Unerwartete Effekte auf die Adressierung von GPOs können zudem durch das Loopback Processing sowie durch das Deaktivieren der Vererbung entstehen.
Stellt sich beim Überprüfen dieser Mechanismen heraus, das ein GPO zwar angewandt wird, aber keinen Effekt erzielt, dann kann man in der Gruppenrichtlinienverwaltung unter Details => Objektstatus nachschauen, ob eventuell Einstellungen für einen bestimmten Zweig deaktiviert wurden.
Konflikte zwischen GPOs
Ein weiterer Grund, warum ein GPO zwar ausgeführt wird, aber seine Einstellungen sich nicht auswirken, kann darin bestehen, dass es Konflikte zwischen GPOs gibt. Diese treten auf, wenn eine bestimmte Einstellung mehrfach konfiguriert wurde, so dass das zuletzt angewandte GPO gewinnt.
In dieser Situation hilft RSoP nicht weiter, aber Microsoft bietet für diesen Zweck den Group Policy Analyzer an.
Eventlog prüfen mit PowerShell
Kann man an dieser Stelle alle bisher genannten Ursachen ausschließen, dann läuft irgendetwas bei der Ausführung des GPO falsch. Dazu kann ein Blick in das Eventlog aufschlussreich sein:
Get-WinEvent -ProviderName Microsoft-Windows-GroupPolicy |
where{$_.LevelDisplayName -eq "Fehler" -or $_.LevelDisplayName -eq "Warnung"} | fl
Hier erhält man sowohl Warnungen auch als auch Fehler, die bei der Ausführung der Gruppenrichtlinien aufgetreten sind.
Tracing aktivieren
Gerade bei Group Policy Preferences (GPP), die zumeist komplexere Operationen ausführen als bloß einen Wert in die Registry zu schreiben, helfen die Einträge aus dem Eventlog meist nicht aus. Das gilt etwa für die Zuordnung von Druckern oder Netzlaufwerken, wo beim Zugriff auf die Ressourcen im Netz verschiedene Dinge schieflaufen können.
Daher gibt es für die GPP zusätzlich die Möglichkeit, den gesamten Ablauf der Aktion, die im GPO definiert wurde, detailliert in einer Textdatei aufzuzeichnen.
Dies erfolgt seinerseits über die Gruppenrichtlinien. Die entsprechenden Einstellungen finden sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => System => Gruppenrichtlinien => Protokollierung und Nachverfolgung.
Wie man hier schnell sieht, steht für jede GPP-Funktion eine eigene Einstellung zur Verfügung, so dass man das Logging auf die problematische Option reduzieren kann.
Aktiviert man das Aufzeichnen der GPO-Ausführung, dann kann man zuerst festlegen, ob bestimmte Ereignisse in das Eventlog geschrieben werden sollen. Vorgabe ist hier Warnungen und Fehler, alternativ kann man nur Fehler, alles oder nichts dafür vorsehen.
Den detaillierten Mitschnitt des gesamten Ablaufs schaltet man über die Option Nachverfolgung ein. Dabei muss man den Pfad für die Log-Dateien angeben, und zwar separat für Benutzer, Computer und Modellierung. Außerdem lässt sich hier die Größe der Protokolldatei begrenzen.
Voreingestellt als Pfad ist %COMMONAPPDATA%\GroupPolicy\Preference\Trace. Beim ersten Teil handelt es sich um keine normale Umgebungsvariable, sondern eine spezifische für die Client Side Extensions. Unter neueren Versionen von Windows ist sie identisch mit %ProgramData%.
Das Tracing hilft nicht nur beim Auffinden von Fehlern, die der eigenen Umgebung geschuldet sind. Vielmehr enthalten die GPP eine Reihe von Einstellungen, die unter Windows 10 nicht mehr unterstützt werden.
Das gilt etwa für das Startmenü oder die geplanten Aufgaben, wo man keine Nachrichten mehr anzeigen oder per Mail verschicken kann. In diesem Fall findet sich in der Log-Datei der Fehler:
hr = 0x80041330 "In der Aufgabendefinition wird ein veraltetes Feature verwendet."
Solche Ursachen sind schwer zu entdecken, weil der GPO-Editor keinen Hinweis auf darauf enthält, dass die Einstellung nicht mehr unterstützt wird, und die Ausführung der Gruppenrichtlinie einfach sang- und klanglos scheitert.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Health Report erstellen für Local Administrator Password Solution (LAPS)
- PDF-Dokumente mit Windows Desktop Search durchsuchen
- Group Policy Analyzer 3.1: Support für deutsche ADML und Central Store
- Lösungen für GPO-Probleme nach Update MS 16-072 bzw. KB3163622
- Langsame Windows-Anmeldung: Ursachen finden mit VMware Logon Monitor
Weitere Links