Problembehandlung bei Sicherheitsvorlagen
und Gruppenrichtlinien

Vorwort
Die Anwendung von Sicherheitsvorlagen auf einen einzelnen Computer ist eine sehr unkomplizierte Angelegen-
heit. Die Anwendung von Sicherheitsvorlagen mithilfe der Gruppenrichtlinien ist hingegen weitaus komplizierter,
und Komplexität kann zu Problemen führen. Um Sicherheitsvorlagen mithilfe der Gruppenrichtlinien erfolgreich
bereitzustellen, müssen Sie wissen, wie man diese Probleme eingrenzt und löst. Man kann bei der Bereitstell-
ung von Sicherheitsvorlagen zwei grundlegende Problemtypen unterscheiden: Gruppenrichtlinien, die sich nicht
auf ein System anwenden lassen, und unerwartete Sicherheitseinstellungen.

 


Problembehandlung bei der Anwendung von Gruppenrichtlinien
Können Gruppenrichtlinien auf ein Sytem nicht erfolgreich angewendet werden, dann ist die Ursache des
Problems normalerweise:
fehlende Netzwerkkonnektivität
eine falsche Systemzeit
eine gesperrte Richtlinie
fehlerhafte DNS und/oder IP Einstellungen
nicht ausreichende Benutzerberechtigungen


Prüfliste für die Problembehandlung

Prüfen Sie, ob die betreffende Richtlinie nicht blockiert wird.

Vergewissern Sie sich, dass keine außer Kraft setzende Richtlinie, die auf einer höheren Active Directory
Ebene konfiguriert wurde auf Kein Vorrang gesetzt wurde. Wenn sowohl Blockieren als auch Kein Vorrang
verwendet werden, hat Kein Vorrang das Vorrecht.

Prüfen Sie, ob der Benutzer oder Computer kein Mitglied einer Sicherheitsgruppe ist, für die die Berech-
tigung "Gruppenrichtlinie übernehmen" auf "Verweigern" eingestellt ist.

Überprüfen Sie, ob der Benutzer oder Computer Mitglied mindestens einer Sicherheitsgruppe ist, für die die
Berechtigung "Gruppenrichtlinie übernehmen" auf "Zusallen" eingestellt ist.

Prüfen Sie, ob der Benutzer oder Computer Mitglied mindestens einer Sicherheitsgruppe ist, für die die
Berechtigung "Lesen" auf "Zulassen" eingestellt ist.

 


Aktualisieren der Gruppenrichtlinie
Probleme mit der Anwendung von Gruppenrichtlinien lassen sich häufig lösen, indem man die Richlinien
aktualisiert. Mithilfe des Befehlszeilenprogramms Gpupdate können Sie einen Computer zwingen, alle
Gruppenrichtlinien sofort neu anzuwenden. Gpupdate ersetzt den Windows 2000-Befehl secedit /
refreshpolicy und stellt auch eine Verbesserung dieses Befehls dar. Gehen Sie wie folgt vor, um mithilfe
von Gpupdate alle Richtlinien zu aktualisieren:

1. Öffnen Sie eine Eingabeaufforderung
2. Führen Sie den Befehl Gpupdate /force aus.

Hinweis:
Auch wenn dies nicht für Sicherheitseinstellungen gilt, sollten Sie wissen, dass einige Änderungen
bei Richtlinienelementen wie etwa der dem Computer zugewiesenen Software einen Neustart
voraussetzen. Änderungen bei der vom Benutzer zugewiesenen Software machen eine Neuanmeldung
des Benutzers notwendig.

 


Gpresult
Gpresult ist ein Befehlszeilenprogramm, welches detaillierte Informationen zu Benutzer- und
Computerrichtlinien anzeigt. Zwar scheuen viele Administratoren die Arbeit mit Befehlszeilenprammen,
aber Gpresult stellt die beste Möglichkeit dar, schnell zu ermitteln, welche GPOs angewendet wurden,
in welcher Reihenfolge die Anwendungen erfolgte und welche Mitgliedschaften bei Sicherheitsgruppen
Auswirkungen darauf gehabt haben können, für welche GPOs der Computer oder Benutzer Zugriffsbe-
rechtigungen hat. Anders als andere Programme zeigt Gpresult auch Richtlinien, die gefiltert
wurden, und die Gründe für die Filterung an. Diese stellt eine häufige Ursache für Probleme in Zusam-
menhang mit der Nichtanwendung von GPOs dar.

Hinweis:
Gpresult konnte früher kostenlos bei Microsoft heruntergeladen werden. Mittlerweile ist es Bestandteil
von Windows Server 2003.

Wenn es mit dem Parameter /Z ausgeführt wird, zeigt Gpresult eine Menge nützlicher Informationen an,
die im Hilfe- und Supportcenter nicht vorhanden sind. Zu den von Gpresult vermittelten Informationen
gehören die folgenden:

Betriebssystem
Computerinformationen, darunter der Computername und der Standort im Active Directory
Domänen- und Standortinformationen
Benutzerinformationen, darunter der Benutzername, der Standort im Active Directory und Profildetails
Gruppenmitgliedschaften sowohl des Computers als auch des aktuellen Benutzers.
Zeit der letzten GPO-Aktualisierung
Ausgefilterte GPOs
Zeitpunkt der letzten Richtlinienanwendung und Angaben zum Domänencontroller, der diese Richtlinie
angewendet hat (Benutzer und Computer)
Eine vollständige Liste der angewendeten GPOs und ihrer Details einschließlich einer Zusammenfassung
der Erweiterungen, die jedes GPO enthält.
Angewendete Regierungseinstellungen und Details hierzu.
Umgeleitete Ordner und Details hierzu.
Softwareverwaltungsinformation mit Angaben zu zugewiesenen und veröffentlichten Anwendungen
Richtlinienergebnissatz
Sicherheitsrechte des Benutzers

Der Parameter /Z verursacht eine so umfangreiche Ausgabe, dass Ihnen der Großteil entgehen würde, wenn
Sie versuchen würden, sie einfach in einem Eingabeaufforderungsfenster zu betrachten.

 


Analysieren von Berechtigungen
Wie bereits oben erwähnt, benötigt ein Computer oder Benutzer zur Anwendung von Gruppenrichtlinien
entpsrechende Berechtigungen. Standardmäßig gestatten GPOs der Sondergruppe "Authentifizierter
Benutzer" das Lesen und Anwenden von Gruppenrichtlinienobjekten. Diese Standardberechtigung kann
allerdings außer Kraft gesetzt oder geändert werden, was die Problembehandlung erheblich verkompli-
zieren kann.

Wenn Sie Gruppenrichtlinienberechtigungen analysieren, sollten Sie zunächst ermitteln, in welchen
Sicherheitsgruppen der Computer oder Benutzer Mitglied ist. Die schnellste Möglichkeit, dies zu tun, ist
der Einsatz des Befehlszeilenprogramms Gpresult. Haben Sie die Gruppenmitgliedschaften ermittelt, dann
überprüfen Sie deren Vorhandensein in der Liste der Berechtigungen für das GPO, welches Ihrer Ansicht
nach angewendet werden sollte.

Vorischt:
Wenn Sie ein GPO mit einer Organisationseinheit verknüpfen und dann in dieser eine Sicherheitsgruppe
erstellen, erben die Mitglieder dieser Sicherheitsgruppe das GPO nicht. Gruppenrichtlinien werden nur
durch Domänen, Organisationseinheiten und Standorte vererbt.

 


Analysieren der WMI-Filter
Eine weitere potentielle Ursache für die Nichtanwendung eines GPO auf ein System ist die WMI-Filterung.
Ein solches Problem können Sie schnell ermitteln, indem Sie einfach die vollständige Ausgabe von Gpresult
überprüfen. Suchen Sie in der Ausgabe insbesondere nach Zeilen, die das Wort "Filtering" enthalten.
Der folgende Auszug aus einer Beispielausgabe von Gpresult zeigt, dass das GPO namens "DSA
Austria Computer Policy" aufgrund eines WMI-Filters namens "XP Only" nicht angewendet wurde:

COMPUTER SETTINGS
- - - - - - - - - - - -- - - - - - -
CN=LABDC0001,OU=Domain Controllers, DC=dsa,DC=at
Last time Group Policy was applied: 08/25/2005 at 4:18:39 PM
Group Policy was applied from: LABDC0001.dsa.at
Group Policy slow link threshold: 500 Kbit/s
Domain Name: DSA
Domain Type: Windows 2000

Applied Group Policy Objects
- - - - - - - - - - - - - - - - - - - - - -
Default Domain Controllers Policy
Default Domain Policy
DCSecurity-DSA-Default

The following GPOs were not applied because they were filtered out
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Application-Allow-Policy-DSA-Default-XPPro
Filtering: Denied (WMI Filter)
WMI Filter: NurXP

Wenn Sie feststellen, dass die Gruppenrichtlinien aufgrund eines WMI-Filters falsch gefiltert werden, gehen
Sie wie folgt vor, um den WMI-Filter zu löschen:

  1. Öffnen Sie das MMC Snap-In Gruppenrichtlinienobjekt-Editor.
  2. Wenn das Dialogfeld Gruppenrichtlinienobjekt auswählen angezeigt wird, geben Sie das GPO an,
    welches aufgrund eines WMI-Filters nicht angewendet wurde.
  3. Nachdem Sie das Snap-In Gruppenrichtlinienobjekt-Editor geöffnet haben, klicken Sie mit der rechten
    Maustaste auf den Knoten Gruppenrichtlinien und wählen dann Eigenschaften.
  4. Klicken Sie auf die Registerkarte WMI-Filter.
  5. Klicken Sie auf Durchsuchen/Verwalten. Klicken Sie im Fenster WMI-Filter verwalten auf Erweitert.
  6. Klicken Sie auf den WMI-Filter, der in der Ausgabe von Gpresult aufgeführt ist.
  7. Bearbeiten Sie das Feld Abfragen nach Bedarf, um das Problem zu lösen, und klicken Sie dann auf
    Speichern.
  8. Klicken Sie zwei mal auf OK, um wieder zum Snap-In Gruppenrichtlinienobjekt-Editor zurückzukerhen.

Hinweis:
Ein einzelnen WMI-Filter kann mit mehreren GPOs verknüpft werden. Gehen Sie deswegen bei der Bearbei-
tung mit Umsicht vor, denn Ihre Handlungen könnten die Filterung von GPOs beeinträchtigen, die nicht
geändert werden dürfen!

 


Analysieren von Ereignissen in der Ereignisanzeige
Wenn ein GPO angewendet wird oder ein Problem auftritt, fügt Windows Server 2003 im Anwendungspro-
tokoll ein Ereignis hinzu. Alle Ereignisse weisen als Quelle den Wert SceCli auf, wodurch es Ihnen ermög-
licht wird, mithilfe der Ereignisfilter nur jene Ereignisse anzuzeigen, die sich auf die Anwendung der
Gruppenrichtlinien beziehen. Wenn Sie gruppenbezogene Probleme lösen wollen, suchen SIe im Anwen-
dungsprotokoll nach zugehörigen Warnmeldungen. Die Informationseireignisse, geben an, dass die
Gruppenrichtlinien angewendet wurden, aber sie sind für die Problembehandlung nicht nützlich, weil sie
nicht viele Informationen über die Richtlinien vermitteln.

 


Analysieren von Gruppenrichtlinieneinstellungen mit den Snap-In Richtlinienergebnissatz
Das Snap-In Richtlinienergebnissatz zeigt Ihnen in der bekannten Form die effektive Einstellung für jede der
Sicherheitsvorlagenrichtlinien an. Es handelt sich hierbei um eine hervorragende Möglichkeit zu überprüfen
ob die von Ihnen konfigurierten Sicherheitsvorlagen wie erwartet auf die Zielsysteme angewendet werden.
Entspricht eine Richtlinieneinstellung nicht Ihren Erwartungen, dann ermittelt das Snap-In Richtliniener-
gebnissatz das GPO, welches für die Definition der Richtlinie zuständig ist.

Gehen Sie wie folgt vor, um das Snap-In auszuführen:

  1. Öffnen Sie eine leere MMC-Konsole und fügen Sie das Snap-In Richtlinienergebnissatz hinzu.
  2. Klicken Sie mit der rechten Maustaste auf Richtlinienergebnissatz und wählen Sie Richtlinienergebnis-
    satzdaten generieren.
    Der Richtlinienergebnissatz-Assistent wird angezeigt.
  3. Klicken Sie auf Weiter.
  4. Auf der Seite Modusauswahl klicken Sie auf Protokollierungsmodus, dann auf Weiter.
  5. Um den lokalen Computer zu analysieren, klicken Sie auf Dieser Computer. Ansonsten klicken Sie auf
    Anderer Computer und geben den zu analysierenden Remotecomputer an. Klicken Sie auf Weiter.
  6. Um den aktuellen Benutzer zu analysieren, klicken Sie auf Aktuellen Benutzer. Andernfalls klicken Sie
    auf Anderen Benutzer und geben den zu analysierenden Benutzer an.
    Klicken Sie auf Weiter.
  7. Klicken Sie auf der Seite Zusammenfassung der Auswahl auf Weiter und dann auf Fertig stellen.
  8. Um die Sicherheitskonfiguration des Computers zu betrachten, erweitern Sie nacheinander die Knoten
    Computerkonfiguration, Windows-Einstellungen und dann Sicherheitseinstellungen.

Hinweis:
Das Tool Richtlinienergebnissatz ist auch in das Tool Gruppenrichtlinienverwaltung (Group Policy Management
Console, GPMC) eingebaut und kann von dort ebenfalls verwendet werden.

Das Tool Richtlinienergebnissatz bietet 2 Möglichkeiten ein GPO und dessen Anwendung zu simulieren.
Protokollierungsmodus
Planungsmodus

 

Protokollierungsmodus
Der Protokollierungsmodus des Richtlinienergebnissatzes hilft Administratoren beim Überprüfen vorhandener
Richtlinien, Softwareinstallationsanwendungen und Sicherheit. Kurzum zeigt der Protokollierungsmodus
die aktuellen (aus der Summe an allen Richtlinien die auf einen Benutzer oder einen Computer angewendet
werden) Ergebnisse der aktiven Richtlinieneinstellungen eines Benutzers oder Computers.

Der Protokollierungsmodus ist in den folgenden Situationen besonders hilfreich:

Sie möchten fehlgeschlagene oder überschriebene Richtlinieneinstellungen feststellen.
Sie möchten herausfinden, wie sich Sicherheitsgruppen auf die Richtlinieneinstellungen auswirken.
Sie möchten herausfinden, wie sich lokale Richtlinien auf Gruppenrichtlinien auswirken.
Gelegentlich möchten Sie das System abfragen, um ein Bereitstellungsproblem zu beheben oder eine
undichte Sicherheitsstelle zu finden. Dazu müssen Sie dem Richtlinienergebnissatz mitteilen, auf welchem
Benutzer- und Computerkonto das Problem besteht.

Beim Ausführen einer Richtlinienergebnissatzabfrage meldet der Richtlinienergebnissatz alle für die Installation
verfügbaren Anwendungen, welche Ordner umgeleitet werden (und wohin), alle Richtlinieneinstellungen, die auf
den Benutzer oder Computer angewendet werden, sowie die Auswirkung der Sicherheitsgruppe auf diese Richt-
linien. Mithilfe des Richtlinienergebnissatzes können Sie herausfinden, ob es Probleme gibt.

So ist z. B. möglicherweise die Option Immer mit erhöhten Rechten installieren in der Gruppenrichtlinien-
vorlage auf Deaktiviert festgelegt, während gleichzeitig die Softwareinstallation versucht, Installationen in
Verzeichnissen auszuführen, auf die der Benutzer keinen Zugriff hat. Da der Richtlinienergebnissatz dies meldet,
reduziert sich die für die Problembehandlung aufgewendete Zeit. Außerdem sehen Sie damit natürlich, dass die
Option auf "Deaktiviert" gesetzt ist und diese Einstellung "greift".


Planungsmodus
Beim Planungsmodus können Sie Gruppenrichtlinien auswählen, und deren Anwendung auf einen Computer
oder einen Benutzer Simulieren.

Der Richtlinienergebnissatz-Planungsmodus hilft Administratoren, Wachstum und Reorganisation einzuplanen. Im
Planungsmodus für den Richtlinienergebnissatz können Sie vorhandene Gruppenrichtlinienobjekte (Group Policy
Objects, GPOs) für alle anwendbaren Richtlinieneinstellungen abfragen. Danach können Sie die Ergebnisse zum
Erstellen eines "Was-wäre-wenn"-Szenarios verwenden, um die Auswirkungen von Änderungen an Richtlinienein-
stellungen vorherzusagen.

Der Planungsmodus ist in den folgenden Situationen besonders hilfreich:

Sie möchten die Auswirkungen bestimmter Richtlinieneinstellungen auf einen Computer oder Benutzer, eine
Domäne, Organisationseinheit oder Standort simulieren.
Der Benutzer ist nur in Active Directory enthalten (z. B. ein neues Konto).
Sie möchten den Vorrang von Richtlinien in den folgenden Situationen testen:
Der Benutzer und der Computer gehören unterschiedlichen Sicherheitsgruppen an.
Der Benutzer und der Computer gehören unterschiedlichen Organisationseinheiten an.
Der Benutzer oder der Computer ändern den Standort.
Sie möchten eine langsame Netzwerksimulation erstellen.
Sie möchten eine Loopback-Simulation erstellen.

Nachdem Sie entschieden haben, dass eine Änderung erforderlich ist, können Sie eine Reihe von Richtlinienergebnis-
satz-Planungssimulationen ausführen, um zu sehen, was mit einem Benutzer oder einer Gruppe von Benutzern
geschieht, wenn sie an einen anderen Standort bzw. in eine andere Sicherheitsgruppe oder sogar auf einen anderen
Computer verschoben werden. Dies schließt die angewendeten Richtlinieneinstellungen und die Dateien ein, die nach
dem Implementieren der Änderung automatisch geladen werden. Weitere Informationen finden Sie unter Optionen für
den Richtlinienergebnissatz-Planungsmodus.

Zum Ausführen des Richtlinienergebnissatz-Planungsmodus auf einem Remotecomputer müssen Sie als Mitglied der
Sicherheitsgruppe Domänen-Admins oder Organisations-Admins angemeldet sein, oder Ihnen müssen die Rechte
Richtlinienergebnissatz erstellen (Planung) übertragen worden sein. Weitere Informationen zu Sicherheitsgruppen
finden Sie unter Standardgruppen. Weitere Informationen zum Zuweisen der Verwaltung von Richtlinienergebnissatz
finden Sie unter Zuweisen der Verwaltung von Richtlinienergebnissatz.


Problembehandlung von Gruppenrichtlinien mittels der Regisrierung
Wenn GPOs auf einen Computer angewendet werden, speichert der Computer wichtige Informationen zu den
GPOs, die er angewendet hat, am letzten Ort, wo man danach suchen würde: in der Registrierung.
Informationen zu den Computerrichtlinien werden im Schlüssel
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\GroupPolicy\History gespeichert.
Informationen zu (auf den derzeit angemeldeten Benutzer bezogenen) Benutzerrichtlinien findet man im Schl-
üssel HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy\History.

Um diese Informationen anzuzeigen, gehen Sie wie folgt vor.

  1. Klicken Sie auf Start, dann auf Ausführen. Geben Sie Regedit in das Fenster Ausführen ein und klicken
    Sie dann auf OK.
  2. Navigieren Sie im Registrierungs-Editor zu einem der folgenden beiden Schlüssel:

    Wenn Sie Probleme mit einer Computerrichtlinie bearbeiten, gehen Sie zum Schlüssel
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\History
    Wenn Sie hingegen Probleme mit einer Benutzerrichtlinie bearbeiten, gehen Sie zum Schlüssel
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy\History
  3. Erweitern Sie den Schlüssel History, um einen oder mehrere Unterschlüssel anzuzeigen, die sich auf
    Gruppenrichtlinienerweiterungen beziehen.
  4. Erweitern Sie die einzelnen Schlüssel für die Gruppenrichtlinienerweiterungen. Sie finden dort jeweils
    einen oder mehrere Unterschlüssel, die mit 0 beginnend nummeriert sind.

    Die Zahlen geben die Reihenfolge an, in der die Richtlinien auf das System angewendet wurden. Die
    Richtlinien werden in aufsteigender Reihenfolge angewendet.
  5. Klicken Sie auf die einzelnen Schlüssel und untersuchen Sie die enthaltenen Werte.

 

Nachfolgend eine Erläuterung der einzelnen Registrierungswerte:

DisplayName
Dies ist der Anzeigename des GPO.

DSPath
DSPath ist der definierte Name des Pfades zum im Active Directory gespeicherten GPO. Für lokale
GPOs ist dieses Attribut nicht vorhanden.

FileSysPath
Dies ist der Pfad zur Gruppenrichtlinienvorlage bzw. zur dateibasierten Vorlage, die in einem GPO
enthalten ist. Handelt es sich um ein GPO aus einer Domäne, dann ist der Pfad ein UNC-Pfad
(Universal Naming Convention) zur Freigabe SYSVOL auf den Domänencontrollern. Handelt es sich
hingegen um ein lokales GPO, dann ist FileSysPath ein lokaler Pfad, der auf die Struktur verweist,
die mit dem Pfad %SystemRoot%\system32\GroupPolicy beginnt.

GPOLink
Der Wert benennt den Bereich, auf den das GPO angewendet wurde und der deswegen auch den
Computer bzw. Benutzer trifft. Die folgenden Werte sind gültig:
0 = keine Verknüpfungsinformationen
1 = Das GPO ist mit dem (lokalen) Computer verknüpft.
2 = Das GPO ist mit einem Standort verknüpft.
3 = Das GPO ist mit einer Domäne verknüpft.
4 = Das GPO ist mit einer Organisationseinheit verknüpft.

GPOName
Der Wert enthält den Namen des GPO in referenzierter Form. Bei GPOs, die Computern zugeordnet
sind, ist dies der Anzeigename des GPO. Bei im Active Directory gespeicherten GPOs hingegen ist
dies die globale eindeutige Kennung (Global Unique Identifier, GUID) des GPO.

IParam
Der Wert wird zur Ausführung verschiedener Funktionen an GPOs benutzt.

Options
Dieser Wert repräsentiert die Optionen, die vom Administrator bei der Konfiguration der GPO-Verknüp-
fung ausgewählt wurden. Beispielsweise ist hier angegeben, ob das GPO deaktiviert oder die in ihm
definierten Einstellungen auf untergeordnete Container angewendet werden sollen.

Version
Dieser Wert gibt die Versionsnummer des GPO zu dem Zeitpunkt an, an dem es das letze Mal ange-
wendet wurde. Anhand der Zahl kann man feststellen, ob das GPO seit der letzten Anwendung
geändert wurde.

Im Kontext der Problembehandlung können Sie mithilfe dieser Informationen GPOs zu ihrem
Ursprung im Active Directory zurückverfolgen. Außerdem können Sie die Reihenfolge ermitteln,
in der die GPOs angewendet wurden. Entspricht diese nicht der Reihenfolge, die Sie erwartet haben,
dann ändern Sie mithilfe der Konsole Active Directory- Benutzer und -Computer die Anwendungs-
reihenfolge GPOs

 

 

Erstellt von: Haßlinger Stefan
Im: Jahr 2006