Mitglieder einer AD-Domäne (Active Directory) können beim Anwenden der Gruppenrichtlinie aus verschiedenen Gründen Probleme haben. In diesem Artikel werden einige der gängigsten Aspekte beschrieben und es werden Richtlinien für das Troubleshooting der zugrunde liegenden Probleme bereitgestellt.
Allgemeines Troubleshooting
Der erste Schritt bei der Behebung dieser Probleme sollte die Ermittlung ihres Ausmaßes sein. Wenn nur ein Computer die Gruppenrichtlinie nicht verarbeiten kann, ist das Problem wahrscheinlich auf eine Fehlfunktion oder Fehlkonfiguration dieses Computers begründet. Wenn das Problem weiter verbreitet ist, besteht das Problem möglicherweise auf einem Domain Controller (DC) oder in AD selbst.
Wenn nur ein Computer betroffen ist, führen Sie gpupdate /force
auf dem betroffenen Computer vor dem weiteren Troubleshooting aus. Dadurch wird sichergestellt, dass der Fehler nicht durch ein temporäres Netzwerkproblem verursacht wurde, das inzwischen behoben worden ist.
Wenn ein Computer die Gruppenrichtlinie nicht verarbeiten kann, erzeugt er in der Regel einen oder mehrere Userenv-Fehler im Anwendungsprotokoll. Häufige Ereignis-ID-Nummern sind 1030, 1053, 1054 und 1058. Die Beschreibungen der einzelnen Fehler auf einer betroffenen Computer sollten einen Überblick über das zugrunde liegende Problem geben.
DNS-Probleme
Die häufigste Ursache für Gruppenrichtlinienfehler (und zahlreiche andere Probleme in AD) ist ein Problem mit der Namensauflösung. Wenn die Userenv-Fehler auf einer betroffenen Computer die Formulierung „Netzwerkpfad nicht gefunden“ oder „Domänencontroller kann nicht gefunden werden“ beinhalten, ist das DNS möglicherweise verantwortlich. Im folgenden finden Sie einige Tipps zum Troubleshooting für diese Art von Problem:
nslookup
domain aus (z. B.nslookup mydomain.local
). Mit diesem Befehl werden die IP-Adressen aller DCs in der Domäne zurückgegeben. Wenn andere Adressen zurückgegeben werden, werden in DNS wahrscheinlich ungültige Datensätze angezeigt. Der Befehl nslookup kann auch verwendet werden, um die Namen der einzelnen DCs in ihre IP-Adressen aufzulösen.ipconfig /all
auf einem betroffenen Computer aus und überprüfen Sie, ob die Option für die Verwendung interner DNS-Server konfiguriert ist. Die Verwendung falscher DNS-Server ist die Hauptursache für DNS-Probleme in einer Domäne, die problemlos behoben werden können. Alle mit der Domäne verbundenen Computer dürfen nur interne DNS-Server verwenden, die in der Regel DCs sind.ipconfig /flushdns
auf allen betroffenen Computern aus. Dadurch werden alle ungültigen Daten aus dem Resolver-Cache auf diesen Computern gelöscht.netdom
Befehl kann Secure Channel zudem testen und zurücksetzen.
Gruppenrichtliniendateien
Eine oder mehrere Gruppenrichtliniendateien wurden möglicherweise von ihrem Speicherort in SYSVOL gelöscht. Überprüfen Sie dies, indem Sie zu SYSVOL\domain\Policies im Datei-Explorer navigieren und nach jenen Dateien suchen, die in Userenv-Fehlern erwähnt werden. Die Dateien für jedes GPO befinden sich in einem Unterordner des Ordners Policies. Jeder Unterordner wird nach dem hexadezimalen Globally Unique Identifier (GUID) des Gruppenrichtlinienobjekts benannt, dessen Dateien er enthält.
Wenn festgestellt wird, dass auf allen DCs die Richtliniendateien fehlen, können sie aus einem Backup wiederhergestellt werden. Wenn die Dateien „Domain-Standard-Policy“ oder „Domain Controller-Standard-Policy“ fehlen und kein Backup verfügbar ist, können mit dem Befehl dcgpofix
beide Policies auf ihre Standardeinstellungen zurückgesetzt werden.
Weitere Informationen zu dcgpofix
finden Sie hier.