Samenvatting van het artikel: Dit artikel bevat informatie over probleemoplossing bij fouten in de verwerking van Groepsbeleid op Windows-computers in een Active Directory-domein.
Leden van een Active Directory (AD)-domein kunnen om verschillende redenen problemen ondervinden bij het toepassen van Groepsbeleid. In dit artikel vindt u een aantal van de meest voorkomende problemen en worden richtlijnen geboden voor het oplossen van de onderliggende problemen.
Algemene probleemoplossing
De eerste stap bij het oplossen van deze problemen is het bepalen van de omvang. Als slechts één computer Groepsbeleid niet kan verwerken, is het probleem waarschijnlijk het gevolg van een defect of verkeerde configuratie van de betreffende computer en gaat het waarschijnlijk niet om een probleem met een domeincontroller (DC) of AD zelf. In het geval van een computerspecifiek probleem kan het handig zijn om gpupdate/force op de getroffen computer uit te voeren voordat u verdergaat met de probleemoplossing, om er zeker van te zijn dat de fout niet werd veroorzaakt door een tijdelijk netwerkprobleem dat sindsdien is opgelost.
Wanneer een computer Groepsbeleid niet kan uitvoeren, genereert deze doorgaans een of meerdere Userenv-fouten in het applicatielogboek. Veelvoorkomende gebeurtenis-ID's zijn onder meer 1030, 1053, 1054 en 1058. De beschrijvingen van de specifieke fouten op een getroffen computer zouden een idee moeten geven van het onderliggende probleem.
Problemen met DNS
Misschien wel de meest voorkomende oorzaak van fouten met Groepsbeleid (en talloze andere problemen in AD) is een probleem met naamherleiding: een client probeert de Groepsbeleid-instellingen bij te werken, maar kan de naam van een DC in het domein niet vaststellen, kan de naam van een DC niet omzetten in een IP-adres of herleidt die naam naar het adres van een computer die niet echt een DC is en misschien niet eens bestaat. Als de Userenv-fouten op een getroffen computer het volgende bevatten: "Network path not found" of "Cannot locate a domain controller", ligt de oorzaak van het probleem waarschijnlijk bij DNS. Hier volgen enkele tips voor het oplossen van dit type probleem:
Problemen met beveiligd kanaal
Dit type probleem doet zich meestal voor wanneer een computer die is toegevoegd aan een domein, lang genoeg offline is dat het wachtwoord van het computeraccount in AD niet meer overeenkomt met de kopie van dat wachtwoord dat in de lokale cache van de computer is opgeslagen. Het probleem kan echter ook in andere situaties ontstaan. Een probleem met een beveiligd kanaal verhindert de authenticatie van een computer bij een DC en manifesteert zichzelf doorgaans als een fout "Access denied" wanneer die computer toegang probeert te krijgen tot domeinbronnen, inclusief updates voor Groepsbeleid. Natuurlijk zijn niet alle gevallen van "Access denied" te wijten aan problemen met een beveiligd kanaal maar als een getroffen computer Userenv-fouten in het applicatielogboek bevat met "Access denied" in de beschrijving, is het de moeite waard de mogelijkheid van een beveiligd kanaal te testen.
Problemen met SYSVOL
Groepsbeleid-bestanden worden opgeslagen in de SYSVOL-share op alle DC's in het domein - om precies te zijn, in submappen van de map SYSVOL\domain\Policies. Als de SYSVOL-share niet op een DC staat, duidt dit doorgaans op een probleem met de File Replication Service (FRS) of Distributed File System Replication (DFS-R), afhankelijk van welke wordt gebruikt voor het repliceren van SYSVOL.
Dit artikel biedt geen uitputtende handleiding voor het oplossen van problemen met de FRS of DFS-R. De volgende koppelingen kunnen in dit geval nuttig zijn:
Niet synchroon lopen van klok
Als de tijd op een getroffen computer niet dezelfde is als de tijd op een DC en het verschil meer dan vijf minuten bedraagt indien gecorrigeerd is voor verschillen in de tijdzone, kan er geen authenticatie van de computer bij de DC plaatsvinden en Groepsbeleid daardoor niet worden verwerkt. Domeinleden moeten zodanig worden geconfigureerd dat hun klok synchroon loopt met een DC, en de klok van elke DC moet weer synchroon lopen met de DC die de rol van PDC-emulator bezit. Daarom zou de PDC-emulator de enige computer in een domein moeten zijn die zodanig is geconfigureerd dat deze gesynchroniseerd is met een externe bron, zoals een openbare NTP-server.
Hier vindt u meer informatie over het configureren van de Windows Time-service.
Ontbrekende Groepsbeleid-bestanden
Een of meerdere Groepsbeleid-bestanden zijn mogelijk verwijderd uit de storagelocatie in SYSVOL. De makkelijkste manier om dit te controleren is door SYSVOL\domain\Policies te openen in Windows Verkenner en te controleren op de specifieke bestanden die worden vermeld in de Userenv-fouten die op de betroffen computers worden weergegeven. De bestanden voor elk groepsbeleidsobject (GPO) bevinden zich in een submap van de map Policies. Elke submap krijgt de naam van de GUID van het GPO waarvan het de bestanden bevat.
Als beleidsbestanden ontbreken in alle DC's, kunnen ze via een back-up worden hersteld. Als het standaarddomeinbeleid of de beleidsbestanden van de standaarddomeincontroller ontbreken en er geen back-up beschikbaar is, kan de opdracht dcgpofix beide beleidsregels terugzetten naar hun standaardinstellingen. Meer informatie over dcgpofix vindt u in dit artikel.