GPOs vergleichen – Doppelte und unlogische Werte finden

Das bereinigen und vergleichen von GPOs kann schnell ein unbeliebtes Thema werden. Spätestens, wenn keiner direkt fürs AD verantwortlich ist und viele Policys “mal schnell” erstellt werden, ist der Wildwuchs vorprogrammiert. Doppelte, widersprüchliche und unlogische Werte in den Gruppenrichtlinien kommen leider genau so oft vor wie fehler beim Skripten von Automatischen installationen 😉

Daher diese kleine Anleitung, um mit einfachen Tricks zumindest die gröbsten Fehler herauszufinden und zu bereinigen. Denn wer hat schon lust, all seine Windows Server oder Office 365 Policies manuell zu vergleichen 😉

Vorgehensweise

Die Bereinigung der GPOs erfolg in hier 3 Schritten.

  1. Zuerst werden wir die GPOs die wir vergleichen wollen, exportieren. Danach werden die Export-Dateien auf einen anderen Computer oder ein Share kopiert. Diesen Schritt kann man theoretisch auslassen, ich bin jedoch kein Fan davon auf dem Domain Controller GPO Tools oder andere Anwendungen auszuführen und liegen zu lassen
  2. Danach werden wir die Richtlinien mit dem Microsoft Tool Policy Analyzer vergleichen
  3. Zuletzt werden wir die Doppelten und  unlogischen werte entfernen. Dieser Schritt erfolgt manuell

Export

Die Folgenden beiden Schritten erledigen wir in der Group Policy Management Console. Dieses Tutorial behandelt übrigens keine Lokalen Richtlinien, sonder Group Policy Objects (GPOS) aus dem Active directory.

Group Policy Management MMC

Relevante GPOs identifizieren

Wenn man nicht schon weiß, welche Group Policy Objects man bereinigen möchte, hilft der Gruppenrichtlinienergebnis-Assistent. Mit diesem kann man einen beliebigen Standard-Client und Standard-User prüfen. Danach sieht man alle angewendeten Gruppenrichtlinienobjekte unter der Zusammenfassung der Benutzer- und Computerkonfiguration.

Angewendete GPOs im Gruppenrichtlinienergebnis-Assistent
Hier finden wir alle Gruppenrichtlinien zum überprüfen.

Export der relevanten GPOs

Damit wird die GPO Settings später vergleichen und auf Fehler prüfen können, müssen wir diese zuerst einmal aus dem Active Directory exportieren. Hierzu wechseln wir in der Gruppenrichtlinienverwaltung in den Bereich Gruppenrichtlinienobjekte.

Gruppenrichtlinienobjekte in der Group Policy Management MMC

Hier markieren wir uns nacheinander die zur Überprüfung relevanten Elemente und exportieren diese. Das können wir tun, indem wir einen Rechtsklick auf die GPO machen, und auf “Sichern…” klicken.

GPOs in der Group Policy Management MMC sichern

Anschließend kopiere ich mir den Ordner, der die Exportieren GPOs beinhaltet, auf meinen Computer.

GPOs Vergleichen

GPO Comparison Tool

Den zweiten Schritt zum vergleichen von GPOs frühen wir mit dem Microsoft Tool Policy Analyzer durch. Dafür müssen wir lediglich das Microsoft Security Compliance Toolkit 1.0 herunterladen, entpacken und können es anschließend direkt starten.

Microsoft Policy Analyzer - GPO Comparison Tool

Vergleichen der GPO exports

Jetzt müssen wir die Exportierten Group Policies importieren.

Exportierte GPOs hinzufügen
Hinzufügen der GPOs bereinigen
Ordner mit Exportierten GPOs zum bereinigen auswählen
Import der GPOs bereinigen
Speichern der Exportieren GPOs als Policy set
Policy Analyzer View-Compare GPOs bereinigen
Policy Viewer zu bereinigende GPOs anzeigen
Ansicht der GPOs zum bereinigen

GPOs bereinigen, indem man die Doppelten und unlogischen Werte entfernt

Also zum Bereinigen gibt es eigentlich nicht viel zu sagen. Wir müssen uns natürlich die gefundenen Konflikte im Policy Analyzer genau anschauen. Danach müssen wir entscheiden, welche der Einstellungen die richtige ist und die andere Einstellung deaktivieren. Das wars dann eigentlich auch schon, viel Erfolg beim Nachmachen 🙂

Aus dem Blog
Fehlercode 0xc0000034 beheben bei Windows 10

Schreibe einen Kommentar

Melde dich zum Newsletter an

Melde dich zum Newsletter an

Erhalte die neusten Updates und interessante Beiträge vor allen anderen und schließe dich 10.000 monatlichen Lesern an!

Du hast dich erfolgreich angemeldet. Bitte überprüfe dein Postfach und den Spam-Ordner, um deine Anmeldung zu bestätigen!