tag:blogger.com,1999:blog-48280713266011707392024-03-15T01:18:24.524+01:00Let's go, use GPO!Der Windows Server und GPO Blog von Matthias Wolf (Group Policy MVP).Matthias Wolfhttp://www.blogger.com/profile/05564512349340522110noreply@blogger.comBlogger46125tag:blogger.com,1999:blog-4828071326601170739.post-68549480324143981072014-05-28T12:46:00.000+02:002014-05-28T19:15:52.221+02:00MS14-025 - Das Ende der gespeicherten Passwörter<span style="font-family: Verdana,sans-serif;">Gruppenrichtlinien bieten die Möglichkeit Passwörter für gewisse Aufgaben zu setzen.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Hierbei handelt es sich um folgende Gruppenrichtlinieneinstellungen <br />(Group Policy Preferences):</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<br />
<ul>
<li><span style="font-family: Verdana,sans-serif;"> Laufwerkzuordnungen</span></li>
</ul>
<ul>
<li><span style="font-family: Verdana,sans-serif;"> Lokale Benutzer und Gruppen</span></li>
</ul>
<ul>
<li><span style="font-family: Verdana,sans-serif;"> Geplante Aufgaben</span></li>
</ul>
<ul>
<li><span style="font-family: Verdana,sans-serif;"> Dienste</span></li>
</ul>
<ul>
<li><span style="font-family: Verdana,sans-serif;"> Datenquellen </span></li>
</ul>
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;">XML als Basis</span></span> </span><br />
<span style="font-family: Verdana,sans-serif;">Group Policy Preferences basieren auf XML Dateien.</span><br />
<span style="font-family: Verdana,sans-serif;">Passwörter die für die oben genannten Einstellungen gespeichert werden, werden im SYSVOL innerhalb der betreffenden XML Dateien in einem Attribut gespeichert. Hierbei handelt es sich um das Attribut "cPassword".</span><br />
<span style="font-family: Verdana,sans-serif;">Das Passwort wird nicht im Klartext in die XML Datei geschrieben. </span><br />
<span style="font-family: Verdana,sans-serif;">Das Passwort ist mittels 32-Byte AES verschlüsselt.</span><br />
<span style="font-family: Verdana,sans-serif;">Diese Verschlüsselung ist relativ schwach.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"><b>Das zusätzliche Problem:</b> </span><br />
<span style="font-family: Verdana,sans-serif;">Der Schlüssel wurde veröffentlicht und ist somit frei zugänglich.</span><br />
<br />
<span style="font-family: Verdana,sans-serif;">Speichert man mittels GPP ein Passwort im SYSVOL, so wird ein Warnhinweis angezeigt.</span><br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<span style="font-family: Verdana,sans-serif;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgtoJJl7jzSQUFAupkoTzWjsmpV6RbQnlpfs_jekttWbCkfYWnxocTiOpzKfG8tv-99jYFxazl3L0gxYAIk1My6ym2LDj0ENF5Z8kv9bry7pDEfvkM7zthCxNgKBhmT2o7xmxQYOs_ERpY/s1600/Zwischenablage01.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgtoJJl7jzSQUFAupkoTzWjsmpV6RbQnlpfs_jekttWbCkfYWnxocTiOpzKfG8tv-99jYFxazl3L0gxYAIk1My6ym2LDj0ENF5Z8kv9bry7pDEfvkM7zthCxNgKBhmT2o7xmxQYOs_ERpY/s1600/Zwischenablage01.jpg" height="126" width="320" /></a></span></div>
<br />
<span style="font-family: Verdana,sans-serif;">Im Übrigen wird diese Meldung unter Windows 8 / 8.1 nicht in die jeweilige Sprache übersetzt und ist folglich immer Englisch :-)</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;">Passwörter per GPP vermeiden</span></span></span><br />
<span style="font-family: Verdana,sans-serif;">Da standardmäßig alle "Authentifizierten Benutzer" Lesezugriff auf diese Dateien haben, stellt dies also ein großes Sicherheitsrisiko dar.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;">MS14-025 - Microsoft reagiert</span></span></span><br />
<span style="font-family: Verdana,sans-serif;">Microsoft hat nun auf diese Sicherheitslücke reagiert und ein Sicherheitsbulletin veröffentlicht. </span><br />
<br />
<span style="font-family: Verdana,sans-serif;">Eine ausführliche Beschreibung von Microsoft und weiterführende Downloadlinks findet ihr hier:</span><br />
<span style="font-family: Verdana,sans-serif;"><br /><a href="http://support.microsoft.com/kb/2962486/dehttp://support.microsoft.com/kb/2962486/de">http://support.microsoft.com/kb/2962486/de</a></span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;">GPP Password Finder</span></span> </span><br />
<span style="font-family: Verdana,sans-serif;">Mit diesem Update wird einem zwar die Möglichkeit genommen, zukünftig Passwörter per GPPs zu setzen, jedoch bleiben die bestehenden Passwörter unberührt.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Policies die ein cPassword Attribut enthalten könnt ihr mittels PowerShell ermitteln. Zusätzlich habt ihr die Möglichkeit meinen "GPP Password Finder" zu verwenden. Dieser basiert nicht auf PowerShell.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<a href="https://onedrive.live.com/redir?resid=62A6D19FFDA7F555%21172"><span style="font-family: Verdana,sans-serif;">https://onedrive.live.com/redir?resid=62A6D19FFDA7F555%21172</span></a><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana, sans-serif;">Das Programm benutzt ihr natürlich auf eure eigene Verantwortung.</span><br />
<span style="font-family: Verdana, sans-serif;"><br /></span>
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiwUJzJHfNMUIaq7291X45Hf55aL-XnzrdOgjqx_geA0l5oEYouGjlbpNY_fe7Uvm1UhtBuJOF697OobHGn5VuvXYmE3DJQfZIlTEBDNkSbUiU5bl44r77eSpgFjzIur14ZsXN09WXmucs/s1600/Zwischenablage02.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiwUJzJHfNMUIaq7291X45Hf55aL-XnzrdOgjqx_geA0l5oEYouGjlbpNY_fe7Uvm1UhtBuJOF697OobHGn5VuvXYmE3DJQfZIlTEBDNkSbUiU5bl44r77eSpgFjzIur14ZsXN09WXmucs/s1600/Zwischenablage02.jpg" height="174" width="320" /></a></div>
<br />
<br />
<span style="font-family: Verdana,sans-serif;"></span><span style="color: #0b5394;"><span style="font-size: large;"><span style="font-family: Verdana,sans-serif;">Weiterführende Links</span></span></span><span style="font-family: Verdana,sans-serif;"><br />Zwei sehr gute Artikel findet ihr bei MVP <a href="http://mvp.microsoft.com/de-de/mvp/Alan%20Burchill-4028331">Alan Burchill</a>.</span><br />
<br />
<br />
<a href="http://www.grouppolicy.biz/2013/11/why-passwords-in-group-policy-preference-are-very-bad/"><span style="font-family: Verdana,sans-serif;">http://www.grouppolicy.biz/2014/05/remove-cpassword-values-active-directory/</span></a><br />
<br />
<span style="font-family: Verdana,sans-serif;"><a href="http://www.grouppolicy.biz/2013/11/why-passwords-in-group-policy-preference-are-very-bad/">http://www.grouppolicy.biz/2013/11/why-passwords-in-group-policy-preference-are-very-bad/ </a></span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
Matthias Wolfhttp://www.blogger.com/profile/05564512349340522110noreply@blogger.com5tag:blogger.com,1999:blog-4828071326601170739.post-69384350769649588162014-03-27T13:30:00.004+01:002014-04-02T23:23:04.409+02:00Internet Explorer Content Advisor wird für alle Benutzer übernommen<span style="font-family: Verdana,sans-serif;"><span style="font-size: small;"><span style="font-size: large;"><span style="color: #0b5394;">Zugriff auf Internet-Seiten beschränken</span></span> </span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="font-size: small;">Der Zugriff auf Webseiten im Internet sollte immer an einem Proxyserver bzw. Firewall beschränkt werden. </span></span><br />
<br />
<span style="font-family: Verdana,sans-serif;"><span style="font-size: small;">Wird der Zugriff am Proxy / an der Firewall eingeschränkt, so ergeben sich folgende Vorteile:</span></span><br />
<ul>
<li><span style="font-family: Verdana,sans-serif;"><span style="font-size: small;">Diese Lösung ist unabhängig vom verwendeten Browser</span></span></li>
<li><span style="font-family: Verdana,sans-serif;"><span style="font-size: small;">Diese Einstellungen werden zentral am Proxy gesetzt </span></span></li>
<li><span style="font-family: Verdana,sans-serif;"><span style="font-size: small;">Die Einschränkungen können nicht durch das Ändern von Clienteinstellungen umgangen werden</span></span></li>
</ul>
<span style="font-family: Verdana,sans-serif;"><span style="font-size: small;"><span style="font-size: large;"><span style="color: #0b5394;">Internetzugriff komplett sperren</span></span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="font-size: small;">Hier kursieren diverse GPO-basierende Lösungen.<br />Die Idee vieler Admins: Einen Proxyserver setzen der nicht existiert und dem Benutzer die Möglichkeit entziehen diesen Eintrag zu ändern.</span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="font-size: small;"><br /></span></span>
<span style="font-family: Verdana,sans-serif;"><span style="font-size: small;">Hier enstehen ebenfalls Probleme:</span></span><br />
<ul>
<li><span style="font-family: Verdana,sans-serif;"><span style="font-size: small;">Diese Lösung ist nicht unabhänig vom verwendeten Browser</span></span></li>
<li><span style="font-family: Verdana,sans-serif;"><span style="font-size: small;">Dienste die auf einen Proxyserver angewiesen sind (z.B. Windows-Update Dienst der die Updates direkt von Microsoft laden soll) sind ebenfalls von dieser Einschränkung betroffen</span></span></li>
<li><span style="font-family: Verdana,sans-serif;"><span style="font-size: small;">Ein erfahrener Benutzer kann diese Einstellung umgehen </span></span></li>
</ul>
<span style="font-family: Verdana,sans-serif;"><span style="font-size: small;"><span style="font-size: large;"><span style="color: #0b5394;">Intranet- und Internetzugriff einschränken</span></span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="font-size: small;">Der Benutzer soll auf eine definierte Whitelist von Intra- und Internetseiten zugreifen können. </span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="font-size: small;"><br /></span></span>
<span style="font-family: Verdana,sans-serif;"><span style="font-size: small;">Hier scheitern viele Proxylösungen. Die meisten Produkte können nur den Internetzugriff beschränken.</span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="font-size: small;"><br /></span></span>
<span style="font-family: Verdana,sans-serif;"><span style="font-size: small;">Eine Lösung auf Clientbasis bietet sich an.</span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="font-size: small;"><br />Der Internet Explorer bringt eine solche Lösung bereits mit:<br /><a href="http://windows.microsoft.com/en-ie/windows/internet-explorer-content-advisor-faq#1TC=windows-7">Den Content Advisor</a></span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="font-size: small;"><br /></span></span>
<span style="font-family: Verdana,sans-serif;"><span style="font-size: small;">Diese Funktion lässt sich über <a href="http://www.windowsecurity.com/articles-tutorials/authentication_and_encryption/Restricting-Specific-Web-Sites-Internet-Explorer-Using-Group-Policy.html">Gruppenrichtlinen</a> steuern.</span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="font-size: small;">Die CSE Internet Explorer Wartung kann diese Einstellungen setzen.</span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="font-size: small;">Die gilt allerdings <a href="http://matthiaswolf.blogspot.de/2013/04/internet-explorer-10-goodbye-my-friend.html">nur bis einschließlich IE 9</a>.</span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="font-size: small;"><br /></span></span>
<span style="font-family: Verdana,sans-serif;"><span style="font-size: small;">Sollen diese Einstellungen für alle Benutzer des Clients/Servers gelten, so werden diese übernommen.</span></span><br />
<br />
<span style="font-family: Verdana,sans-serif;"><span style="font-size: small;">Definiert man jedoch eine Policy, die nur von gewissen Benutzern (bzw. Benutzergruppen) übernommen werden soll, so wirkt sich diese auch auf alle anderen Benutzer aus.</span></span><br />
<br />
<b><span style="font-family: Verdana,sans-serif;"><span style="font-size: small;">Beispiel:</span></span></b><br />
<ul>
<li><span style="font-family: Verdana,sans-serif;">Am Terminalserver "RDS01" soll eine Benutzergruppe "KIOSK-USERS" auf eine Whitelist von Webseiten eingegrenzt werden</span></li>
<li><span style="font-family: Verdana,sans-serif;">Die Einstellungen werden per Internet Explorer Wartung in einer Policy gesetzt</span></li>
<li><span style="font-family: Verdana,sans-serif;">Die Policy wird nur von der Gruppe "KIOSK-USERS" übernommen</span></li>
<li><span style="font-family: Verdana,sans-serif;">Alle anderen Benutzer erhalten keine IEM (Internet Explorer Maintenance) Einstellungen</span></li>
</ul>
<span style="color: red;"><b><span style="font-family: Verdana,sans-serif;">ACHTUNG:</span></b></span><br />
<span style="color: red;"><b><span style="font-family: Verdana,sans-serif;">In diesem Falle gelten die Einstellungen für alle Benutzer.</span></b></span><br />
<br />
<span style="font-family: Verdana,sans-serif;">Über die Frage ob es sich hier um einen Bug handelt oder ein gewolltes Design,</span><br />
<span style="font-family: Verdana,sans-serif;">lässt sich streiten.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Stellt man diese Einstellung manuell am Server als Administrator in eurem IE ein, so gelten diese auch für alle Benutzer des Clients/Servers.</span>Matthias Wolfhttp://www.blogger.com/profile/05564512349340522110noreply@blogger.com0tag:blogger.com,1999:blog-4828071326601170739.post-2523022506810857022014-02-19T09:07:00.000+01:002014-02-26T16:47:24.371+01:00Computerkonten auf allen DCs löschen<span style="font-family: Verdana,sans-serif;">Einige Umstände machen es nötig, dass ein Client erneut in die Domäne aufgenommen werden muss. Wird zum Beispiel ein Image / Snapshot einer VM zurückgespielt, so stimmt das lokal gespeicherte Computerkennwort nicht mehr mit dem im Active Directory gespeichertem Kennwort überein.</span><br />
<br />
<span style="font-family: Verdana,sans-serif;">In der Regel reicht es aus, das Computerkonto beizubehalten und nur den "Domain Join" aufzufrischen. </span><br />
<span style="font-family: Verdana,sans-serif;"><br />
</span> <span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;">Domäne raus / rein</span></span> </span><br />
<span style="font-family: Verdana,sans-serif;">Der Rechner kann zunächst in eine Arbeitsgruppe aufgenommen werden:</span><br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<span style="font-family: Verdana,sans-serif;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhUxbu1Px_EPZO5zv-9jeJWvHCJVPNfFoUk2LvqfpK-lIzgqYsMIi4r3OlhC49kmN7pOG01-BMaOJSQw9_OyT7_1zt2gulsXSWKG8q-u6_mz6eAIU6xVRRHMI-5G4pPf4qhOE86XC_FS60/s1600/Unbenannt.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhUxbu1Px_EPZO5zv-9jeJWvHCJVPNfFoUk2LvqfpK-lIzgqYsMIi4r3OlhC49kmN7pOG01-BMaOJSQw9_OyT7_1zt2gulsXSWKG8q-u6_mz6eAIU6xVRRHMI-5G4pPf4qhOE86XC_FS60/s1600/Unbenannt.png" height="320" width="270" /></a></span></div>
<span style="font-family: Verdana,sans-serif;"><br />
</span> <span style="font-family: Verdana,sans-serif;"><br />
</span> <span style="font-family: Verdana,sans-serif;">Nach einem Reboot kann er dann wieder in die Domäne aufgenommen werden.</span><br />
<span style="font-family: Verdana,sans-serif;"><br />
</span> <span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;">Ohne in die Workgroup zu wechseln</span></span> </span><br />
<span style="font-family: Verdana,sans-serif;">Wer sich an dieser Stelle den Übergang in die Workgroup sparen will, der kann wie folgt vorgehen:</span><br />
<span style="font-family: Verdana,sans-serif;"><br />
</span> <br />
<div class="separator" style="clear: both; text-align: center;">
<span style="font-family: Verdana,sans-serif;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi2m854Mw5HH9MZC6L_cDvpmAs7DMniBR0ILd61qKWTG8ys1bq_2v_UBW8K-Qoqbt86P1mWzUkZdVll1fe4Vxr51oNfnd66Mrc0NAFowvbHxvoHm7tP5clkvWOEb4RX1Kn43IuTXomIThc/s1600/Unbenannt1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi2m854Mw5HH9MZC6L_cDvpmAs7DMniBR0ILd61qKWTG8ys1bq_2v_UBW8K-Qoqbt86P1mWzUkZdVll1fe4Vxr51oNfnd66Mrc0NAFowvbHxvoHm7tP5clkvWOEb4RX1Kn43IuTXomIThc/s1600/Unbenannt1.png" height="320" width="270" /></a></span></div>
<br />
<span style="font-family: Verdana,sans-serif;">Wir ändern einfach den FQDN der Domäne ("my.domain") in den Netbios-Namen der Domäne "DOMAIN". Das akzeptiert die GUI als Änderung und lässt uns</span><br />
<span style="font-family: Verdana,sans-serif;">damit das AD Konto auffrischen. Danach ist ein Neustart erforderlich.</span><br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjPR-3YFEHvZqos5o2nvXGl56YjLQXLAzk_WH-NnAeKcJM88mrqBRjlbBwfXaKk-bxO1f1jTPNkhflATqdgt0sudJBSfXotxEvt3K5565eol3zIoUP1WPkUsjHwpJtPP3gKlHbsIz3B3O8/s1600/Unbenannt2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjPR-3YFEHvZqos5o2nvXGl56YjLQXLAzk_WH-NnAeKcJM88mrqBRjlbBwfXaKk-bxO1f1jTPNkhflATqdgt0sudJBSfXotxEvt3K5565eol3zIoUP1WPkUsjHwpJtPP3gKlHbsIz3B3O8/s1600/Unbenannt2.png" height="320" width="270" /></a></div>
<br />
<br />
<span style="font-family: Verdana,sans-serif;">Der Rechner kann natürlich auch mittels PowerShell (Add-Computer) oder netdom der Domäne hinzugefügt werden.</span><br />
<span style="font-family: Verdana,sans-serif;"><br />
</span> <span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"></span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;">Computerkonto löschen?</span></span> </span><br />
<span style="font-family: Verdana,sans-serif;">In einigen Fällen ist es jedoch nötig auch das Computerkonto zu löschen. <br />
Die ist zum Beispiel der Fall, wenn ein Client umbenannt werden soll, es aber das Konto (bzw. den Hostnamen) des Clients bereits gibt.</span><br />
<span style="font-family: Verdana,sans-serif;">An dieser Stelle sollte man das AD Konto löschen.</span><br />
<span style="font-family: Verdana,sans-serif;"><br />
</span> <span style="font-family: Verdana,sans-serif;">Löscht man das Computerkonto, sollte man die vollständige Replizierung der Domain Controller abwarten. Windows hat die Eigenschaft beim Domain-Join</span><br />
<span style="font-family: Verdana,sans-serif;">verschiedene DCs nach einem bereits vorhandenen Konto zu durchsuchen.</span><br />
<span style="font-family: Verdana,sans-serif;">Hierbei spielt die AD-Sitezuordnung keine Rolle.</span><br />
<span style="font-family: Verdana,sans-serif;"><br />
</span> <span style="font-family: Verdana,sans-serif;"><b>Hier ein Beispiel:</b><br />
<br />
Wird haben zwei DCs am Hauptstandort. DC-MAIN01, DC-MAIN02</span><br />
<span style="font-family: Verdana,sans-serif;">Zusätzlich gibt es einen DC in einem Außenbüro. DC-SITE01</span><br />
<br />
<span style="font-family: Verdana,sans-serif;">Das Computerkonto wird auf DC-MAIN01 gelöscht. DC-MAIN02 repliziert relativ schnell diese Änderung. Bei DC-SITE01 dauert dies jedoch länger (abhängig davon wie die Inter-Site Replikationspläne im AD gesetzt wurden).</span><br />
<span style="font-family: Verdana,sans-serif;"><br />
</span> <span style="font-family: Verdana,sans-serif;">Versucht man direkt nach dem Löschen des Computerkontos den Client wieder in die Domain aufzunehmen, dann ist die Wahrscheinlichkeit groß, dass dieser auf DC-SITE01 das noch vorhandene Konto findet und verwendet.</span><br />
<span style="font-family: Verdana,sans-serif;"><br />
Der Client funktioniert erst einmal wie gewohnt. Repliziert jedoch nun irgendwann DC-SITE01 mit DC-MAIN01 oder 02, so wird das Konto gelöscht.</span><br />
<span style="font-family: Verdana,sans-serif;">Egal ob dieses noch einmal geändert wurde oder nicht.</span><br />
<span style="font-family: Verdana,sans-serif;"><br />
</span> <span style="font-family: Verdana,sans-serif;"><br />
<span style="color: #0b5394;"><span style="font-size: large;">Abwarten?</span></span> </span><br />
<span style="font-family: Verdana,sans-serif;">Man könnte nun natürlich einfach abwarten, bis die Löschung repliziert wurde. </span><br />
<span style="font-family: Verdana,sans-serif;">Im Zweifelsfalle dauert dies jedoch zu lange.</span><br />
<span style="font-family: Verdana,sans-serif;">In kleineren Umgebungen können wir auch die Replizierung manuell erzwingen.</span><br />
<span style="font-family: Verdana,sans-serif;">Dazu könnt ihr dieses PowerShell Skript verwenden:</span><br />
<br />
<pre><b><span style="font-family: "Courier New",Courier,monospace; font-size: small;">repadmin /viewlist * | Foreach-Object `
{
If($_)
{
$StrDCName = ([regex]::match($_,"(?<=DSA_LIST\[\d?\]\s\=\s).+").value)
Write-Host "Processing "$StrDCName -for Green
repadmin /kcc $StrDCName
repadmin /syncall /A /e $StrDCName
}
}</span></b></pre>
<br />
<span style="font-family: Verdana,sans-serif;">Hierbei werden euch alle Inter-Site Replikationen angestoßen.</span><br />
<span style="font-family: Verdana,sans-serif;"><br />
</span> <span style="font-family: Verdana,sans-serif;">Bei größeren Umgebungen ist dies jedoch zu träge und dauert ebenfalls zu lange.</span><br />
<span style="font-family: Verdana,sans-serif;"><br />
</span> <span style="font-family: Verdana,sans-serif;"><br />
<span style="color: #0b5394;"><span style="font-size: large;">Computerkonten sofort löschen</span></span> </span><br />
<span style="font-family: Verdana,sans-serif;">Die einfachste Methode ist ein Skript, das die Computerkonten auf allen DCs sofort löscht.</span><br />
<span style="font-family: Verdana,sans-serif;"><br />
</span> <b><span style="font-family: "Courier New",Courier,monospace;">cls<br />
@echo off<br />
<br />
IF NOT EXIST "%windir%\system32\dsquery.exe" (<br />
echo.<br />
echo Program will end. dsquery.exe not found<br />
echo.<br />
pause<br />
exit<br />
) <br />
<br />
<br />
set /P PC=Please enter the Computername you want to delete: <br />
for /f "delims=" %%A in ('dsquery computer -name %PC%') do set "DN=%%A"<br />
<br />
echo.%DN%|findstr /C:"CN=" >nul 2>&1<br />
if errorlevel 1 (<br />
cls<br />
echo.<br />
echo Program will end. No Computer found in Active Directory.<br />
echo.<br />
pause<br />
exit<br />
) <br />
<br />
cls<br />
echo.<br />
echo dsrm %DN% -s DCNAME -noprompt <br />
echo.<br />
set /P c=Do you want to run the command above [Y/N]?<br />
if /I "%c%" EQU "Y" goto choice<br />
if /I "%c%" EQU "J" goto choice<br />
exit<br />
<br />
:choice<br />
cls<br />
echo.<br />
for /F %%i IN ('dsquery Server -o rdn -Forest') DO (<br />
echo.<br />
echo Trying to delete account on %%i<br />
dsrm %DN% -s %%i -noprompt <br />
echo.<br />
)<br />
pause</span></b><br />
<span style="font-family: Verdana,sans-serif;"><br />
</span> <span style="font-family: Verdana,sans-serif;">Hierbei handelt es sich um ein reguläres Batch-Skript. <br />
Auf dem Client auf dem das Skript ausgeführt wird, müssen jedoch die AD-Commandline Tools installiert sein. Installiert man mittels RSAT das Snapin "Active Directory Users and Computers", so werden diese auf dem Client per Default mit installiert. </span><br />
<span style="font-family: Verdana,sans-serif;"><br />
</span> <span style="font-family: Verdana,sans-serif;">Nachdem ihr das Skript ausgeführt habt, wird das Konto auf allen erreichbaren DCs gelöscht und ihr könnt den Rechner ohne Probleme in die Domäne aufnehmen.</span><br />
<span style="font-family: Verdana,sans-serif;"><br />
</span> <span style="font-family: Verdana,sans-serif;"><span style="color: red;"><b>An dieser Stelle sei gesagt, alle Skripte führt ihr wie immer auf eigene Verantwortung aus.</b></span></span><br />
<span style="font-family: Verdana,sans-serif;"><br />
</span>Matthias Wolfhttp://www.blogger.com/profile/05564512349340522110noreply@blogger.com2tag:blogger.com,1999:blog-4828071326601170739.post-7345148348127553792014-01-17T07:43:00.000+01:002014-01-21T16:49:25.505+01:00Group Policy Caching - sinnvoll oder sinnlos?<span style="font-family: Verdana,sans-serif;">Microsoft hat unter Windows 8.1 (bzw. Server 2012 R2) eine neue Funktion eingeführt die sich "Policy Caching" nennt.</span><br />
<br />
<span style="font-family: Verdana,sans-serif;">Microsoft selbst ist jedoch relativ schweigsam wie Group Policy Caching funktioniert und wann es Verwendung findet.</span><br />
<br />
<span style="font-family: Verdana,sans-serif;"><b>Siehe TechNet:</b></span><br />
<span style="font-family: Verdana,sans-serif;"><a href="http://technet.microsoft.com/en-us/library/dn265973.aspx#BKMK_gpresults">http://technet.microsoft.com/en-us/library/dn265973.aspx#BKMK_gpresults</a></span><br />
<br />
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;">Was ist Group Policy Caching?</span></span></span><br />
<span style="font-family: Verdana,sans-serif;">GPC (Group Policy Caching) ist ein lokaler Zwischenspeicher im Verzeichnis "C:\Windows\system32\grouppolicy\DataStore".</span><br />
<br />
<span style="font-family: Verdana,sans-serif;">Dieser Speicher wird bei jedem Group Policy Refresh aktualisiert.</span><br />
<span style="font-family: Verdana,sans-serif;">Es handelt sich dabei mehr oder weniger um eine Kopie der im SYSVOL befindlichen Daten. Der nächste Policy Zyklus (beim Starten oder Login) verwendet dann evtl. (später mehr dazu) diesen Cache um die Abarbeitungszeit der Richtlinien zu verringern.</span><br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<span style="font-family: Verdana,sans-serif;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjn2dHu3hyphenhyphenOEhoD7uIMTL8XZtg2gnxM2E8SOEPhfRNDED_SB-n99v3v4sNRHGAPoJCz7FOvhkk8q-u5Bvju4Nf_R5oe3lCDUWTnGKdl02I_zNQ8R23Cu-DtTSmB_Q0Jhx9CVBndD2znFGo/s1600/Unbenannt.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjn2dHu3hyphenhyphenOEhoD7uIMTL8XZtg2gnxM2E8SOEPhfRNDED_SB-n99v3v4sNRHGAPoJCz7FOvhkk8q-u5Bvju4Nf_R5oe3lCDUWTnGKdl02I_zNQ8R23Cu-DtTSmB_Q0Jhx9CVBndD2znFGo/s1600/Unbenannt.png" height="320" width="260" /></a></span></div>
<span style="font-family: Verdana,sans-serif;"><br />
</span> <br />
<span style="font-family: Verdana,sans-serif;"><b>Eine Sache ist hier entscheidend:</b></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="color: red;"><b>Der Group Policy Cache ist nur bei der synchronen Richtlinienverarbeitung aktiv!</b></span></span><br />
<span style="font-family: Verdana,sans-serif;"><br />
</span> <span style="font-family: Verdana,sans-serif;">Den Unterschied zwischen synchroner und asynchroner Richtlinenverarbeitung findet ihr in meinem Blogeintrag "<a href="http://matthiaswolf.blogspot.de/2013/05/der-groe-group-policy-troubleshooting.html">Der große Group Policy Troubleshooting Guide - Teil 3/3 </a>"</span><span style="font-family: Verdana,sans-serif;"><br />
</span> <br />
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;">Wann wird Group Policy Caching wirklich verwendet?</span></span></span><br />
<span style="font-family: Verdana,sans-serif;">Genau diese Frage zeigt das große Problem des neuen Features GPC.</span><br />
<br />
<span style="font-family: Verdana,sans-serif;">Unter folgenden Umständen wird GPC <b>nicht verwendet</b>:</span><br />
<ol>
<li><span style="font-family: Verdana,sans-serif;">Die Richtlinienverarbeitung ist asynchron</span></li>
<li><span style="font-family: Verdana,sans-serif;">Die Richtlinienverarbeitung ist synchron, jedoch ist die Einstellung "<a href="http://gpsearch.azurewebsites.net/#1839">Always wait for network at computer startup and user logon</a>" aktiviert</span></li>
<li><span style="font-family: Verdana,sans-serif;">Die Richtlinienverarbeitung ist synchron, jedoch nur weil der User sich das erste Mal an diesem Gerät anmeldet </span></li>
<li><span style="font-family: Verdana,sans-serif;"><a href="http://gpsearch.azurewebsites.net/#10685">Group Policy Caching ist deaktiviert</a></span></li>
<li><span style="font-family: Verdana,sans-serif;">Der DC antwortet nicht oder der DC antwortet mit einer Zeitüberschreitung (der Zeitüberschreitungswert wird in <a href="http://gpsearch.azurewebsites.net/#10685">der gleichen Policy </a>definiert) </span></li>
</ol>
<span style="font-family: Verdana,sans-serif;">Unter folgenden Umständen wird GPC <b>verwendet</b>:</span><br />
<ol>
<li><span style="font-family: Verdana,sans-serif;">CSEs, die eine synchrone Verarbeitung erfordern, lösen eine synchrone Verarbeitung aus.<br />
<br />
Windows 8.1 hat nur noch zwei CSEs die eine synchrone Verarbeitung erfordern: </span></li>
</ol>
<ul>
<li><span style="font-family: Verdana,sans-serif;">Folder Redirection</span></li>
</ul>
<ol></ol>
<ul>
<li><span style="font-family: Verdana,sans-serif;">Software Installation</span></li>
</ul>
<ol></ol>
<span style="font-family: Verdana,sans-serif;">Die Wahrscheinlichkeit dass der GPC-Mechanismus überhaupt benutzt wird, ist relativ gering. </span><br />
<span style="font-family: Verdana,sans-serif;"><br />
</span> <span style="font-family: Verdana,sans-serif;">Microsoft macht ebenfalls nicht deutlich, wie das genaue Zusammenspiel zwischen Group Policy Caching und Slow Link Detection funktioniert.</span><br />
<span style="font-family: Verdana,sans-serif;"><br />
</span> <span style="font-family: Verdana,sans-serif;"><b>Der offizielle Hilfetext der Richtlinieneinstellung lässt Folgendes vermuten:</b></span><br />
<ul>
<li><span style="font-family: Verdana,sans-serif;">Wird der Cache gelesen, so wird der DC kontaktiert</span></li>
<li><span style="font-family: Verdana,sans-serif;">Ist diese Antwort außerhalb des Timeouts (bzw. gibt es keine Antwort) so wird die Verarbeitung der Richtlinien abgebrochen und beim nächsten Background-Refresh durchgeführt</span></li>
<li><span style="font-family: Verdana,sans-serif;">Das Herunterladen in den Cache wird ebenfalls beschränkt, sobald eine langsame Verbindung erkannt wird. Hier werden jedoch nicht die Einstellungen <a href="http://gpsearch.azurewebsites.net/#10685">dieser Policy</a> verwendet, sondern die Einstellungen <a href="http://gpsearch.azurewebsites.net/#340">dieser Policy</a></span></li>
</ul>
<span style="font-family: Verdana,sans-serif;">Leider lässt die unvollständige Microsoft-Dokumentation das genaue Verhalten nur vermuten.</span><br />
<span style="font-family: Verdana,sans-serif;"><br />
</span> <span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;">Was sind die Nachteile des Group Policy Caching?</span></span></span><br />
<ol>
<li><span style="font-family: Verdana,sans-serif;">Die Abarbeitungszeit der Hintergrundaktualisierung (auch gpupdate, gpupdate /force) ist deutlich höher, da die Policies in den Cache kopiert werden müssen</span></li>
<li><span style="font-family: Verdana,sans-serif;">Während der </span><span style="font-family: Verdana,sans-serif;">Hintergrundaktualisierung wird durch das Caching sehr häufig auf das SYSVOL-Share der DCs zugegriffen<br />
(siehe auch <a href="http://www.grouppolicy.biz/2013/07/windows-8-1-group-policy-update-performance-changes/">http://www.grouppolicy.biz/2013/07/windows-8-1-group-policy-update-performance-changes/</a>)</span></li>
<li><span style="font-family: Verdana,sans-serif;">Während des Cachings werden alle Dateien, die sich in diesen Ordner befinden, auf den Client kopiert:<br />
</span><br />
<span style="font-family: Verdana,sans-serif;"><span style="font-family: Verdana,sans-serif;">\\domain.intern\sysvol\domain.intern\Policies\{GUID}\Machine</span> <br />
<br />
\\domain.intern\sysvol\domain.intern\Policies\{GUID}\User</span><br />
<span style="font-family: Verdana,sans-serif;"><br />
Hierbei wird keine Unterscheidung gemacht welche Dateien kopiert werden müssen. Liegen hier aus irgendeinem Grund große Datenmengen, so werden alle Dateien auf den Client kopiert.</span></li>
</ol>
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;">Fazit</span></span></span><br />
<span style="font-family: Verdana,sans-serif;">Der Grundgedanke von GPC ist gut. Jedoch findet es in der Praxis kaum Verwendung. Die vielen Außnahmen deaktivieren in der Praxis GPC.</span><br />
<br />
<span style="font-family: Verdana,sans-serif;">Das Caching ist gerade im Zusammenhang mit langsamen Netzwerkverbindungen interessant. Allerdings müssen die gesetzten Schwellwerte korrekt sein. Wird ein Schwellwert überschritten, so ist GPC ebenfalls deaktiviert (genauer gesagt wird die ganze Richtlinienverarbeitung abgebrochen).</span><br />
<span style="font-family: Verdana,sans-serif;"><br />
Führt man häufig manuelle Policy-Refreshs durch, so sollte man überlegen GPC ggf. zu deaktivieren. </span><br />
<span style="font-family: Verdana,sans-serif;"><br />
</span> <span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;">weiterführende Informationen: </span></span></span><br />
<a href="https://www.blogger.com/goog_1431475545"><br /></a>
<a href="http://sdmsoftware.com/group-policy-blog/group-policy/understanding-group-policy-caching-in-windows-8-1/"><span style="font-size: small;"><span style="font-family: Verdana,sans-serif;">http://sdmsoftware.com/group-policy-blog/group-policy/understanding-group-policy-caching-in-windows-8-1/</span></span></a><br />
<br />
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;"><span style="font-size: small;"><span style="color: black;"><a href="http://sdmsoftware.com/group-policy-blog/windows-8-1/clarifying-group-policy-caching-in-windows-8-1/">http://sdmsoftware.com/group-policy-blog/windows-8-1/clarifying-group-policy-caching-in-windows-8-1/</a> </span></span></span></span></span>Matthias Wolfhttp://www.blogger.com/profile/05564512349340522110noreply@blogger.com6tag:blogger.com,1999:blog-4828071326601170739.post-560458613926329312013-12-04T21:52:00.003+01:002013-12-06T11:14:01.714+01:00Group Policy Preferences und der Internet Explorer 11 <span style="font-family: Verdana,sans-serif;">Mit Windows 8.1 und Server 2012 R2 wurde auch eine neue Version der RSAT (Remote Server Administration Tools) bereitgestellt.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Die neue GPMC dieser RSAT stellt einige (wenn auch geringfügige) neue Funktionen bereit. </span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="background-color: white;"><span style="font-size: large;">Wichtige Änderungen (im Bezug auf GPPs):</span></span></span></span><br />
<ul>
<li><span style="font-family: Verdana,sans-serif;">"TCP/IP Printer" Preferences unterstützen nun auch IPv6</span></li>
<li><span style="font-family: Verdana,sans-serif;">Das IP Address Range Targeting unterstützt nun auch IPv6</span></li>
<li><span style="font-family: Verdana,sans-serif;">Die "VPN-Verbindung" der Netzwerkoptionen unterstützen nun IPv6</span></li>
</ul>
<span style="font-family: Verdana,sans-serif;">Einigen wird aufgefallen sein, dass trotz neuen RSAT keine Group Policy Preferences für den IE 11 angeboten werden:<br /> </span><br />
<div class="separator" style="clear: both; text-align: center;">
<span style="font-family: Verdana,sans-serif;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgyFJ7hSvHQcguF8BEJNHjCz7forbPvLQvKPMAsDS-NWnrLe8rfpTgL8G5qLmw8Pi3Axqs8SMSCI7xNf6i8UzguTWuzDVz65sQmmlqYOe_FGvjT4oN_TafTxEAINq4xkTRQccnIagVQLX4/s1600/Clipboard01.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="167" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgyFJ7hSvHQcguF8BEJNHjCz7forbPvLQvKPMAsDS-NWnrLe8rfpTgL8G5qLmw8Pi3Axqs8SMSCI7xNf6i8UzguTWuzDVz65sQmmlqYOe_FGvjT4oN_TafTxEAINq4xkTRQccnIagVQLX4/s320/Clipboard01.jpg" width="320" /></a></span></div>
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Wie ich bereits in <a href="http://matthiaswolf.blogspot.de/2012/08/gpp-und-der-internet-explorer-9-das.html">diesem Post</a> berichtet habe, wird in der erzeugten XML Datei eine Versionsnummer gespeichert. Dieser Eintrag gibt die minimale und maximale Versionsnummer des IE an, für den diese XML Datei gelten soll.</span><br />
<span style="font-family: Verdana,sans-serif;"><br />Erzeugt man eine "Internet Explorer 10" Preference, so wird der Eintrag max="99.0.0.0" in die XML Datei geschrieben.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"><b>Folglich sind die IE 10 Preferences auch für den IE 11 gültig!<br />Das bedeutet jedoch nicht, dass automatisch alle neuen Einstellungen des IE 11 in den IE 10 Preferences enthalten sind.</b></span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="background-color: white;"><span style="font-size: large;">ADMX Settings für den IE 11</span></span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><br />Für den IE 11 sind neue Administrative Vorlagen erschienen. <br />Solltet ihr einen Central Store für eure ADMX Vorlagen verwenden, empfielt es sich diesen ggf. upzudaten. </span><br />
<span style="font-family: Verdana,sans-serif;">Eine gute Anleitung hierfür findet ihr hier:</span><br />
<span style="font-family: Verdana,sans-serif;"><a href="http://www.gpanswers.com/how-to-make-the-ultimate-admx-central-store/">http://www.gpanswers.com/how-to-make-the-ultimate-admx-central-store/</a></span> <br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Hier eine Übersicht der neu hinzugekommen ADMX Settings:</span><br />
<span style="font-family: Verdana,sans-serif;"><a href="http://www.microsoft.com/en-us/download/details.aspx?id=25250">http://www.microsoft.com/en-us/download/details.aspx?id=25250</a></span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;">Jeremy's "Pak for Internet Explorer"</span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">MVP "<a href="http://mvp.microsoft.com/de-de/mvp/Jeremy%20Moskowitz-9758">Jeremy Moskowitz</a>" hat einen "Pak for Internet Explorer" erstellt, der den Internet Explorer 11 unterstützt. Diese Software bietet zusätzliche Features, die mit den regulären Group Policy Preferences nicht realisierbar sind (z.B. das Ausblenden von ganzen IE Konfiguration-Tabs).</span><br />
<br />
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="background-color: white;"><span style="font-size: large;">Internet Explorer Maintenance</span></span></span></span><br />
<span style="font-family: Verdana,sans-serif;">Wie auch schon für den Internet Explorer 10 gilt "Internet Explorer Maintenance is dead". Diese CSE ist (völlig zurecht) ausgestorben und steht auch unter dem IE 11 nicht mehr zur Verfügung. Schaut euch auch bitte den <a href="http://matthiaswolf.blogspot.de/2013/04/internet-explorer-10-goodbye-my-friend.html">vergangen Post</a> für den IE 10 noch einmal an.</span><br />
<br />
<span style="font-family: Verdana,sans-serif;">Für den IE 11 gilt also weiterhin, man muss sich die passenden Einstellungen zusammensuchen. In der Regel ergibt dies einen Mix aus:</span><br />
<ul>
<li><span style="font-family: Verdana,sans-serif;">Internet Settings - Group Policy Preferences</span></li>
<li><span style="font-family: Verdana,sans-serif;">IEAK - Internet Explorer Administration Kit</span></li>
<li><span style="font-family: Verdana,sans-serif;">Registry - </span><span style="font-family: Verdana,sans-serif;">Group Policy Preferences </span></li>
<li><span style="font-family: Verdana,sans-serif;">ADMX Settings für den Internet Explorer</span></li>
<li><span style="font-family: Verdana,sans-serif;">Ggf. 3rd Party Tools (wie z.B. "<a href="http://www.policypak.com/">PolicyPak</a>") </span></li>
</ul>
<span style="color: red; font-family: Verdana;"><strong>Update 06.12.2013</strong></span><br />
<br />
<span style="color: black; font-family: Verdana;">Das ADMX Bundle für Windows 8.1 und Server 2012 R2 findet ihr hier:</span><br />
<span style="font-family: Verdana;"><a href="http://www.microsoft.com/en-US/download/details.aspx?id=41193">http://www.microsoft.com/en-US/download/details.aspx?id=41193</a></span>Matthias Wolfhttp://www.blogger.com/profile/05564512349340522110noreply@blogger.com0tag:blogger.com,1999:blog-4828071326601170739.post-74262392768322051722013-10-18T13:13:00.002+02:002013-10-18T23:15:45.603+02:00DHCP Bereiche mittels Group Policy überwachen<span style="font-family: Verdana,sans-serif;">Jeder DHCP-Bereich umfasst eine definierte Anzahl an IP-Adressen. </span><br />
<span style="font-family: Verdana,sans-serif;">Ist dieser Bereich erschöpft, so können keine weiteren Adressen mehr vergeben werden. Das passiert meistens dann, wenn man am wenigsten damit rechnet.</span><br />
<span style="font-family: Verdana,sans-serif;">Für den User hat das den unschönen Effekt, dass der Client zwar mit dem Netzwerk verbunden ist, aber aufgrund der fehlenden IP-Adresse nicht mit den anderen Clients / Servern kommunizieren kann. </span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;">Das MMC-Snapin </span></span></span><br />
<span style="font-family: Verdana,sans-serif;">Der Microsoft DHCP-Server notiert dies im DHCP Snapin mit verschiedenen Warnsymbolen. Eine Liste aller Symbole incl. ihrer Bedeutung findet ihr hier:<br /><br /><a href="http://technet.microsoft.com/en-us/library/cc784812%28v=ws.10%29.aspx">http://technet.microsoft.com/en-us/library/cc784812%28v=ws.10%29.aspx</a></span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Diese Warnsymbole kann man leicht übersehen. Hat man nicht ständig das DHCP-Snapin geöffnet, wird man im Zweifelsfalle nicht sehen, dass ein <br />DHCP-Bereich erschöpft ist.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<br />
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;">Event 1020 - an Ereignisse geknüpfte Aktionen</span></span></span><br />
<span style="font-family: Verdana,sans-serif;">Zusätzlich zur Snapin Warnung wird im Eventlog ein Eintrag protokolliert.</span><br />
<span style="font-family: Verdana,sans-serif;">Dieser Eintrag hat die ID 1020.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Diese Events können ab Windows Vista bzw. Server 2008 <a href="http://technet.microsoft.com/de-DE/library/4aa6403f-d4b8-43a4-a70d-ceb7f88c524e">abonniert</a> werden. </span><br />
<span style="font-family: Verdana,sans-serif;">Eine ebenfalls neue Methode seit 2008 ist das <a href="https://blogs.iis.net/rickbarber/archive/2012/10/26/send-an-email-when-an-event-is-logged.aspx">Verknüpfen von Aktionen</a> mit Events. Verknüpft man die Aktion "E-Mail senden" mit dem Event 1020, wird jedes Mal beim Auslösen dieses Events eine Mail gesendet.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Wir erhalten eine Mail sobald ein Bereich eine gewisse Schwelle an benutzten Adressen überschreitet, wissen jedoch noch nicht um welchen Bereich es sich handelt. Bei einem DHCP-Server mit vielen Bereichen ist diese Information nicht sehr hilfreich.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /><span style="color: #0b5394;"><span style="font-size: large;">PowerShell Skript</span></span></span><br />
<span style="font-family: Verdana,sans-serif;">Die Aktion die an das Event geknüpft ist, kann auch die Ausführung eines Programms / Befehls sein. Wenn das passende Skript vorhanden ist, können umfangreichere Informationen verarbeitet werden.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: "Courier New",Courier,monospace;"><b>$eventList = @()<br />Get-EventLog -LogName System -After (get-date).AddHours(-1) -Source DhcpServer -InstanceId 1020 | where-object {$_.Message -notlike "*10.110*"} <br />| foreach-Object {<br />$row = "" | Select ScopeAddress, Utilization, FreeIPAddresses<br />$row.ScopeAddress = $_.ReplacementStrings[0]<br />$row.Utilization= $_.ReplacementStrings[1]<br />$row.FreeIPAddresses = $_.ReplacementStrings[2]<br />$eventList += $row<br />$FoundEvent="True"<br />}<br /><br />$messageParameters = @{<br />Subject = "DHCP Scope Utilisation Report " + $env:COMPUTERNAME + " - $((Get-Date))"<br />Body = $eventList | Sort Utilization -Descending |<br />ConvertTo-Html |<br />Out-String<br />From = "DHCP-ALERT@domain.com"<br />To = "dhcp-alert@domain.com"<br />SmtpServer = "MAILSERVER"<br />}<br /><br />if ($FoundEvent -eq "True") <br />{<br /> Send-MailMessage @messageParameters -BodyAsHtml<br />}</b></span><br />
<br />
<span style="font-family: Verdana,sans-serif;">Das Skript führt eine Abfrage auf das System Eventlog durch.<br />Es werden alle Ereignisse mit der ID 1020 der letzten Stunde ausgelesen.</span><br />
<span style="font-family: Verdana,sans-serif;">Diese Events werden dann per Mail an die angegebene Adresse gesendet.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Um nach Bedarf Bereiche auszuschließen, habe ich das Skript etwas modifiziert.</span><br />
<span style="font-family: Verdana,sans-serif;">Bereiche (bzw. Textpassagen im Detailtext des Events) können in dieser Zeile vom Mailversand ausgeschlossen werden: </span><br />
<span style="font-family: Verdana,sans-serif;"><br /><b><span style="font-family: "Courier New",Courier,monospace;">where-object {$_.Message -notlike "*10.110*"}</span></b></span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">In diesem Falle werden also alle Events ausgeschlossen, die "10.110" im Detailtext des Events enthalten.</span><br />
<span style="font-family: Verdana,sans-serif;">
<span style="color: #0b5394;"><span style="font-size: large;"> </span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;">Konfiguration per Gruppenrichtlinie verteilen</span></span></span> <br />
<span style="font-family: Verdana,sans-serif;">Wir haben nun gelernt, dass wir Aktionen an Ereignisse binden können. <br />Wir haben auch das dazugehörige Skript um diese Informationen per E-Mail zu versenden. Diese Lösung muss manuell an jedem DHCP-Server konfiguriert werden. Nun kommt das Thema Gruppenrichlinien ins Spiel.</span><br />
<span style="font-family: Verdana,sans-serif;">Mit einer Kombination aus verschiedenen Group Policy Preferences und Item Level Targetings lässt sich diese Lösung ganz schnell und einfach an alle DHCP-Server verteilen.</span><br />
<br />
<span style="font-family: Verdana,sans-serif;">Hier die Schritte die dafür nötig sind:</span><br />
<br />
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;">1. Schritt - GPO</span></span></span><br />
<span style="font-family: Verdana,sans-serif;">Eine neue GPO erstellen</span><br />
<br />
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;">2. Schritt - Hilfsvariable</span></span> </span><br />
<span style="font-family: Verdana,sans-serif;">Um nicht ständig die Registry abzufragen, erstellen wir uns eine Hilfsvariable.</span><br />
<span style="font-family: Verdana,sans-serif;">In diesem Falle "ISDHCPSERVER".</span><br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<span style="font-family: Verdana,sans-serif;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj6Cg3TeGEowc-ZCEgwTICt4GDPcOZeMG5RJzmLbahPodoA5ctdU074-mIuBsZwts7xQSzKCHGpLzTftmXzYxjYAfEUvo6SJiB-4lMbNk_mcKTe3Q_16rgHUXMycjSdTdALr0M7nhROAXg/s1600/1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="239" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj6Cg3TeGEowc-ZCEgwTICt4GDPcOZeMG5RJzmLbahPodoA5ctdU074-mIuBsZwts7xQSzKCHGpLzTftmXzYxjYAfEUvo6SJiB-4lMbNk_mcKTe3Q_16rgHUXMycjSdTdALr0M7nhROAXg/s320/1.png" width="320" /></a></span></div>
<span style="font-family: Verdana,sans-serif;"><br /></span>
<br />
<div class="separator" style="clear: both; text-align: center;">
<span style="font-family: Verdana,sans-serif;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgzVqqAz08RQ6BvO5_PlUcS3-Ea7kvaxgjEaLy0F84sMuUq3scUQax9m83ZM_axG3BdmPAWxnOQOr60Q9ojV7gOZhVaXXc_mSRg5pBhB9v9zA9mPtdmQh-Cj8AtS9mTvor_28dINu8fmrI/s1600/2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgzVqqAz08RQ6BvO5_PlUcS3-Ea7kvaxgjEaLy0F84sMuUq3scUQax9m83ZM_axG3BdmPAWxnOQOr60Q9ojV7gOZhVaXXc_mSRg5pBhB9v9zA9mPtdmQh-Cj8AtS9mTvor_28dINu8fmrI/s320/2.png" width="286" /></a></span></div>
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Damit die Variable nur bei den DHCP-Server auf "TRUE" gesetzt wird, müssen wir ein Item Level Targeting (Zielgruppenadressierung) verwenden. </span><br />
<span style="font-family: Verdana,sans-serif;">In diesem Falle wird der Starttyp des Dienstes "DHCPServer" abgefragt.<br />Genau genommen ist dies natürlich noch keine Garantie dass auf dem Server ein Adresspool angelegt und aktiviert ist. In der Regel ist dies jedoch der Fall.</span><br />
<span style="font-family: Verdana,sans-serif;">Es können natürlich auch andere ILT verwendet werden.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<br />
<div class="separator" style="clear: both; text-align: center;">
<span style="font-family: Verdana,sans-serif;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhAhQSKX9wNWLTuV3BF5l23BHwIWE_Zk04_pqnf9x3eOr_L-c8imLtj4LbH0gdB5nL2xHdnDXnPQskmBKMWdBvzERAHY-ioM49Ejt-Nxz4OSn5iaWAuUHpIWvy4SOYaBGC84YeyNi6GPCQ/s1600/3.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="251" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhAhQSKX9wNWLTuV3BF5l23BHwIWE_Zk04_pqnf9x3eOr_L-c8imLtj4LbH0gdB5nL2xHdnDXnPQskmBKMWdBvzERAHY-ioM49Ejt-Nxz4OSn5iaWAuUHpIWvy4SOYaBGC84YeyNi6GPCQ/s320/3.png" width="320" /></a></span></div>
<span style="font-family: Verdana,sans-serif;"><br /></span>
<br />
<span style="font-family: Verdana,sans-serif;">Bei jedem DHCP-Server der diese Kriterien erfüllt, wird also fortan die Variable "ISDHCPSERVER" erstellt und auf "TRUE" gesetzt.</span><br />
<span style="font-family: Verdana,sans-serif;">Damit dies wieder rückgängig gemacht wird (falls z.B. die DHCP Rolle deinstalliert wird), müssen wir diese Option noch aktivieren:</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<br />
<div class="separator" style="clear: both; text-align: center;">
<span style="font-family: Verdana,sans-serif;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEio50gU_fgzBZpKEVBFR_CfPfoBj33xLn5fnMoi51FxtjSneruYFl4JHF4r5oWLupzi3xKXWvo6IqxxiYweZTeqY2GrLf99c0XRFEj9RBELMtuPFqOLS3ULgZfWbTKwFeue-WXGJ2X0A2o/s1600/4.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEio50gU_fgzBZpKEVBFR_CfPfoBj33xLn5fnMoi51FxtjSneruYFl4JHF4r5oWLupzi3xKXWvo6IqxxiYweZTeqY2GrLf99c0XRFEj9RBELMtuPFqOLS3ULgZfWbTKwFeue-WXGJ2X0A2o/s320/4.png" width="286" /></a></span></div>
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;">3. Schritt - Kopieren des Skripts</span></span></span><br />
<span style="font-family: Verdana,sans-serif;">Als nächstes müssen wir das Skript auf jeden zutreffenden Server kopieren.</span><br />
<span style="font-family: Verdana,sans-serif;">Das lässt sich ebenfalls mittels Group Policy Preferences realisieren.</span><br />
<span style="font-family: Verdana,sans-serif;">Wir nutzen also GPP Files.</span><br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<span style="font-family: Verdana,sans-serif;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhw_ALQyt41CGhEuSsfJ1SIdFvAh3fYIt2UC56xtsoKrjtSSU1kpBu92h_P74S2dI5bhHUj71TOsYoL-9j64RFMSMqw-00nRj8I0s2gDKlgji6MKkJgZHgA0gHljddmJahN2hyxSjPIPqI/s1600/5.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhw_ALQyt41CGhEuSsfJ1SIdFvAh3fYIt2UC56xtsoKrjtSSU1kpBu92h_P74S2dI5bhHUj71TOsYoL-9j64RFMSMqw-00nRj8I0s2gDKlgji6MKkJgZHgA0gHljddmJahN2hyxSjPIPqI/s320/5.png" width="287" /></a></span></div>
<br />
<span style="font-family: Verdana,sans-serif;">Hier verwenden wir die Hilfvariable als Targeting.</span><br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<span style="font-family: Verdana,sans-serif;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgOph24clgjK6wJHXGRMvHJm6DZh8Z0TlIcaYuzfeoP0xkDrq3XfyS92I0rPLQOFj5Hay-nXZQBwMTjE_w2b3bqjadM0DZucXpZYxT3-HDHshIbdhXBi45AA0FtVotkwMSPVxkTt0SIqAg/s1600/6.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="220" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgOph24clgjK6wJHXGRMvHJm6DZh8Z0TlIcaYuzfeoP0xkDrq3XfyS92I0rPLQOFj5Hay-nXZQBwMTjE_w2b3bqjadM0DZucXpZYxT3-HDHshIbdhXBi45AA0FtVotkwMSPVxkTt0SIqAg/s320/6.png" width="320" /></a></span></div>
<span style="font-family: Verdana,sans-serif;"><br /></span>
<br />
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;">4. Schritt - Anlegen der geplanten Aufgabe</span></span></span><br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgybkDWRtCsgEOryIaoqLomtbwRjW6QvgbPDHp2i6bS_uctqaBPP488mc61_2XbhCXEA1aFy2nA-W-BoTLVTocaUxFrlkHV_8R5JNP-xYC4-e_n9L3TatOIK9GtjxTxedzuVXNmcV3jSqc/s1600/1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="238" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgybkDWRtCsgEOryIaoqLomtbwRjW6QvgbPDHp2i6bS_uctqaBPP488mc61_2XbhCXEA1aFy2nA-W-BoTLVTocaUxFrlkHV_8R5JNP-xYC4-e_n9L3TatOIK9GtjxTxedzuVXNmcV3jSqc/s320/1.png" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjHAOD45MJowx-p1VWXe0h7D4xHirL8xu133REuCvaKQHA6T5cDWoIZO_ZD_kkLCNkSlHC6Ce5rxMLGjFrpLZyHxOqF3jXm8Gzu6I1hqRw4XCcLj8qwnkxFczd4Cv_PmT0-kOndmBurC_Y/s1600/2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="238" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjHAOD45MJowx-p1VWXe0h7D4xHirL8xu133REuCvaKQHA6T5cDWoIZO_ZD_kkLCNkSlHC6Ce5rxMLGjFrpLZyHxOqF3jXm8Gzu6I1hqRw4XCcLj8qwnkxFczd4Cv_PmT0-kOndmBurC_Y/s320/2.png" width="320" /> </a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhCOJpP6yYjzYiXA-4h_jWzecSK-JP0ghbqAYcc1s9fIArECDXm5iiWp6iTVmbHAlbyy1JeI-pNEVMM6k2dt0YybaBxhJvuOolIzmmOC9cCMYoakWhpShxgeBOU4HmdIVvENWiOGLVZib4/s1600/3.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="256" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhCOJpP6yYjzYiXA-4h_jWzecSK-JP0ghbqAYcc1s9fIArECDXm5iiWp6iTVmbHAlbyy1JeI-pNEVMM6k2dt0YybaBxhJvuOolIzmmOC9cCMYoakWhpShxgeBOU4HmdIVvENWiOGLVZib4/s320/3.png" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjtWqOOLaQ21PRVuhDHlsX_CbhS89BmWdOH0DEIL5En-1cGOlDGprWoPuYzUvBHfiXc6_uXnaPKrye0BExF-Ft6JhEp4tdbqsszC6J78GQDMPwV3LHa0F2JV-RaLVoWy1s5xDAqIR86YhA/s1600/4.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="238" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjtWqOOLaQ21PRVuhDHlsX_CbhS89BmWdOH0DEIL5En-1cGOlDGprWoPuYzUvBHfiXc6_uXnaPKrye0BExF-Ft6JhEp4tdbqsszC6J78GQDMPwV3LHa0F2JV-RaLVoWy1s5xDAqIR86YhA/s320/4.png" width="320" /></a></div>
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Zusätzlich verwenden wir hier das ILT auf die Variable "ISDHCPSERVER" und aktivieren die Option "Element entfernen, wenn es nicht mehr angewendet wird".</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Hier noch der Inhalt der Batchdatei "dhcpreport.bat"</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"><span style="font-family: "Courier New",Courier,monospace;">%SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe Set-ExecutionPolicy RemoteSigned<br />%SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe "C:\Batch\dhcpreport.ps1"</span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="font-family: "Courier New",Courier,monospace;"><span style="font-family: Verdana,sans-serif;"><span style="font-family: "Courier New",Courier,monospace;">%SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe Set-ExecutionPolicy Restricted</span></span></span></span><br />
<br />
<span style="font-family: Verdana,sans-serif;"><span style="font-family: "Courier New",Courier,monospace;"><span style="font-family: Verdana,sans-serif;"><span style="font-family: "Courier New",Courier,monospace;"><span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;">5. Schritt - Einstellen der Warnschwelle </span></span></span> </span></span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="font-family: "Courier New",Courier,monospace;"><span style="font-family: Verdana,sans-serif;">Per Default wird das Event ab einer Bereichsauslastung von 80 % erzeugt.</span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="font-family: "Courier New",Courier,monospace;"><span style="font-family: Verdana,sans-serif;">Dieser Threshold kann mit einem Registryschlüssel geändert werden.</span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="font-family: "Courier New",Courier,monospace;"><span style="font-family: Verdana,sans-serif;">Auch hier verwenden wir wieder das gleiche ILT und die genannte Option zum Entfernen der Einstellung.</span></span></span><br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhjduJawO02D3R1erK_0sVEWpJObEPR9gc9-jiHeG3LFTlsHQDpYg4y53vhfWNkjcadRyTbCj3U4kAX6yOlolTREq54wtzQF_Ok_nC8sifbVHkpm7qJlaRjaiwn6CjAYf5GUCtgcpgqdXI/s1600/5.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="221" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhjduJawO02D3R1erK_0sVEWpJObEPR9gc9-jiHeG3LFTlsHQDpYg4y53vhfWNkjcadRyTbCj3U4kAX6yOlolTREq54wtzQF_Ok_nC8sifbVHkpm7qJlaRjaiwn6CjAYf5GUCtgcpgqdXI/s320/5.png" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhpIexb26erEGDVVjDAOUrGl5Aa-JYB-mcw56XA1qnmSnYQ-pY2fo66hr2LBKT7xnBjmgrksGG0RtAoeUFPnFiSOPuJFR_E_AN9tX0y-E65xbtAmiBUG4Xau7AQ51AFfFhWfau1wDdKIrk/s1600/6.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhpIexb26erEGDVVjDAOUrGl5Aa-JYB-mcw56XA1qnmSnYQ-pY2fo66hr2LBKT7xnBjmgrksGG0RtAoeUFPnFiSOPuJFR_E_AN9tX0y-E65xbtAmiBUG4Xau7AQ51AFfFhWfau1wDdKIrk/s320/6.png" width="286" /></a></div>
<span style="font-family: Verdana,sans-serif;"><span style="font-family: "Courier New",Courier,monospace;"><span style="font-family: Verdana,sans-serif;"> </span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="font-family: "Courier New",Courier,monospace;"><span style="font-family: Verdana,sans-serif;">Die genannte DHCP Überwachung in Kombination mit GPP funktioniert erst ab Windows Server 2008 R2. </span></span></span>Matthias Wolfhttp://www.blogger.com/profile/05564512349340522110noreply@blogger.com0tag:blogger.com,1999:blog-4828071326601170739.post-91862116891027734802013-09-03T12:12:00.000+02:002013-09-03T12:20:53.788+02:00Windows Update: Fehler "0x80072ee2" unter Windows 8 - Dienst reagiert nicht mehr<span style="font-family: Verdana,sans-serif;">In Windows 8 gibt es ein Verhalten, dass den Windows Update Dienst (wuauserv) zum Absturz bringen kann.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Für den wuauserv lässt sich ein Proxy-Server konfigurieren.</span><br />
<span style="font-family: Verdana,sans-serif;">Standardmäßig ist jedoch kein Proxy für den Dienst gesetzt.</span><br />
<br />
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;">Die wuauserv Proxy-Einstellung:</span></span> </span><br />
<span style="font-family: Verdana,sans-serif;">Die Konfiguration kann mit diesem Befehl angezeigt werden:<br /> </span><br />
<span style="font-family: Verdana,sans-serif;"><span style="font-family: "Courier New",Courier,monospace;"><b>netsh winhttp show proxy</b></span></span><br />
<span style="font-family: Verdana,sans-serif;"><br />Im Normalfall erscheint dann diese Config:</span><br />
<span style="font-family: "Courier New",Courier,monospace;"><br /></span>
<span style="font-family: Verdana,sans-serif;"><span style="font-family: "Courier New",Courier,monospace;"> Current WinHTTP proxy settings:<br /><br /> Direct access (no proxy server).</span> </span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Sucht ihr online nach Updates, werden die Proxy-Einstellungen des Internet Explorers verwendet.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<br />
<div class="separator" style="clear: both; text-align: center;">
<span style="font-family: Verdana,sans-serif;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiJtY42gNq6a2Iy_dUnb7MuCeOZLweXb-vodNeqfCa0hv22ZmL9JoZDKfhPKX4cFBc5RpY3uw2HulETHox1AcUGNe6PEyH1GXMQIQYD2n6aTI7woWrB3y7m-9uRkPeB1rdin4lbUjx5xxo/s1600/screen1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="134" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiJtY42gNq6a2Iy_dUnb7MuCeOZLweXb-vodNeqfCa0hv22ZmL9JoZDKfhPKX4cFBc5RpY3uw2HulETHox1AcUGNe6PEyH1GXMQIQYD2n6aTI7woWrB3y7m-9uRkPeB1rdin4lbUjx5xxo/s320/screen1.png" width="320" /></a></span></div>
<br />
<span style="font-family: Verdana,sans-serif;">Wenn ihr einen WSUS-Server konfiguriert habt, wird jedoch die Einstellung die</span><br />
<span style="font-family: Verdana,sans-serif;">mittels "netsh winhttp ..." angezeigt wird, verwendet. </span><br />
<br />
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;">Fehler unter Windows 8:</span></span></span><br />
<span style="font-family: Verdana,sans-serif;">Ist kein Proxy konfiguriert unter Windows 8 und man besitzt jedoch keine direkte Internetverbindung, so kann es passieren, dass die Suche nach Windows Updates nicht abgeschlossen werden kann:</span><br />
<div class="separator" style="clear: both; text-align: center;">
<span style="font-family: Verdana,sans-serif;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEid-crUXdn40IPsKuo9ThJD3cbCj6f88n4UFsOGSlihUdViaiiuPDf3M_sNqh5vyE8Vpbuc75pyJWg8s1wvLpQCoY0O8rBsS4-xruE-xWK1b9yQeaztInAD3vmJKhbIDX-GUsE67hUP21w/s1600/screen2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="145" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEid-crUXdn40IPsKuo9ThJD3cbCj6f88n4UFsOGSlihUdViaiiuPDf3M_sNqh5vyE8Vpbuc75pyJWg8s1wvLpQCoY0O8rBsS4-xruE-xWK1b9yQeaztInAD3vmJKhbIDX-GUsE67hUP21w/s320/screen2.png" width="320" /></a></span></div>
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Im Logfile "C:\Windows\WindowsUpdate.log" erscheinen diese Einträge:</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: "Courier New",Courier,monospace;">2013-09-03 07:58:21:157 900 e30 Misc WARNING: Proxy List used: <(null)> Bypass List used : <(null)> Auth Schemes used : <None><br />2013-09-03 07:58:21:157 900 e30 Misc WARNING: Send request failed, hr:0x80072ee2<br />2013-09-03 07:58:21:157 900 e30 Misc WARNING: WinHttp: SendRequestUsingProxy failed for <http://ds.download.windowsupdate.com/w8/2/windowsupdate/redir/wuredir.cab>. error 0x80072ee2<br />2013-09-03 07:58:21:157 900 e30 Misc WARNING: WinHttp: SendRequestToServerForFileInformation MakeRequest failed. error 0x80072ee2<br />2013-09-03 07:58:21:157 900 e30 Misc WARNING: WinHttp: SendRequestToServerForFileInformation failed with 0x80072ee2<br />2013-09-03 07:58:21:157 900 e30 Misc WARNING: WinHttp: ShouldFileBeDownloaded failed with 0x80072ee2<br />2013-09-03 07:59:03:198 900 e30 Misc WARNING: Send failed with hr = 80072ee2.<br />2013-09-03 07:59:03:198 900 e30 Misc WARNING: Proxy List used: <(null)> Bypass List used : <(null)> Auth Schemes used : <None><br />2013-09-03 07:59:03:198 900 e30 Misc WARNING: Send request failed, hr:0x80072ee2<br />2013-09-03 07:59:03:198 900 e30 Misc WARNING: WinHttp: SendRequestUsingProxy failed for <http://ds.download.windowsupdate.com/w8/2/windowsupdate/redir/wuredir.cab>. error 0x80072ee2<br />2013-09-03 07:59:03:198 900 e30 Misc WARNING: WinHttp: SendRequestToServerForFileInformation MakeRequest failed. error 0x80072ee2<br />2013-09-03 07:59:03:198 900 e30 Misc WARNING: WinHttp: SendRequestToServerForFileInformation failed with 0x80072ee2<br />2013-09-03 07:59:03:198 900 e30 Misc WARNING: WinHttp: ShouldFileBeDownloaded failed with 0x80072ee2<br />2013-09-03 07:59:03:198 900 e30 Misc WARNING: DownloadFileInternal failed for http://ds.download.windowsupdate.com/w8/2/windowsupdate/redir/wuredir.cab: error 0x80072ee2<br />2013-09-03 07:59:24:558 900 e30 Misc WARNING: Send failed with hr = 80072ee2.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Bei der angegebenen Datei (<i>http://ds.download.windowsupdate.com/w8/2/windowsupdate/redir/wuredir.cab</i>) handelt es sich um ein File, dass für den Windows-Store benötigt wird.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /><span style="color: #0b5394;"><span style="font-size: large;">By design:</span></span></span><br />
<span style="font-family: Verdana,sans-serif;">Nach ca. 8 Wochen Kontakt mit dem Microsoft Support lautet die finale Aussage:</span><br />
<span style="font-family: Verdana,sans-serif;">By Design. D.h. "das ist einfach so".</span><br />
<span style="font-family: Verdana,sans-serif;">Die Case Nummer hierzu lautet: 113070910573485</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;">Workaround?</span></span></span><br />
<span style="font-family: Verdana,sans-serif;">Mit der Fehlermeldung im Logfile könnte man sicherlich leben.<br />Dass jedoch sich teilweise der Windows Update Dienst verabschiedet, ist sehr unschön (und zumdem ein Sicherheitsrisiko).</span><br />
<span style="font-family: Verdana,sans-serif;"><b>Um die Funktion des Dienstes zu gewährleisten, gibt es also zwei sinnvolle Lösungen:</b></span><br />
<ol>
<li><span style="font-family: Verdana,sans-serif;">Einen Proxy-Server mittels "netsh winhttp" konfigurieren und den Download ermöglichen + Eine Proxyausname für den WSUS-Server definieren.</span></li>
<li><span style="font-family: Verdana,sans-serif;">Einen Proxy-Server mittels "netsh winhttp" konfigurieren und den Download am Proxy-Server sperren + Eine Proxyausname für den WSUS-Server definieren.</span></li>
</ol>
<span style="font-family: Verdana,sans-serif;">Gesetzt werden kann dieser Proxy mit diesen Befehlen:</span><br />
<br />
<pre><span style="font-size: small;">netsh winhttp set proxy myproxy:80 "*.domain.intern"
</span></pre>
<pre><span style="font-family: Verdana,sans-serif;"><span style="font-size: small;">(es kann natürlich auch nur explizit der WSUS-Server ausgeschlossen werden) </span></span></pre>
<pre><span style="font-family: Verdana,sans-serif;"><span style="font-size: small;">oder</span></span></pre>
<pre><span style="font-family: Verdana,sans-serif;"></span><span style="font-size: small;">netsh winhttp import proxy source =ie </span></pre>
<pre></pre>
<span style="font-family: Verdana,sans-serif;"> </span><span style="color: #0b5394;"><span style="font-family: Verdana,sans-serif;"><span style="font-size: large;">Geht das nicht eleganter?</span></span></span><br />
<span style="font-family: Verdana,sans-serif;">Wir sind ja hier im GPO-Blog. Deshalb lautet die Antwort: Ja :-)</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Diese Einstellung wird in einem Registry-Binary gespeichert.</span><br />
<span style="font-family: Verdana,sans-serif;">Dieser befindet sich unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections und nennt sich "WinHttpSettings".</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Ihr könnt also Group Policy Preferences Registry benutzen um diesen Schlüssel zu setzen:</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgLacvGV4G7COqVhAmSZ83hLj43MLzD7q-WGLQ3LZK6JPqiLCbZte4lYcTzSvkzpm9NO52D0l_d5wK7ftWj0gJ-XQEyxF0RlPX-4yub7Drk3R2adCO1UXa4hDCX8kKKrpVQhbydXcv7cGQ/s1600/screen3.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="237" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgLacvGV4G7COqVhAmSZ83hLj43MLzD7q-WGLQ3LZK6JPqiLCbZte4lYcTzSvkzpm9NO52D0l_d5wK7ftWj0gJ-XQEyxF0RlPX-4yub7Drk3R2adCO1UXa4hDCX8kKKrpVQhbydXcv7cGQ/s320/screen3.png" width="320" /></a></div>
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Jetzt noch eine Zielgruppenadressierung setzen und fertig:</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjHM0y7jvLzzkPz6s4fSd7dpfs7ggVmCrArq7Cuq58aHB-PeXpHmL2ApYvF1Yjfr_Q1DzOAYpafguKsR7_ZXPFTGR8AtzB24wIWiidDLkDBIwXxBoIOb624YQB2lD1nO0oZuPSIPO-J_14/s1600/screen4.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="220" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjHM0y7jvLzzkPz6s4fSd7dpfs7ggVmCrArq7Cuq58aHB-PeXpHmL2ApYvF1Yjfr_Q1DzOAYpafguKsR7_ZXPFTGR8AtzB24wIWiidDLkDBIwXxBoIOb624YQB2lD1nO0oZuPSIPO-J_14/s320/screen4.png" width="320" /></a></div>
<span style="font-family: Verdana,sans-serif;"><br /></span>Matthias Wolfhttp://www.blogger.com/profile/05564512349340522110noreply@blogger.com11tag:blogger.com,1999:blog-4828071326601170739.post-76620280568056562682013-08-29T12:26:00.001+02:002013-08-29T12:31:35.817+02:00Powershell Skript zur Gruppenrichtlinien-Verarbeitung<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;">Events und Verarbeitungszeiten einfach auslesen</span></span> </span><br />
<br />
<span style="font-family: Verdana,sans-serif;">Michael Köppl hat ein sehr komfortables Skript für die Analyse der Gruppenrichtlinien-Verarbeitung erstellt.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Das Skript erschien als Gastbeitrag im <a href="http://blogs.technet.com/b/deds/">AD-Blog</a>.</span><br />
<span style="font-family: Verdana,sans-serif;"></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;">Execution Policy anpassen:</span></span></span><br />
<span style="font-family: Verdana,sans-serif;">Da das File nicht signiert ist, müsst ihr zunächst eure <br />Powershell-Execution-Policy umstellen:</span><br />
<span style="font-family: "Courier New",Courier,monospace;">Set-ExecutionPolicy Unrestricted</span><br />
<br />
<span style="font-family: Verdana,sans-serif;">Danach könnt ihr das Skript wie folgt ausführen:<br /><br /><span style="font-family: "Courier New",Courier,monospace;">.\GPAnalyser.ps1 -Analyse<br />.\GPAnalyser.ps1 -Analyse -Computer <MyComputer><br />.\GPAnalyser.ps1 -Analyse -Computer <MyComputer> -ShowLastHours 24</span></span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Natürlich könnt ihr auch das Skript signieren.</span><br />
<a href="http://www.hanselman.com/blog/SigningPowerShellScripts.aspx"><span style="font-family: Verdana,sans-serif;">Signing PowerShell Scripts</span></a><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="color: #0b5394;"><span style="font-size: large;"><span style="font-family: Verdana,sans-serif;">Hier noch ein paar Screenshots:</span></span></span><br />
<span style="font-family: Verdana,sans-serif;"></span><br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgdmYBb6WmiCxmrGg5dca4oCR0MLLKnpT66FbgjC4kVhe7pU3kX0s98otOw7YsKDboKejjyVISEkrAPqBfzUwiOamw3wR7O53H_bbVh5_RUMDnTWaAJ8tOou_bcNyPzkiM_q8DZNWGu2Bk/s1600/screen1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="206" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgdmYBb6WmiCxmrGg5dca4oCR0MLLKnpT66FbgjC4kVhe7pU3kX0s98otOw7YsKDboKejjyVISEkrAPqBfzUwiOamw3wR7O53H_bbVh5_RUMDnTWaAJ8tOou_bcNyPzkiM_q8DZNWGu2Bk/s320/screen1.png" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj52bJ4FIGwHX8r63RoWEOvltiu8sQhnS9QZ9gloZ3BD9FhrI6WiXl5YNmujNH6on1zoQVjRoAPaslHo2qLzS9vCxjp0visUqKAuuZFS6jgP8xYoRv7seaYMM0MlWQLxeyLmvbdgZ2ULUI/s1600/screen2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="206" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj52bJ4FIGwHX8r63RoWEOvltiu8sQhnS9QZ9gloZ3BD9FhrI6WiXl5YNmujNH6on1zoQVjRoAPaslHo2qLzS9vCxjp0visUqKAuuZFS6jgP8xYoRv7seaYMM0MlWQLxeyLmvbdgZ2ULUI/s320/screen2.png" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhTY6vReTtrHOjCY4g9eA6x3dfNp8Jp4pCPcAEGTYXLi0gnH_aJlL5ehwHpalj3EaVsWIBThxKo8AQU3JudWCgfkSR1JbsUHibkVGjGCZRM5Gjui2UidMsoQMIVMyf5m9eb7o1lobGLY-A/s1600/screen3.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="160" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhTY6vReTtrHOjCY4g9eA6x3dfNp8Jp4pCPcAEGTYXLi0gnH_aJlL5ehwHpalj3EaVsWIBThxKo8AQU3JudWCgfkSR1JbsUHibkVGjGCZRM5Gjui2UidMsoQMIVMyf5m9eb7o1lobGLY-A/s320/screen3.png" width="320" /></a></div>
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"></span><br />
<span style="font-family: Verdana,sans-serif;">Hier der Link zum vollständigen Artikel:</span><br />
<span style="font-family: Verdana,sans-serif;"><a href="http://blogs.technet.com/b/deds/archive/2013/08/19/powershell-script-zur-gruppenrichtlinien-verarbeitung.aspx">http://blogs.technet.com/b/deds/archive/2013/08/19/powershell-script-zur-gruppenrichtlinien-verarbeitung.aspx</a></span>Matthias Wolfhttp://www.blogger.com/profile/05564512349340522110noreply@blogger.com0tag:blogger.com,1999:blog-4828071326601170739.post-15350117977014533882013-07-26T09:23:00.004+02:002013-10-03T14:29:46.026+02:00Windows 8 / 8.1: Laufwerkszuordnungen von Unterordnern schlagen fehl<span style="font-family: Verdana,sans-serif;"><span style="font-family: Verdana,sans-serif;">*** Informationen zum Update KB2878604 siehe Ende des Posts *** </span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="font-family: Verdana,sans-serif;"><span style="font-family: Verdana,sans-serif;"><span style="font-family: Verdana,sans-serif;">*** In Windows 8.1 besteht dieses Problem ebenfalls *** </span></span> </span></span><br />
<br />
<span style="font-family: Verdana,sans-serif;">Unter Windows 8 und 8.1 gibt es einen Bug, der beim Mappen von Laufwerksverbindungen auftritt. Das Problem äußert sich darin, dass Laufwerke deren Ziel Unterordner sind nicht korrekt gemapped werden. </span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"><span style="background-color: #0b5394;"><span style="font-size: large;"><span style="background-color: white;"><span style="color: #0b5394;">Beispiel:</span></span></span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><b>Per Preference wurde das hier definiert:</b><br />Laufwerk M: = \\server\share\subfolder\subfolder</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"><b>Das Laufwerk wird jedoch wie folgt gemappt:</b><br />Laufwerk M: = \\server\share</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Die Unterverzeichnisse werden komplett ignoriert.</span><br />
<span style="font-family: Verdana,sans-serif;"><br />Es war bereits ein ähnliches Problem bekannt, bei dem auch nicht korrekt <br />gemappt wurde. Jedoch tritt dies nur auf, wenn ein sogenannter "trailing slash" im Pfad enthalten ist.</span><br />
<span style="font-family: Verdana,sans-serif;"><a href="http://social.technet.microsoft.com/wiki/contents/articles/12223.troubleshooting-the-drive-maps-preference-extension-in-group-policy-adding-a-share-name-with-trailing-slash-returns-error-code-0x80070035.aspx">siehe hier</a></span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">In diesem konkreten Beispiel (Windows 8 und Server 2012) hat dies jedoch nichts mit dem Problem zu tun.</span><br />
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="background-color: white;"><br /></span></span></span>
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="background-color: white;"><span style="font-size: large;">Problemzusammenfassung:</span></span></span></span><br />
<ul>
<li><span style="font-family: Verdana,sans-serif;">Die Netzlaufwerke werden mit NET USE immer korrekt angezeigt, unabhängig von einer elevated Shell.</span></li>
<li><span style="font-family: Verdana,sans-serif;">Startet man den Windows Explorer elevated, hat dieser die Netzlaufwerke ebenfalls korrekt gemappt.</span></li>
<li><span style="font-family: Verdana,sans-serif;">Startet man den Windows Explorer non-elevated, zeigt er die Netzlaufwerke korrekt gemappt an, verweist aber auf den Root-Folder des Shares. </span></li>
<li><span style="font-family: Verdana,sans-serif;">Es werden Laufwerke von Win 2003 Servern (SP1) gemappt. </span></li>
<li><span style="font-family: Verdana,sans-serif;">Die Policy "EnableLinkedConnections" ist aktiv.</span></li>
<li><span style="font-family: Verdana,sans-serif;">Im Trace steht die Meldung Failed to connect drive with restricted token. <br />[ hr = 0x80070055 "The local device name is already in use." ] </span></li>
<li><span style="font-family: Verdana,sans-serif;">Die Laufwerke werden alle mit den folgenden Optionen gemappt: Replace, Non-Reconnect, Run in logged-on user's context, Remove this item when it is no longer applied</span></li>
<li><span style="font-family: Verdana,sans-serif;">Das Problem wurde auch im Microsoft Case "113021910228246" erfasst</span></li>
</ul>
<span style="font-family: Verdana,sans-serif;"><br /><span style="color: #0b5394;"><span style="background-color: white;"><span style="font-size: large;">Der Workaround:</span></span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="background-color: white;"><span style="font-size: large;"><span style="font-size: small;"><span style="color: black;">Der einzig bekannte Workaround ist das Deaktivieren <a href="http://www.winfaq.de/faq_html/Content/tip2500/onlinefaq.php?h=tip2563.htm">dieser Policy</a>.<br /><b>Der Wert muss auf "0" gesetzt werden.</b></span></span></span></span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="background-color: white;"><span style="font-size: large;"><span style="font-size: small;"><span style="color: black;"><b>Achtung, das Problem tritt nur bei Windows 8 auf. Der Key sollte auch nur bei Windows 8 auf "0" gesetzt werden.</b></span></span></span></span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="background-color: white;"><span style="font-size: large;"><span style="font-size: small;"><span style="color: black;">Der Key kann natürlich bequem per <a href="http://technet.microsoft.com/en-us/library/cc753092.aspx">Group Policy Preferences Registry</a> mit einem <a href="http://technet.microsoft.com/en-us/library/cc753566.aspx">Item Level Targeting</a> gesetzt werden.<br /><b> </b></span></span></span></span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="background-color: white;"><span style="font-size: large;"><span style="font-size: small;"><span style="color: black;">Microsoft hat den offiziellen Artikel zum Thema "<a href="http://support.microsoft.com/kb/937624/en-us">EnableLinkedConnections</a>" geändert. Der neue Artikel scheint mir wenig hilfreich.</span></span></span></span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="background-color: white;"><span style="font-size: large;"><span style="font-size: small;"><span style="color: black;"><br />Das Problem sollte jedoch nicht mit dem eigentlichen Zweck des Keys "EnableLinkedConnections" verwechselt werden (bei dem der Key auf "1" gesetzt werden muss).</span></span></span></span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><i><b><span style="color: #0b5394;"><span style="background-color: white;"><span style="font-size: large;"><span style="font-size: small;"><span style="color: black;"><br /></span></span></span></span></span></b></i></span>
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;"><span style="background-color: white;">Ursprünglicher Zweck des Schlüssels:</span></span></span><span style="color: #0b5394;"><span style="background-color: white;"><span style="font-size: large;"><span style="font-size: small;"><span style="color: black;"><i><b> </b></i></span></span></span></span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="background-color: white;"><span style="font-size: large;"><span style="font-size: small;"><span style="color: black;"><i><b>If a user is logged on to Windows Vista or to Windows 7, and if User Account Control is enabled, a program that uses the user’s filtered access token and a program that uses the user’s full administrator access token can run at the same time. Because LSA created the access tokens during two separate logon sessions, the access tokens contain separate logon IDs. </b></i></span></span></span></span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><a href="http://matthiaswolf.blogspot.de/2012/11/windows-8-gpp-drive-mapping-als.html">siehe auch </a></span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"><span style="color: black;"><span style="font-size: small;">Noch mehr Hintergrundinfos findet ihr in <a href="http://social.technet.microsoft.com/Forums/de-DE/d0a7a756-029f-46c3-aba0-e73816d2da2a/gpo-laufwerkzuordnung-unterordner">diesem Thread</a>.</span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="color: black;"><span style="font-size: small;">Sollte es neue Informationen zu diesem Problem geben, findet ihr das hier.</span></span></span><br />
<br />
<span style="font-family: Verdana,sans-serif;"><b><span style="color: red;"><span style="font-size: small;">Update 26.07.2013:</span></span></b></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="font-size: small;">Setzt man den Schlüssel "EnableLinkedConnections" auf "0", bootet den Client und meldet einen Benutzer an, dann funktioniert es für dieses Benutzerprofil.</span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="font-size: small;">Egal ob der Key danach wieder auf "1" gesetzt wird. <br />Wird jedoch das Benutzerprofil gelöscht oder ein Benutzer meldet sich an, der noch kein Benutzerprofil hat, so tritt der Fehler unter diesem User auf.</span></span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Das Problem tritt nicht wie oben angekündigt nur unter Group Policy Preferences auf, sondern auch wenn man zum Mappen das <a href="http://msdn.microsoft.com/en-us/library/s6wt333f%28v=vs.84%29.aspx">WSH(Windows Scripting Host) Object</a> verwendet.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Vielen Dank an <a href="http://mvp.microsoft.com/de-de/mvp/Martin%20Binder-5000017">Martin Binder (Group Policy MVP)</a> für diese zusätzlichen Informationen.</span><br />
<br />
<span style="font-family: Verdana,sans-serif;"><b><span style="color: red;"><span style="font-size: small;">Update 10.08.2013:</span></span></b></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="font-size: small;"><span style="font-family: Verdana,sans-serif;">Es gibt Licht am Ende des Tunnels. </span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="font-size: small;"><span style="font-family: Verdana,sans-serif;">Microsoft hat einen Hotfix für September 2013 angekündigt.</span></span></span><br />
<br />
<span style="font-size: small;"><span style="font-family: Verdana,sans-serif;">Siehe Martin's Blog:</span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="color: black;"><a href="http://evilgpo.blogspot.de/2013/08/windows-8-und-enablelinkedconnections.html"><span style="font-size: small;"><span style="font-family: Verdana,sans-serif;">http://evilgpo.blogspot.de/2013/08/windows-8-und-enablelinkedconnections.html</span></span></a></span></span><br />
<br />
<span style="font-family: Verdana,sans-serif;"><span style="color: black;"><span style="font-size: small;"><span style="font-family: Verdana,sans-serif;"><span style="font-family: Verdana,sans-serif;"><b><span style="color: red;"><span style="font-size: small;">Update 20.09.2013:</span></span></b></span> </span></span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="color: black;"><span style="font-size: small;"><span style="font-family: Verdana,sans-serif;"><span style="font-family: Verdana,sans-serif;"><span style="font-size: small;"><span style="font-family: Verdana,sans-serif;">Microsoft hat nun einen Hotfix veröffentlicht, der das Problem behebt.<br /><b>Leider ist dieser Hotfix nur für Windows 8, nicht 8.1 verfügbar!</b></span></span></span></span></span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="color: black;"><span style="font-size: small;"><span style="font-family: Verdana,sans-serif;"><span style="font-family: Verdana,sans-serif;"><span style="font-size: small;"><span style="font-family: Verdana,sans-serif;"><a href="http://support.microsoft.com/kb/2878604">http://support.microsoft.com/kb/2878604</a> </span></span></span></span></span></span></span><span style="font-family: Verdana,sans-serif;"><b><span style="color: red;"><span style="font-size: small;"></span></span></b></span><br />
<span style="font-family: Verdana,sans-serif;"><b><span style="color: red;"><span style="font-size: small;"><br /></span></span></b></span>
<span style="font-family: Verdana,sans-serif;"><b><span style="color: red;"><span style="font-size: small;">Update 03.10.2013:</span></span></b></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="font-size: small;">Auch unter Windows 8.1 (bzw. Server 2012 R2) besteht dieses Problem. </span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="color: red;"><span style="font-size: small;"><span style="color: black;"><span style="color: red;"><span style="color: black;">Leider gibt es jedoch keinen Hotfix für Windows 8.1.<br />Ob und wann es einen Fix geben wird, ist noch ungewiss.</span></span></span></span></span><b><span style="color: red;"><span style="font-size: small;"><br /></span></span></b></span>Matthias Wolfhttp://www.blogger.com/profile/05564512349340522110noreply@blogger.com3tag:blogger.com,1999:blog-4828071326601170739.post-79847422522550153312013-06-27T10:38:00.003+02:002013-06-27T11:24:14.077+02:00Sicherheitseinstellungen für Systemdienste werden nicht übernommen<span style="font-family: Verdana,sans-serif;">Heute wieder eine ganz besondere Konstellation.</span><br />
<span style="font-family: Verdana,sans-serif;">Es gibt ein unerwartetes Verhalten der Security CSE beim Setzen von ACLs (Access Control Lists) für Systemdienste.</span><br />
<br />
<span style="font-family: Verdana,sans-serif;">Bevor wir jedoch zum eigentlichen Problem kommen, hier erst ein paar Hintergrundinformationen.</span><br />
<br />
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;">So funktioniert die Security CSE:</span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">In den Gruppenrichtlinien lassen sich unter anderem Sicherheitseinstellungen für Systemdienste definieren.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<br />
<div class="separator" style="clear: both; text-align: center;">
<span style="font-family: Verdana,sans-serif;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEirnUOwrldC9qpcgh3jDX7T-vyOfNlbGNxkS0CdxU0IjGIzj-ZwlHAJFy1DKLCC28D6vDtYJsbcoi0wAx4HYkdel0FE1_SV7QDrU0TZGHNiy6cAB0rvcSxgJVBlRovhGttCJ8JYDwz-hQU/s1600/Untitled.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="298" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEirnUOwrldC9qpcgh3jDX7T-vyOfNlbGNxkS0CdxU0IjGIzj-ZwlHAJFy1DKLCC28D6vDtYJsbcoi0wAx4HYkdel0FE1_SV7QDrU0TZGHNiy6cAB0rvcSxgJVBlRovhGttCJ8JYDwz-hQU/s320/Untitled.png" width="320" /></a></span></div>
<span style="font-family: Verdana,sans-serif;"><br /></span>
<br />
<span style="font-family: Verdana,sans-serif;">Diese Einstellungen werden in der Datei GptTmpl.inf gespeichert.</span><br />
<br />
<span style="font-family: Verdana,sans-serif;"><b>Diese Datei befindet sich unter:</b></span><br />
<span style="font-family: Verdana,sans-serif;"><br />\\domain.intern\sysvol\domain.intern\Policies\{GUID}\Machine\Microsoft\Windows NT\SecEdit</span><br />
<span style="font-family: Verdana,sans-serif;"><br />Die ACLs werden jedoch nicht direkt von diesem File aus angewendet, sondern es werden zunächst alle Richtlinien gesammelt, die Sicherheitseinstellungen enthalten. </span><br />
<span style="font-family: Verdana,sans-serif;">Dieser Cache liegt im Verzeichnis %systemroot%\security\templates\policies.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Dort werden verschiedene *.dom und *.inf Dateien abgelegt.</span><br />
<div class="separator" style="clear: both; text-align: center;">
<span style="font-family: Verdana,sans-serif;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhxJ8hXK5pzXb8YdsrbVDECTLaxzEn26BvTl_UKivGVJuhHqcLWwnqnC9LdFp9Gu-wvZDLSJHfjysCzFFr72BU_k4WsIo_6sIR_XY5txqGG-oi4FlSmRRNEEnqsxSbcQlHx8tGjWzUviMs/s1600/Capture2.PNG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="112" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhxJ8hXK5pzXb8YdsrbVDECTLaxzEn26BvTl_UKivGVJuhHqcLWwnqnC9LdFp9Gu-wvZDLSJHfjysCzFFr72BU_k4WsIo_6sIR_XY5txqGG-oi4FlSmRRNEEnqsxSbcQlHx8tGjWzUviMs/s320/Capture2.PNG" width="320" /></a></span></div>
<span style="font-family: Verdana,sans-serif;"><br /><span style="color: #0b5394;"><span style="font-size: large;">Anwenden von mehreren Policies die Sicherheitseinstellungen enthalten</span></span></span><br />
<br />
<span style="font-family: Verdana,sans-serif;">Nun zum eigentlichen Problem. </span><br />
<span style="font-family: Verdana,sans-serif;">Nehmen wir an, wir haben eine OU auf der zwei Richtlinien verlinkt sind.</span><br />
<span style="font-family: Verdana,sans-serif;">Richtlinie 2 hat eine höhere Priorität als Richtlinie 1.<br />Richtlinie 2 wird also <b>später </b>verarbeitet als Richtlinie 1.<br /><br /><b>Richtlinie 1 enthält diese Einstellungen:</b><br /> </span><br />
<div class="separator" style="clear: both; text-align: center;">
<span style="font-family: Verdana,sans-serif;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEig0vRBmc8-e4cbwm8ouQO72zag_uOzb5NQYSNNI4_j2jIjxeaxo36vbgCRV8V_pYbo4RzoIGlToV72QXl3GzLzux5s2kx7DpXAS8hUJs2vua4dllVih3JUq6dShJ4NCPC1MLVJRzLzfOI/s1600/r1-1.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="300" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEig0vRBmc8-e4cbwm8ouQO72zag_uOzb5NQYSNNI4_j2jIjxeaxo36vbgCRV8V_pYbo4RzoIGlToV72QXl3GzLzux5s2kx7DpXAS8hUJs2vua4dllVih3JUq6dShJ4NCPC1MLVJRzLzfOI/s320/r1-1.jpg" width="320" /></a></span></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<span style="font-family: Verdana,sans-serif;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhDUYTnf63UmRM6mV3gwEYqBaLbkazbQGQmijgBxnAizLa5arerNYtPcGGJnP273dKoefnrja3cOJork_w9AbM8VDLeyrLHDo2BlAsVDmBR_ZKNDLKLCAMA3eXqNJka9sdZUNxvdq2GBQ0/s1600/r1-2.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhDUYTnf63UmRM6mV3gwEYqBaLbkazbQGQmijgBxnAizLa5arerNYtPcGGJnP273dKoefnrja3cOJork_w9AbM8VDLeyrLHDo2BlAsVDmBR_ZKNDLKLCAMA3eXqNJka9sdZUNxvdq2GBQ0/s320/r1-2.jpg" width="263" /></a></span></div>
<span style="font-family: Verdana,sans-serif;"><b></b></span><br />
<span style="font-family: Verdana,sans-serif;"><b>Richtlinie 2 enthält diese Einstellungen:</b></span><span style="font-family: Verdana,sans-serif;"><br /></span>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEifGospJGZETZViK6YnARIb1B4Owegxm6fqokpXJ7qZEXfekbHYw_1d_yN2vWu-uWo2tIi4arm2ATHn_3XF3bQtx611tduB-h1mXFEkQbW4XIEAKD01ALkZApAgvOFEial04VB5Cvp-5Qc/s1600/r2-1.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="300" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEifGospJGZETZViK6YnARIb1B4Owegxm6fqokpXJ7qZEXfekbHYw_1d_yN2vWu-uWo2tIi4arm2ATHn_3XF3bQtx611tduB-h1mXFEkQbW4XIEAKD01ALkZApAgvOFEial04VB5Cvp-5Qc/s320/r2-1.jpg" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhj2zYms9W5Hbzw_KZ497X12EspcTfQQf6sy82_yITiryjCzO_utXyVuYp8Hk79jRJx9YGqsr3P8IunlV7B96CrIuGxxQRmw6sHcKH5Q9ldQgunJK4Iv4hEsSQWKLrAAs1QN_g79UniKho/s1600/r2-2.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhj2zYms9W5Hbzw_KZ497X12EspcTfQQf6sy82_yITiryjCzO_utXyVuYp8Hk79jRJx9YGqsr3P8IunlV7B96CrIuGxxQRmw6sHcKH5Q9ldQgunJK4Iv4hEsSQWKLrAAs1QN_g79UniKho/s320/r2-2.jpg" width="263" /></a></div>
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Da Richtlinie 2 keine Sicherheitseinstellungen enthält, sollten eigentlich die Einstellungen von Richtlinie 1 angewendet werden. <br />(Gruppe JEDER Zugriff verweigern)</span><br />
<br />
<span style="font-family: Verdana,sans-serif;">Sichtbar ist dies auch im RSoP (Resultant Set of Policies).</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Das ist jedoch nicht der Fall. Die Sicherheitseinstellung des genannten Dienstes werden <b>nicht angepasst</b>. </span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<b><span style="color: red;"><span style="font-family: Verdana,sans-serif;">Richtlinien die also Sicherheitseinstellungen für Dienste enthalten, müssen immer höher priorisiert sein als Richtlinien die keine Sicherheitseinstellung enthalten.</span></span></b><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Möchte man nur den Starttyp definieren, sollte man dies nach Möglichkeit mittels Group Policy Preferences lösen.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiDyZLZ9QHg3gNSLb9fLY-kjckUl8iYZGchXsYdXmIt7Fyzxl_tKG4pgn97y24n3QNo9ML1bjx15sk5PBNwJKibtRaz0iDbqHhnNoF47I7sQ7E4xg5qBF_nhUEIRlrfv18z4yuoXbd391U/s1600/Clipboard02.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="216" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiDyZLZ9QHg3gNSLb9fLY-kjckUl8iYZGchXsYdXmIt7Fyzxl_tKG4pgn97y24n3QNo9ML1bjx15sk5PBNwJKibtRaz0iDbqHhnNoF47I7sQ7E4xg5qBF_nhUEIRlrfv18z4yuoXbd391U/s320/Clipboard02.jpg" width="320" /></a></div>
<span style="font-family: Verdana,sans-serif;"><br /></span>Matthias Wolfhttp://www.blogger.com/profile/05564512349340522110noreply@blogger.com0tag:blogger.com,1999:blog-4828071326601170739.post-17898689555220100482013-05-13T15:30:00.000+02:002014-01-09T08:56:06.550+01:00Der große Group Policy Troubleshooting Guide - Teil 3/3<span style="font-family: Verdana,sans-serif;"><span style="font-size: small;"><a href="http://matthiaswolf.blogspot.de/2013/03/der-groe-group-policy-troubleshooting.html">Teil 1</a> behandelte vor allem logische Fehler im Umgang mit Gruppenrichtlinien.<br />
<a href="http://matthiaswolf.blogspot.de/2013/04/der-groe-group-policy-troubleshooting_5.html">Teil 2</a> befasste sich mit technischen Fehlern und Tools mit denen die Abarbeitung von Richtlinien überprüft werden kann.</span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="font-size: small;">Der letzte Teil des GPO Troubleshooting Guides behandelt das Thema "GPO Performance."</span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="font-size: small;"><br />
</span></span> <span style="font-family: Verdana,sans-serif;"><span style="font-size: small;"><span style="color: #0b5394;"><span style="font-size: large;">Inhalt: </span></span></span></span><br />
<ul>
<li><span style="font-family: Verdana,sans-serif;"><span style="font-size: small;"><span style="color: #0b5394;"><span style="color: black;">Welche Timeouts können beim Abarbeiten von Policies auftreten?</span></span></span></span></li>
<li><span style="font-family: Verdana,sans-serif;"><span style="font-size: small;"><span style="color: #0b5394;"><span style="color: black;">Wie lassen sich erhöhte Laufzeiten von Policies erkennen?</span></span></span></span></li>
<li><span style="font-family: Verdana,sans-serif;"><span style="font-size: small;"><span style="color: #0b5394;"><span style="color: black;">Welche CSEs können erhöhte Laufzeiten verursachen?</span></span></span></span></li>
<li><span style="font-family: Verdana,sans-serif;"><span style="font-size: small;">Wie wirkt sich das Policy- und AD Design auf die Laufzeit der GPOs aus?</span></span></li>
<li><span style="font-family: Verdana,sans-serif;"><span style="font-size: small;">Wie wirkt sich Group Policy Loopback auf die Laufzeit der GPOs aus? </span></span></li>
<li><span style="font-family: Verdana,sans-serif;"><span style="font-size: small;"><span style="font-size: small;">Wie wirkt sich die An<span style="font-size: small;">zahl der GP<span style="font-size: small;">Os<span style="font-size: small;"> auf die Laufzeit <span style="font-size: small;">aus?</span></span></span></span></span></span></span> </li>
</ul>
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;">Welche Timeouts können auftreten? </span></span><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"> </span></span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;">Im <span style="font-size: small;">Laufe der Gruppenrichtlinienabarbeitung können verschiedene Timeouts auftreten. Da insbesondere bei der <span style="font-size: small;">synchronen Richtlinie<span style="font-size: small;">nanwendung un<span style="font-size: small;">endliche Start<span style="font-size: small;">- und Anmelde<span style="font-size: small;">zeiten <span style="font-size: small;">verursacht wer<span style="font-size: small;">den könnten, sind diese Timeouts als Sicherheitsmec<span style="font-size: small;">hanismus anzusehen.</span></span></span></span></span></span></span></span></span></span></span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"><b><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;">Der 60 Minuten Timeout:</span></span></span></b><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"> </span></span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;">Diese maximale Zeitspanne lässt sich nicht konfigurieren. <span style="font-size: small;">Es handelt sich um einen hart<span style="font-size: small;">codierten Wert von genau<span style="font-size: small;"> <span style="font-size: small;">60 <span style="font-size: small;">Minuten. Ist eine Client Side Extension nac<span style="font-size: small;">h dieser Zeitspanne mit <span style="font-size: small;">der Anwendung der Einstellungen nicht fertig, so wechselt die <span style="font-size: small;">GPO-<span style="font-size: small;">Engine </span></span></span></span></span></span></span></span></span></span></span></span></span><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;">in den asynchronen Modus.</span></span></span><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"> <span style="font-size: small;">Dies bedeutet nichts anderes<span style="font-size: small;">, als dass<span style="font-size: small;"> der Start-<span style="font-size: small;"> bzw.<span style="font-size: small;"> Anmeldeprozess for<span style="font-size: small;">tgeführt wird.</span></span></span></span></span></span></span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;">Die restlichen Richtlinien werden (wenn möglich) im Hintergrund abgearbeitet.<br />
Die <span style="font-size: small;">betreffend<span style="font-size: small;">e CSE wird jedoch nicht beendet<span style="font-size: small;">, sondern läuft ebenfalls im H<span style="font-size: small;">intergrund weiter. 60 Minuten ist ei<span style="font-size: small;">n größz<span style="font-size: small;">ü<span style="font-size: small;">gig bemessener Timeout. <br />
<span style="font-size: small;"><span style="font-size: small;">Eine CSE <span style="font-size: small;">die definitiv in diese<span style="font-size: small;">n Timeout laufen kan<span style="font-size: small;">n, ist die "Software I<span style="font-size: small;">nstallation" CSE. <span style="font-size: small;">Dauert eine Softwarein<span style="font-size: small;">stallation länger als 60 Minuten,</span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span> so tritt dieses Verhalten ein.<br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"><span style="font-size: small;"><b>Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten:</b></span></span><br />
<span style="font-family: Verdana,sans-serif;">Diese Richtlinie kennen wir bereits aus <a href="http://matthiaswolf.blogspot.de/2013/04/der-groe-group-policy-troubleshooting_5.html">Teil 2</a>.<br />
Die Beschreibung der Richtlinie lässt vermuten, dass so lange auf das Netzwerk gewartet wird, bis dieses verfügbar ist. Dem ist jedoch nicht so.</span><br />
<span style="font-family: Verdana,sans-serif;">Es gilt ein Standard Timeout von 30 Sekunden. Dieser kann mit dieser Richtlinie allerdings geändert werden: </span><br />
<span style="font-family: Verdana,sans-serif;"><a href="http://gpsearch.azurewebsites.net/#319">"Wartezeit für Richtlinienverarbeitung beim Systemstart angeben"</a><br />
Es kann zusätzlich noch eine separate Policy konfiguriert werden, die die maximale Wartezeit für DirectAccess Verbindungen definiert. Hier ist der Default 60 Sekunden. Leider ist der Name der Policy missverständlich. </span><br />
<span style="font-family: Verdana,sans-serif;"><a href="http://gpsearch.azurewebsites.net/#7516"><span class="PolicyValues" id="DivPolicyName">"Wartezeit der Arbeitsbereichskonnektivität für Richtlinienverarbeitung angeben"</span></a></span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"><b><span class="PolicyValues" id="DivPolicyName">Maximale Wartezeit für Gruppenrichtlinienskripts angeben:</span></b></span><br />
<span style="font-family: Verdana,sans-serif;"><span class="PolicyValues" id="DivPolicyName">Dieser Timeout definiert die maximale Ausführungszeit der Skripte beim Starten, Anmelden, Abmelden und Herunterahren des Computers.</span></span><br />
<span style="font-family: Verdana,sans-serif;">Der Standardwert liegt bei 10 Minuten. <br />
Definiert man eine Wartezeit von 0 Sekunden, so bedeutet dies, unendlich.<br />
Zu beachten ist jedoch, dass die Skripte von <b>keiner </b>CSE ausgeführt werden. <br />
Das bedeutet, der Standard CSE Timeout von 60 Minuten gilt hier <b>nicht</b>.</span><br />
<span style="font-family: Verdana,sans-serif;"><a href="http://gpsearch.azurewebsites.net/#2299">"Maximale Wartezeit für Gruppenrichtlinienskripts angeben"</a></span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"><b>Gruppenrichtlinien zur Erkennung von langsamen Verbindungen</b></span><br />
<span style="font-family: Verdana,sans-serif;">Hierbei handelt sich nicht um einen zeitlichen Timeout, sondern vielmehr um eine Bandbreitenmessung. Wird eine langsame Netzwerkverbindung erkannt, so werden Teile der Gruppenrichtlinien nicht angewendet. </span><br />
<span style="font-family: Verdana,sans-serif;">Hierbei handelt es sich um alle Client Side Extensions bei denen der Registrywert "NoSlowLink" auf 0x1 gesetzt wurde.<br />
Dieser Schlüssel befindet sich unter "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions" unterhalb des <a href="http://www.gruppenrichtlinien.de/artikel/client-side-extensions-cses/">GUID der jeweiligen CSE</a>. </span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Dies ist das Standardverhalten (Quelle <a href="http://support.microsoft.com/kb/227369/de">TechNet</a>): </span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"><u>Richtlinien, die standardmäßig angewendet werden:</u><u> </u></span><br />
<ul>
<li><span style="font-family: Verdana,sans-serif;">Registrierungseinstellungen (aus administrativen Vorlagen) müssen immer angewendet werden – dies kann nicht geändert werden</span></li>
<li><span style="font-family: Verdana,sans-serif;">Sicherheitsrichtlinien müssen immer angewendet werden - dies kann nicht geändert werden)</span></li>
<li><span style="font-family: Verdana,sans-serif;">EFS-Wiederherstellungsrichtlinie</span></li>
<li><span style="font-family: Verdana,sans-serif;">IP-Sicherheit</span></li>
</ul>
<span style="font-family: Verdana,sans-serif;"><u>Richtlinien, die nicht angewendet werden:</u></span><br />
<ul>
<li><span style="font-family: Verdana,sans-serif;">Anwendungsbereitstellung</span></li>
<li><span style="font-family: Verdana,sans-serif;">Skripts</span></li>
<li><span style="font-family: Verdana,sans-serif;">Ordnerumleitung</span></li>
<li><span style="font-family: Verdana,sans-serif;">Datenträgerkontingente</span></li>
</ul>
<span style="font-family: Verdana,sans-serif;">Alle Verbindungen bei denen eine Bandbreite von weniger 500 KBit/s erkannt wird, gelten standardmäßig als "langsame Verbindung". </span><br />
<span style="font-family: Verdana,sans-serif;">Beeinflusst kann dieser Wert mit dieser Policy werden:</span><br />
<span style="font-family: Verdana,sans-serif;"><a href="http://gpsearch.azurewebsites.net/#339">"Gruppenrichtlinien zur Erkennung von langsamen Verbindungen"</a></span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"><b>Der WMI-Filter Timeout:</b></span><br />
<span style="font-family: Verdana,sans-serif;">Richtlinien können mit WMI Filtern verknüpft werden.<br />
Über die GPO-Performance im Zusammenhang mit WMI-Filtern habe ich bereits in meinem Post "<a href="http://matthiaswolf.blogspot.de/2011/12/lies-of-gpo-4.html">The lies of GPOs! #4</a>" berichtet.<br />
Noch vor Windows Vista (bzw. Server 2008) konnte ein WMI-Filter theoretisch unendlich lange ausgeführt werden. Dies hat man nun mit einem WMI-Timeout unterbunden. Dieser Timeout ist 30 Sekunden und kann nicht geändert werden.</span><br />
<span style="font-family: Verdana,sans-serif;">Dauert die Ausführung eines WMI-Filters länger als 30 Sekunden, so wird das Ergebnis mit "false" beantwortet. </span><br />
<span style="font-family: Verdana,sans-serif;">Zwischenzeitlich findet man nun auch auch eine offizielle Erwähnung dieses Timeouts. Den Link hierzu findet ihr <a href="http://support.microsoft.com/kb/2587435">hier</a>.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"><b> GPP - nicht verfügbare Netzlaufwerke:</b></span><br />
<span style="font-family: Verdana,sans-serif;">Versucht man ein nicht verfügbares Netzlaufwerk mit der Client Side Extension "Drive Maps" zu verbinden, so tritt auch hier ein Timeout auf. </span><br />
<span style="font-family: Verdana,sans-serif;">Dieser liegt ebenfalls bei 30 Sekunden und kann nicht geändert werden.<br />
Möchte man diesen Timeout jedoch umgehen, so kann man Martin Binder's Workaround benutzen. <br />
Mehr dazu findet ihr in seinem Blog-Post über dieses Thema:</span><br />
<span style="font-family: Verdana,sans-serif;"><a href="http://evilgpo.blogspot.de/2013/01/group-policy-preferences.html">http://evilgpo.blogspot.de/2013/01/group-policy-preferences.html</a></span><br />
<span style="font-family: Verdana,sans-serif;"> </span><br />
<span style="font-family: Verdana,sans-serif;"><b>Der TCP Standard Timeout</b><br />
Abschließend sei noch ein Timeout erwähnt, der theoretisch bei unterschiedlichen Sektionen der Gruppenrichtlinienanwendung auftreten kann.</span><br />
<span style="font-family: Verdana,sans-serif;">Es handelt sich um den Standard Timeout für TCP/IP Verbindungen.<br />
Dieser Timeout wird von zwei Registryschlüsseln kontrolliert.<br />
Der Schlüssel "TCPInitialRtt" gibt den anfänglichen Timeout an. <br />
Der Schlüssel "TcpMaxDataRetransmissions" gibt dann die Anzahl der Wiederholversuche an. Mit jedem Wiederholversuch wird der Timeout "TCPInitialRtt" dann verdoppelt. <br />
Dieser Timeout ist leider schwer zu erkennen. <br />
Es sollten größere Zeitsprünge im <a href="http://matthiaswolf.blogspot.de/2012/06/gpsvc-logging-aktivieren.html">gpsvc.log</a> erkennen zu sein.</span> <br />
<span style="font-family: Verdana,sans-serif;">Mehr zum Anpassen dieses Timeouts findet ihr hier: <a href="http://support.microsoft.com/kb/170359/en-us">http://support.microsoft.com/kb/170359/en-us</a></span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;">Wie lassen sich erhöhte Laufzeiten von Policies erkennen?</span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><b><br />
Im Eventlog:</b><br />
Ab Windows Vista lassen sich die Laufzeiten der jeweiligen Client Side Extensions komfortabel im Eventlog ablesen.<br />
Interessieren euch die Laufzeiten der einzelnen Erweiterungen, dann solltet ihr nach Event-ID 5016 suchen.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<br />
<div class="separator" style="clear: both; text-align: center;">
<span style="font-family: Verdana,sans-serif;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEie5XR7fuCjAi20t6O03NlD1Ou_wqCR_sGZliGCz-a-16R4rQEcbhLvO8xqE71nMLLxF2mZSUWbLce0Q_GIO82CdItYw5vVg3aS7qTocMDeVwsdyVDpY30KqyjKgO3RJRNvzdmc3tjVl8o/s1600/Capture.PNG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEie5XR7fuCjAi20t6O03NlD1Ou_wqCR_sGZliGCz-a-16R4rQEcbhLvO8xqE71nMLLxF2mZSUWbLce0Q_GIO82CdItYw5vVg3aS7qTocMDeVwsdyVDpY30KqyjKgO3RJRNvzdmc3tjVl8o/s320/Capture.PNG" height="133" width="320" /></a></span></div>
<span style="font-family: Verdana,sans-serif;"><br /></span>
<br />
<span style="font-family: Verdana,sans-serif;">800x Events zeigen euch die Gesamtlaufzeit der GPO Anwendung.</span><br />
<span style="font-family: Verdana,sans-serif;">Dauert die Abarbeitung der jeweiligen CSE ungewöhnlich lange, so wird ein Fehler im Eventlog vermerkt. Die Event-ID ist dann in der Regel die 7016.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"><b>Im gpsvc.log:</b></span><br />
<span style="font-family: Verdana,sans-serif;">Das Logfile des Gruppenrichtlinien-Clients muss zunächst <a href="http://matthiaswolf.blogspot.de/2012/06/gpsvc-logging-aktivieren.html">aktiviert</a> werden.</span><br />
<span style="font-family: Verdana,sans-serif;">Das Logfile lässt sich am komfortabelsten mit dem <a href="http://www.sysprosoft.com/policyreporter.shtml">Policy Reporter</a> auswerten.<br />
Zu beachten ist jedoch, dass nicht alle Ausführungszeiten im Logfile erscheinen.</span><br />
<span style="font-family: Verdana,sans-serif;">Die Laufzeiten der Skripte wird zum Beispiel nicht im Logfile erfasst.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"><b>In der GPMC und im gpresult /h von Windows 8 und Server 2012:</b></span><br />
<span style="font-family: Verdana,sans-serif;">Über die Funktion "Gruppenrichtlinienergebnisse" können die Laufzeiten der jeweiligen CSEs angezeigt werden.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<br />
<div class="separator" style="clear: both; text-align: center;">
<span style="font-family: Verdana,sans-serif;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEixPpmoH0lDZATMVvQ-oOi5pT69Sjwg6isyyGiCD30PfDS-CW1D2kxMglwrJ8ePuhB4vdNaKBnbs6jCYH5U_zZ-gZncpTQiJ8V5CAo5WeVKnQPduyGfltAaZQaT8GZCXL1k4gnXmATfuw0/s1600/Capture.PNG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEixPpmoH0lDZATMVvQ-oOi5pT69Sjwg6isyyGiCD30PfDS-CW1D2kxMglwrJ8ePuhB4vdNaKBnbs6jCYH5U_zZ-gZncpTQiJ8V5CAo5WeVKnQPduyGfltAaZQaT8GZCXL1k4gnXmATfuw0/s320/Capture.PNG" height="191" width="320" /></a></span></div>
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"><b>Mit Hilfe von GPTime.exe </b></span><br />
<span style="font-family: Verdana,sans-serif;">Das Tool <a href="http://gpoguy.com/free-tools/free-tools-library/gp-time/">GPTime.exe</a> liest die Gesamtlaufzeit der Benutzer- und Computerkonfiguration aus den jeweiligen Registrywerten und konvertiert diese in eine lesbare Zeitangabe.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;">Welche CSEs können erhöhte Laufzeiten verursachen?</span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;"><span style="color: black;"><span style="font-size: small;">Di<span style="font-size: small;">e Anwendung der Richt<span style="font-size: small;">linien besteht aus zwei Anteilen:<br />
<br />
<b>Dem "Core Pro<span style="font-size: small;">cessing"<span style="font-size: small;">: </span></span></b><br />
</span></span></span></span></span></span></span>Hierbei wird bestimmt, welche Richtlinien angewendet werden müssen. <br />
Es werden die Sicherheits- und WMI Filter durchlaufen.<br />
Zudem wird ermittelt welche CSEs registriert sind und welche CSEs aufgerufen werden müssen.<br />
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;"><span style="color: black;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="color: #0b5394;"><span style="font-size: large;"><span style="color: black;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><b>Dem "CSE Pro<span style="font-size: small;">cessing"<span style="font-size: small;">: </span></span></b></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span><br />
<span style="font-family: Verdana,sans-serif;">Hierbei werden die eigentlichen Einstellungen angewendet.<br />
Jede zutreffende CSE wird nach ihrer registrierten Reihenfolge ausgeführt <br />
und arbeit die Einstellungen ab.
<br />
Die jeweils benötigte Zeitdauer dieser beiden Anteile kann variieren.
<span style="color: #0b5394;"><span style="font-size: large;"><span style="color: black;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><b><span style="font-size: small;"> </span></b></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;"><span style="color: black;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><b><span style="font-size: small;">Bei asynchroner Richtlinenverarbeitung<span style="font-size: small;"> gilt<span style="font-size: small;">:</span></span></span></b></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span><br />
<span style="font-family: Verdana,sans-serif;">Bei einem nicht erzwungenen GPO Refresh (z.B. gpupdate) nimmt das Core Processing in der Regel mehr Zeit in Anspruch als das CSE Processing.<br />
Erzwingt man jedoch einen vollständigen Refresh (z.B. gpupdate /force), <br />
so müssen alle Einstellungen erneut angewendet werden.<br />
Hierbei nimmt das CSE Processing in der Regel mehr Zeit in Anspruch. </span><br />
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;"><span style="color: black;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="color: #0b5394;"><span style="font-size: large;"><span style="color: black;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><b><span style="font-size: small;">Bei synchroner Richtlinenverarbeitung<span style="font-size: small;"> gilt<span style="font-size: small;">:</span></span></span></b></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span> <br />
<span style="font-family: Verdana,sans-serif;">Da in diesem Falle auf das Netzwerk gewartet wird, kann das Core Processing mehr Zeit benötigen. Wie lange das CSE Processing dauert, hängt in erster Linie von den Einstellungen in den Richtlinen ab.<span style="color: #0b5394;"><span style="font-size: large;"><span style="color: black;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"> <b> </b></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;"><span style="color: black;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><b>Typische Beispiele für <span style="font-size: small;">z</span>eitintensive Clien</b><span style="font-size: small;"><b>t Side Extension</b><span style="font-size: small;"><b>s</b><span style="font-size: small;"><b>:</b></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span><br />
<ul>
<li><span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;"><span style="color: black;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;">Software Installation CSE<br />
<span style="font-size: small;">Je nachdem wieviele und wie umfangreiche Installationen ausgeführ<span style="font-size: small;">t werden<span style="font-size: small;">, kann diese CSE viel Zeit beanspruchen.</span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></li>
<li><span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;"><span style="color: black;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;">Security CSE<br />
<span style="font-size: small;">Mit <span style="font-size: small;">dieser CSE la<span style="font-size: small;">ssen sich unter anderem Datei<span style="font-size: small;">- und Ordnerberechtigungen setzen. Werden Verzeichnisse mit <span style="font-size: small;">vielen Dateien bearbeitet, so kann diese CSE <span style="font-size: small;">sehr viel Zeit in <span style="font-size: small;">Anspruch nehmen.</span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></li>
<li><span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;"><span style="color: black;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;">Scripts CSE<br />
<span style="font-size: small;">Hier muss m</span>an unterscheiden. Die eigentliche <span style="font-size: small;">CSE ist sehr schnell <span style="font-size: small;">abgearbeitet. Hierbei werden nur die Einstellungen in die Reg<span style="font-size: small;">istry geschrieben. Die Skripte laufen dann<span style="font-size: small;"> unabhängig von der Richtlinen<span style="font-size: small;">anwendung<span style="font-size: small;"> beim S<span style="font-size: small;">tarten, Anmelden, <span style="font-size: small;">Abmelden und Herunterfahren. Sind hier zeitintensive Skripte hinterlegt, so kann auch hier eine hoh<span style="font-size: small;">e <span style="font-size: small;">Ausführungszeit entstehen.</span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></li>
</ul>
<span style="font-family: Verdana,sans-serif;"><b><span style="color: #0b5394;"><span style="font-size: large;"><span style="color: black;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;">Der <span style="font-size: small;">Sonderfall Group Policy Preferences Item Level Ta<span style="font-size: small;">rgeting:</span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></b></span><br />
<span style="font-family: Verdana,sans-serif;">GPPs (Group Policy Preferences) bieten einem die Möglichkeit eine sogenannte Zielgruppenadressierung (Item Level Targeting) zu verwenden. Mehr dazu auch im Abschnitt "Item Level Targeting - jetzt wird es granular" im <a href="http://matthiaswolf.blogspot.de/2013/03/der-groe-group-policy-troubleshooting.html">Teil 1</a> des Guides.<br />
Der Sonderfall hierbei ist, dass das Filtern innerhalb des CSE Processings stattfindet. Hier können ebenfalls zeitintensive Filter hinterlegt sein.<span style="color: #0b5394;"><span style="font-size: large;"><span style="color: black;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><br />
<b>Zielgruppenadressierungen die <span style="font-size: small;">viel Zeit in Anspruch nehmen können<span style="font-size: small;">:</span></span></b></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span><br />
<ul>
<li><span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;"><span style="color: black;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;">Sicherheitsgruppenziele<br />
<span style="font-size: small;">Auf Computer<span style="font-size: small;">ebene kann diese viel Zeit beanspruchen.<br />
<span style="font-size: small;">Auf Benutzerebene wird dies lo<span style="font-size: small;">kal ausgeführt<span style="font-size: small;"> und <span style="font-size: small;">benötigt nur wenig Zeit.</span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></li>
<li><span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;"><span style="color: black;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;">LDAP-Abfrage </span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></li>
<li><span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;"><span style="color: black;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;">Domäne</span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></li>
<li><span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;"><span style="color: black;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;">Siteziele</span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></li>
<li><span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;"><span style="color: black;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;">Organisationseinheit</span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></li>
</ul>
<blockquote class="tr_bq">
<span style="font-family: Verdana,sans-serif;"><b><span style="color: #38761d;"><span style="font-size: large;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;">Tipp:</span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></b></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="color: #38761d;"><span style="font-size: large;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;">Eine Liste der Zie<span style="font-size: small;">lgruppenadressierungen findet ihr <a href="http://technet.microsoft.com/de-de/library/cc733022%28v=ws.10%29.aspx">hier</a>.</span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></blockquote>
<blockquote>
<span style="font-family: Verdana,sans-serif;"><span style="color: #38761d;"><span style="font-size: large;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;">Mehr zum Thema<span style="font-size: small;"> </span>I<span style="font-size: small;">TLs die <span style="font-size: small;">viel Zeit in Anspruch nehmen können findet ihr <a href="http://sdmsoftware.com/group-policy-preferences/expensive-group-policy-preferences-item-level-targeting/">hier</a>.</span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span><span style="color: #0b5394;"><span style="font-size: large;"><span style="color: black;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><br />
</span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></blockquote>
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;"><span style="color: black;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="color: #0b5394;"><span style="font-size: large;">Wie wirkt sich das Policy- und AD Design auf die Laufzeit der GPOs aus?</span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;"><span style="color: black;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;">Bei <span style="font-size: small;">dem Thema möchte ich vor allem auf <span style="font-size: small;">MVP Darren Mar-Elia's <a href="http://technet.microsoft.com/en-us/magazine/2008.01.gpperf.aspx">exzellenten Beitrag</a> hinweisen. <br />
</span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;"><span style="color: black;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;">Er unterteilt Richtlinien in zwei Kategorien.<br />
"Monolithic and Functional GPOs".</span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;"><span style="color: black;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><br />
</span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span> <span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;"><span style="color: black;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><b>"Monolithic GPOs"</b><span style="font-size: small;">:</span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;"><span style="color: black;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;">E</span>nthalten Einstellungen aus verschiedenen Gruppenrichtlinienbereichen (z.B. administrative Vorlagen, Sicherheitseinstellungen, Software Installationen).<br />
Da die Versionierung nur pro Computerkonfiguration und Benutzerkonfiguration besteht, so müssen im Zweifelsfalle bei einer Änderung alle Einstellungen erneut angewendet werden. Die Delegierung (Zugriffsrechte) an einzelne Administratoren gestaltet sich hier schwierig, da dies ebenfalls nur pro Richtlinie möglich ist. <br />
<u>Um ein einfaches Beispiel zu nennen:</u><br />
In einem großen Unternehmen gibt es Administratoren die nur administrative Vorlagen verwalten. Verwendet man nun "Monolithic GPOs", so könnten diese Administratoren mit ihren Zugriffsrechten auch andere Richtlinien Einstellungen (z.B. Skripte) bearbeiten.<br />
<b>"Functional GPOs"</b><span style="font-size: small;">:</span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;"><span style="color: black;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;">Enthalten Einstellungen aus speziellen Bereichen (z.B. nur administrative Vorlagen). Hierbei besteht das beschriebene Problem mit der Versionierung nicht. Jedoch führt dies unweigerlich zu einer großen Anzahl von Richtlinien. Diese Richtlinien können jedoch aufgrund ihrer Granularität besser an einzelne Administratoren delegiert werden.</span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;">Wie wirkt sich Group Policy Loopback auf die Laufzeit der GPOs aus? </span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="font-size: small;"><span style="color: #0b5394;"><span style="color: black;">Group Policy Loopback kann in zwei verschiedenen Modi ausgeführt werden, <br />
Merge und Replace.</span></span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"><span style="font-size: small;"><span style="color: #0b5394;"><span style="color: black;"> </span></span></span></span> <span style="font-family: Verdana,sans-serif;"><span style="font-size: small;"><b>Loopback Merge:</b><br />
Hierbei entstehen zwei GPO Durchläufe.<br />
Der erste Durchlauf läuft wie gewohnt ab, die Benutzereinstellungen werden anhand der Position des Benutzerobjekts im Active Directory abgearbeitet.</span> <span style="font-size: small;">Ist dieser Prozess abgeschlossen, wird der Suchfilter geändert.<br />
Nun startet ein zweiter Durchlauf, hierbei ist allerdings die Position des Computerobjekts im Active Directory entscheidend.</span> <span style="font-size: small;">Zum Verständnis noch einmal, es geht nur um die Anwendung der Benutzereinstellungen.</span> <span style="font-size: small;">Loopback Merge verdoppelt die Abarbeitungszeit der Richtlinien nahezu. </span> <span style="font-size: small;"><br />
</span></span> <br />
<span style="font-family: Verdana,sans-serif;"><span style="font-size: small;"><b>Loopback Replace:</b><br />
Bei Replace ist nur noch die Position des Computerobjekts entscheidend. </span>Es gibt nur einen Durchlauf. <span style="font-size: small;"><span style="font-size: small;">Loopback Replace <span style="font-size: small;">hat praktisch keine Auswirkungen auf die</span> Abarbeitungszeit der Richtlinien<span style="font-size: small;">.</span></span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="color: #0b5394;"><span style="font-size: large;">Wie wirkt sich die Anzahl der GPOs auf die Laufzeit aus?</span></span> </span></span></span></span> <br />
<span style="font-family: Verdana,sans-serif;"><span style="font-size: small;">Die Antwort ist ku<span style="font-size: small;">rz und knap<span style="font-size: small;">p: Geringfügig<span style="font-size: small;">.</span></span></span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;">Die Anza<span style="font-size: small;">hl der Richtli<span style="font-size: small;">nien ist<span style="font-size: small;"> <span style="font-size: small;">kaum entscheiden<span style="font-size: small;">d</span>. <span style="font-size: small;">Die Ausführungszeit wird vielmehr von den Einstellungen der Policies<span style="font-size: small;"> und den Filtern, die mit den Policies verkn<span style="font-size: small;">üpft sind, beinfluss<span style="font-size: small;">t.</span></span></span></span></span></span></span></span></span></span></span></span></span>Matthias Wolfhttp://www.blogger.com/profile/05564512349340522110noreply@blogger.com7tag:blogger.com,1999:blog-4828071326601170739.post-17939880236215604132013-04-23T22:24:00.002+02:002013-04-25T09:32:10.730+02:00Internet Explorer 10: Goodbye my friend "Internet Explorer-Wartung"<span style="font-family: Verdana,sans-serif;">Nachdem der Internet Explorer 10 nun seit geraumer Zeit offiziell zur Verfügung steht, wird ein Problem welches die "Internet Explorer-Wartung" betrifft immer bekannter.<br /><br /><span style="color: #0b5394;"><span style="font-size: large;">IEM - aus und vorbei</span></span><br />Die "Internet Explorer-Wartung" (IEM = Internet Explorer Maintenance) Erweiterung ist ein Relikt aus alten Zeiten. Leider war diese CSE nie für ihre Zuverlässigkeit bekannt. Mit dem Erscheinen von Windows 8 und Server 2012 wird diese Erweiterung nun offiziell nicht mehr unterstützt. Konfiguriert man unter Windows 8 (oder Server 2012) eine Gruppenrichtlinie, so versucht man vergebens diese Einstellung zu finden.</span><br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<span style="font-family: Verdana,sans-serif;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj0_nyDkAzubNGg9KDq_e53Es72oDrrCjWlBXSOdxX2mPU60hU2h5ZybPjsozKMyucSs_9JuBCkLyTUABmbd73MST49rjjAvR7SP0sVuBiNE7ov0455-deA__3StE1g2NG7qAY1X3XGfGU/s1600/Unbenannt.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj0_nyDkAzubNGg9KDq_e53Es72oDrrCjWlBXSOdxX2mPU60hU2h5ZybPjsozKMyucSs_9JuBCkLyTUABmbd73MST49rjjAvR7SP0sVuBiNE7ov0455-deA__3StE1g2NG7qAY1X3XGfGU/s1600/Unbenannt.png" /></a></span></div>
<span style="font-family: Verdana,sans-serif;">Dieses Verhalten kann man als "wie erwartet" bezeichnen.<br /><br />Installiert man allerdings den Internet Explorer 10 auf einem Client der mit den Einstellungen dieser CSE jedoch noch umgehen kann (z.B. Windows 7, Server 2008 R2), so verliert man dort ebenfalls die Option eine Gruppenrichtlinie zu bearbeiten, die Internet Explorer-Wartungs-Einstellungen enthält. Gleiches gilt für die Erzeugung neuer Richtlinien die IEM-Einstellungen enthalten sollen.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /><span style="color: #0b5394;"><span style="font-size: large;">Fakten zu IEM + IE <span style="font-size: large;">10</span></span></span></span><br />
<br />
<span style="font-family: Verdana,sans-serif;"><b>Auf Windows 8 und Server 2012,</b></span><br />
<ul>
<li><span style="font-family: Verdana,sans-serif;">können keine IEM-Einstellungen bearbeitet werden.</span></li>
<li><span style="font-family: Verdana,sans-serif;">können keine neue Richtlinien angelegt werden die IEM-Einstellungen enthalten.</span></li>
<li><span style="font-family: Verdana,sans-serif;">werden keine Richtlinien angewendet die IEM-Einstellungen enthalten. </span></li>
</ul>
<span style="font-family: Verdana,sans-serif;"><b>Auf Windows Vista, 7 und Server 2008 R2</b> <b>mit IE 8 oder IE 9</b>,</span><br />
<ul>
<li><span style="font-family: Verdana,sans-serif;">können IEM-Einstellungen bearbeitet werden.</span></li>
<li><span style="font-family: Verdana,sans-serif;">können neue Richtlinien angelegt werden die IEM-Einstellungen enthalten.</span></li>
<li><span style="font-family: Verdana,sans-serif;">werden Richtlinien angewendet die IEM-Einstellungen enthalten. </span></li>
</ul>
<span style="font-family: Verdana,sans-serif;"><b>Auf Windows 7 und Server 2008 R2 mit IE 10</b>,</span><br />
<ul>
<li><span style="font-family: Verdana,sans-serif;">können keine IEM-Einstellungen bearbeitet werden.</span></li>
<li><span style="font-family: Verdana,sans-serif;">können keine neue Richtlinien angelegt werden die IEM-Einstellungen enthalten.</span></li>
<li><span style="font-family: Verdana,sans-serif;">werden keine Richtlinien angewendet die IEM-Einstellungen enthalten.</span></li>
<li><span style="font-family: Verdana,sans-serif;">kann das vorherige Verhalten nur mit der Deinstallation von IE 10 erreicht werden. </span></li>
</ul>
<span style="font-family: Verdana,sans-serif;"></span><br />Matthias Wolfhttp://www.blogger.com/profile/05564512349340522110noreply@blogger.com10tag:blogger.com,1999:blog-4828071326601170739.post-26157279112539356142013-04-19T11:28:00.002+02:002013-04-25T09:30:00.969+02:00GPOBackup.VBS - einfach, schnell, zuverlässig<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;">Backup ja, aber einfach bitte! </span></span></span><br />
<span style="font-family: Verdana,sans-serif;">MVP Kollege <a href="http://mvp.microsoft.com/en-us/mvp/Martin%20Binder-5000017">Martin Binder</a> hat in seinem Blog ein GPO-Backup Skript veröffentlicht. Das Skript ist super einfach zu konfigurieren und bietet einem viele Features, die andere Skripte nicht aufweisen.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"><b>Hier eine Übersicht der möglichen Optionen:</b></span><br />
<span style="font-family: Verdana,sans-serif;">cscript GPOBackup.VBS [/CreateShare:0] [/BackupDirectory:] [/BackupShare:] [/ForceBackup] [/RetentionMethod:age|count] [/RetentionCount:] [/L:] [/EventLogName:] [/EventSource:]</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Ich kann euch nur raten, richtet euch das Skript ein, lasst es laufen und ihr müsst euch keine Gedanken mehr über das Thema GPO-Backup machen.<br /><br /><b>Hier der Link zum Blog-Artikel:</b><br /><a href="http://evilgpo.blogspot.de/2012/12/backup-nur-fur-feiglinge-oder-auch-fur.html">http://evilgpo.blogspot.de/2012/12/backup-nur-fur-feiglinge-oder-auch-fur.html</a></span>Matthias Wolfhttp://www.blogger.com/profile/05564512349340522110noreply@blogger.com0tag:blogger.com,1999:blog-4828071326601170739.post-55124880630116083852013-04-05T13:49:00.003+02:002013-04-05T16:25:29.344+02:00Der große Group Policy Troubleshooting Guide - Teil 2/3<span style="font-family: Verdana,sans-serif;">Nachdem ich euch in <a href="http://matthiaswolf.blogspot.de/2013/03/der-groe-group-policy-troubleshooting.html">Teil 1</a> des "Group Policy Troubleshooting Guides" bereits die häufigsten logischen Fehler gezeigt habe, geht es nun um technische Fehler.<br /><br /> <b>Folgende Themen werden behandelt:</b></span><br />
<ul>
<li><span style="font-family: Verdana,sans-serif;">Welche Fehler können auftreten? </span></li>
<li><span style="font-family: Verdana,sans-serif;">Wo finde ich GPO-Eventlogs? </span></li>
<li><span style="font-family: Verdana,sans-serif;">Welche Logfiles werden geschrieben? </span></li>
<li><span style="font-family: Verdana,sans-serif;">Wie kann das Verhalten einzelner CSEs analysiert werden</span></li>
</ul>
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;">DNS - Die Grundlage für eine korrekte Richtlinienabarbeitung</span></span><br />Eine funktionierende DNS-Auflösung ist die Grundlage für eine funktionierende Authentifizierung und Anwendung von Gruppenrichtlinien.<br /> Damit der Client einen Domaincontroller finden kann, muss dieser Anfragen an den DNS Server stellen. Im Zuge dieses Prozesses wird ebenfalls die betreffende Active Directory Site des Clients ermittelt.<br /> Den kompletten Vorgang der Ermittlung des Domaincontrollers findet ihr bei <a href="http://blog.dikmenoglu.de/Dom%C3%A4nencontroller+Am+Standort.aspx">Yusuf Dikmenoglu</a>.</span><span style="font-family: Verdana,sans-serif;"><br /> Im weiteren Verlauf der Gruppenrichtlinienabarbeitung werden immer wieder LDAP Abfragen an den DC gesendet. Funktioniert die DNS Auflösung nicht oder nur teilweise, so sollte spätestens beim Zugriff auf das SYSVOL Verzeichnis ein Fehler auftreten. Die GPSVC Engine versucht unter anderem das File Gpt.ini aus dem Verzeichnis jeder Policy zu lesen.</span> <span style="font-family: Verdana,sans-serif;"><br /> <b>Den genauen Prozessablauf findet ihr hier:</b><br /> <a href="http://technet.microsoft.com/en-us/library/cc784268%28v=ws.10%29.aspx">http://technet.microsoft.com/en-us/library/cc784268%28v=ws.10%29.aspx</a><br /><br /><span style="color: #0b5394;"><span style="font-size: large;">Beliebte Fehler in der DNS Konfiguration</span></span><br /><b>1. Am Client ist der primäre DNS Server kein DC</b></span><span style="font-family: Verdana,sans-serif;"><br />Ein Fehler der gerade in kleineren Umgebungen häufig zu finden ist.<br /> Dort wird oftmals als primärer DNS am Client ein Internet Router angegeben.</span><span style="font-family: Verdana,sans-serif;"><br />Der Hintergedanke ist wohl meist, dass dieser Router sowohl die lokalen Adressen, als auch die "unbekannten" Adressen des Internets auflösen kann.</span><span style="font-family: Verdana,sans-serif;"><br />Für die Anwendung von Gruppenrichtlinien kann das jedoch fatale Folgen haben. Der DC Locator Process ist auf die sogenannten <a href="http://technet.microsoft.com/en-us/library/cc961719.aspx">SRV Records</a> angewiesen.</span><span style="font-family: Verdana,sans-serif;"><br />Diese sind in der Regel auf Microsoft DNS Server vorhanden, jedoch nicht zwangsläufig auf dem DNS Server des Internet Routers.<br /> Fehlen diese SRV Records (dazu auch mehr in 2.), kann auch die Anwendung der Richtlinien fehlschlagen.</span> <span style="font-family: Verdana,sans-serif;"><br /> <b> </b></span><br />
<span style="color: red;"><span style="font-family: Verdana,sans-serif;"><b>Deshalb merken:</b></span><span style="font-family: Verdana,sans-serif;"><br />Als primärer DNS sollte immer ein DC mit DNS Server (oder ein anderer Windows DNS Server) eingetragen werden. </span><span style="font-family: Verdana,sans-serif;"><br />Im optimalen Falle befindet sich dieser in der gleichen AD-Site wie der Client.</span> </span><span style="font-family: Verdana,sans-serif;"><br /> <b> </b></span><br />
<span style="font-family: Verdana,sans-serif;"><b>2. Fehlende DNS Records</b><br /> Für die Suche des Domaincontrollers sind diverse SRV Records erforderlich.</span><span style="font-family: Verdana,sans-serif;"><br />Fehlt ein Teil oder alle diese Einträge, kann die Anwendung der Gruppenrichtlinien und die Ermittlung des Domaincontrollers fehlschlagen. </span><span style="font-family: Verdana,sans-serif;"></span><br />
<span style="font-family: Verdana,sans-serif;">Sollten nicht nur einzelne Clients betroffen sein und dessen Client DNS Konfiguration korrekt sein, sollte man die SRV Records auf den Domaincontrollern überprüfen. <br /><br /> <b>Dazu eignen sich folgende Tools:</b><br /><a href="http://support.microsoft.com/kb/321045/en-us">DNSLint /ad</a> <br /><a href="http://technet.microsoft.com/en-us/library/cc776854%28v=ws.10%29.aspx">dcdiag /test:dns</a> <br /><br />Leider ist dieser genannte Fehler schwer zu diagnostizieren, <br />deshalb hier noch einige weiterführende Informationen:</span> <span style="font-family: Verdana,sans-serif;"><br /></span> <span style="font-family: Verdana,sans-serif;"><a href="http://blogs.technet.com/b/askpfeplat/archive/2012/07/09/the-case-of-the-missing-srv-records.aspx">http://blogs.technet.com/b/askpfeplat/archive/2012/07/09/the-case-of-the-missing-srv-records.aspx</a></span><span style="font-family: Verdana,sans-serif;"><br /><a href="http://support.microsoft.com/kb/816587/en-us">http://support.microsoft.com/kb/816587/en-us</a> </span><span style="font-family: Verdana,sans-serif;"></span><br />
<span style="font-family: Verdana,sans-serif;"><br /> <b>3. Grundlegende Netzwerkprobleme</b></span><span style="font-family: Verdana,sans-serif;"><br />Stimmt das Netzwerklayout nicht oder handelt es sich um eine Misskonfiguration auf Netzwerkebene, kann die DNS-Auflösung und somit auch das Abarbeiten der Gruppenrichtlinien fehlschlagen.<br /><br /> <b>Hierzu zählen unter anderem Probleme wie:</b></span><br />
<ul>
<li><span style="font-family: Verdana,sans-serif;">falsch eingetragene Routen </span></li>
<li><span style="font-family: Verdana,sans-serif;">falsche Firewallkonfigurationen </span></li>
<li><span style="font-family: Verdana,sans-serif;">nicht erreichbare DNS-Server </span></li>
<li><span style="font-family: Verdana,sans-serif;">falsch konfigurierte DNS Reihenfolge </span></li>
<li><span style="font-family: Verdana,sans-serif;">fehlende / falsche DNS Suffixe </span></li>
<li><span style="font-family: Verdana,sans-serif;">falsch konfigurierte DNS Forwarder </span></li>
<li><span style="font-family: Verdana,sans-serif;">falsche VLAN Einstellungen</span></li>
</ul>
<span style="color: #0b5394;"><span style="font-family: Verdana,sans-serif;"><span style="font-size: large;">Replikations- oder AD-Probleme</span></span></span><br />
<span style="font-family: Verdana,sans-serif;">Technisch betrachtet besteht jede Gruppenrichtlinie aus zwei Teilen.</span><span style="font-family: Verdana,sans-serif;"><br />Gemeint ist hier nicht die Benutzer- und Computerkonfiguration, sondern der Richtlinienanteil im Group Policy Container (GPC) und der Anteil innerhalb des Group Policy Templates (GPT).<br /><br /> <b>GPC - Group Policy Container: </b></span><br />
<span style="font-family: Verdana,sans-serif;">Innerhalb des GPC werden nicht die einzelnen Einstellungen der Richtlinien gespeichert, sondern viel mehr die "Metadaten" der Richtlinien.</span><span style="font-family: Verdana,sans-serif;"><br /><b>Hier sind Informationen hinterlegt wie:</b></span><br />
<ul>
<li><span style="font-family: Verdana,sans-serif;">Welche Richtlinien gibt es </span></li>
<li><span style="font-family: Verdana,sans-serif;">Wo sind die einzelnen Richtlinien verlinkt </span></li>
<li><span style="font-family: Verdana,sans-serif;">Welche Client Side Extensions (CSEs) verwenden die einzelnen Richtlinien </span></li>
<li><span style="font-family: Verdana,sans-serif;">Wie lautet der Pfad zum GPT </span></li>
<li><span style="font-family: Verdana,sans-serif;">Welche Berechtigungen haben die einzelnen Richtlinien </span></li>
<li><span style="font-family: Verdana,sans-serif;">Der GUID jeder Richtlinie</span></li>
</ul>
<span style="font-family: Verdana,sans-serif;">Vereinzelt werden dennoch spezielle Richtlinieneinstellungen innerhalb des GPC gespeichert. Hierzu gehören Einstellungen wie: </span><br />
<ul>
<li><span style="font-family: Verdana,sans-serif;">Wired Network Policies (802.3) </span></li>
<li><span style="font-family: Verdana,sans-serif;">Wireless Network Policies (802.11) </span></li>
<li><span style="font-family: Verdana,sans-serif;">Deployed Printer Connections</span></li>
</ul>
<span style="font-family: Verdana,sans-serif;"><b>GPT - Group Policy Template:</b> <br />Hier sind die eigentlichen Einstellungen hinterlegt.</span><span style="font-family: Verdana,sans-serif;">Beim GPT handelt es sich um eine Netzwerkfreigabe namens "SYSVOL".<br /><br />Pro Richtlinie gibt es jeweils ein Verzeichnis.<br />Der Verzeichnisname entspricht dem GUID der Richtlinie.</span> <span style="font-family: Verdana,sans-serif;"><br /> Der GPC und GPT werden unterschiedlich repliziert.<br /> Der GPC wird über die Active Directory Replikation wie alle anderen AD-Objekte repliziert. Die Replikation des GPT übernimmt der FRS (File Replication Service) oder unter Server 2008 (falls konfiguriert) DFS-R.<br /><br /> GPC und GPT besitzen jeweils eine eigene Versionierung.<br /> Stimmt die Versionsnummer der beiden Richtlinienanteile im GPC und GPT nicht überein, so treten Probleme bei der Anwendung der Richtlinie auf.</span><span style="font-family: Verdana,sans-serif;"> Zu bedenken ist auch, dass die Replikation unter Umständen einen größeren Zeitraum in Anspruch nehmen kann. <br /> Dies gilt insbesondere für Replikationen die nicht innerhalb einer Active Directory Site stattfinden.</span><br />
<br />
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;">Replikationsprobleme erkennen</span></span><br />Der erste Anhaltspunkt sollte wie so oft die Ereignisanzeige sein. </span> <span style="font-family: Verdana,sans-serif;"><br />Ereigniskategorien die ihr unbedingt prüfen solltet:</span><span style="font-family: Verdana,sans-serif;"></span> <br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjUXJdQpaj3Ds1BVopGnjioCItEn-aLQI2G4D_AA-Vx1bICzMw50TU0iFZVwTeCDvB5QzKE2cjPyz5CYISA1LyPh4zH-nQAFc0FtmGwqZwVnToYoKzkxcxeWQH57hKBzxVAlezcuhjOs2w/s1600/Clipboard02.jpg" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjUXJdQpaj3Ds1BVopGnjioCItEn-aLQI2G4D_AA-Vx1bICzMw50TU0iFZVwTeCDvB5QzKE2cjPyz5CYISA1LyPh4zH-nQAFc0FtmGwqZwVnToYoKzkxcxeWQH57hKBzxVAlezcuhjOs2w/s1600/Clipboard02.jpg" /></a><span style="font-family: Verdana,sans-serif;"><br /><br /> <b>Weitere Tools um die AD-Funktionalität und Replikation zu überprüfen:</b></span><br />
<ul>
<li><span style="font-family: Verdana,sans-serif;"><a href="http://technet.microsoft.com/de-de/library/cc731968%28v=ws.10%29.aspx">dcdiag</a><br />Der Klassiker für die AD-Diagnose. </span></li>
<li><span style="font-family: Verdana,sans-serif;"><a href="http://www.microsoft.com/en-us/download/details.aspx?id=17657">GPOTool</a><br />Das GPOTool ist schon etwas in die Jahre gekommen. Dennoch bietet es noch zuverlässige Dienste. Mit dem GPOTool können die einzelnen Richtlinienversionen auf den verschiedenen Domaincontrollern verglichen werden. </span></li>
<li><span style="font-family: Verdana,sans-serif;"><a href="http://technet.microsoft.com/de-de/library/jj574108.aspx#BKMK_gpinfra">Die GPMC von Server 2012</a> (und Windows 8).<br />Hier können nun unter dem Reiter "Status" die Versionsstände verglichen werden.<br />(in der Testumgebung des Screenshots gab es nur einen DC, deshalb wird bei beiden Werten "0" angezeigt) </span></li>
</ul>
<span style="font-family: Verdana,sans-serif;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiOLpcqQTL3BAUTZt4gJP0Gdf5z_qW6LMp-oavN-AcVD-LWY5kiByQHX1jwVyP6mIkZ7y41T51FOIswUFLyExi6e0AjWOCVpdDJGaBOZ2H63xXlkx9QFQJXHbyvA_1mHrpp0dozVdV6SzM/s1600/Clipboard03.jpg"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiOLpcqQTL3BAUTZt4gJP0Gdf5z_qW6LMp-oavN-AcVD-LWY5kiByQHX1jwVyP6mIkZ7y41T51FOIswUFLyExi6e0AjWOCVpdDJGaBOZ2H63xXlkx9QFQJXHbyvA_1mHrpp0dozVdV6SzM/s1600/Clipboard03.jpg" /></a><br /><br /><br /> <span style="color: #0b5394;"><span style="font-size: large;">Auf das Netzwerk warten?</span></span><br />Gruppenrichtlinien können im Vordergrund oder im Hintergrund ausgeführt werden. Vereinfacht könnte man es so bezeichnen:</span><br />
<span style="font-family: Verdana,sans-serif;"><br /> <b>Im Vordergrund = </b><br /> Beim Hochfahren des Rechners<br /> Beim Anmelden Benutzers.</span> <span style="font-family: Verdana,sans-serif;"><br /> <b>Im Hintergrund = </b><br />Zu allen anderen Zeitpunkten werden die Richtlinien "Im Hintergrund" angewendet.<br /><br /> Seit Windows XP beschleunigt eine neue Option names "Fast Logon Optimization" das Booten und Anmelden. <br /> Allerdings hat dies negative Auswirkungen auf die Anwendung von Gruppenrichtlinien. Fast Logon lässt sich mittels dieser Einstellung deaktivieren:</span> <span style="font-family: Verdana,sans-serif;"><br /></span> <span style="font-family: Verdana,sans-serif;"><a href="http://gpsearch.azurewebsites.net/#1839"><br />http://gpsearch.azurewebsites.net/#1839</a><br /> <br />Zusätzlich sollte auch noch das Anmeldeverhalten geändert werden:</span> <span style="font-family: Verdana,sans-serif;"><a href="http://gpsearch.azurewebsites.net/#2302"><br /><br />http://gpsearch.azurewebsites.net/#2302</a><br /> <br />(genau genommen beeinflussen sich technisch beide Richtlinieneinstellungen)</span> <span style="font-family: Verdana,sans-serif;"><br /> Die Deaktivierung der "Fast Logon Optimization" ist eine sinnvolle Sache. <br /> Jedoch kann dies Verzögerungen im Start- und Anmeldeprozess des Rechners verursachen. Bevor die Policies abgearbeitet werden können, arbeitet die GPSVC-Engine mit dem Dienst NLA (Network Location Awareness) zusammen.<br /><br /> Es wird sichergestellt, dass das Netzwerk erfolgreich initialisiert wurde, bevor die Richtlinien abgearbeitet werden.<br /> Treten in diesem Zusammenhang Fehler auf, so sollte nicht einfach die Fast Logon Optimization wieder aktiviert werden, sondern man sollte der Ursache des Problems auf den Grund gehen.</span> <span style="font-family: Verdana,sans-serif;"> <br /><br /><b>Hierzu können Ursachen gehören wie:</b></span><br />
<ul>
<li><span style="font-family: Verdana,sans-serif;">Netzwerktreiber die während des Bootvorgangs eine lange Zeit zum Initialisieren benötigen </span></li>
<li><span style="font-family: Verdana,sans-serif;">WLAN Verbindungen mit gleichzeitigen LAN Verbindungen die den NLA Dienst beschäftigen </span></li>
<li><span style="font-family: Verdana,sans-serif;">Falsch konfigurierte Switche (<a href="http://social.technet.microsoft.com/Forums/de-DE/gruppenrichtliniende/thread/87c34f19-4028-49ef-93d4-aee71a0d016f/">Portfast nicht aktiviert</a>) </span></li>
<li><span style="font-family: Verdana,sans-serif;">Firewalleinstellungen blockieren den Netzwerk-Traffic während des Bootens</span></li>
</ul>
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;">Wie kann man feststellen ob Richtlinieneinstellungen angewendet werden? </span></span><br />Ist der Fehler noch nicht im Detail bekannt, sollte man zunächst einmal überprüfen ob der Client die Einstellungen anwendet. <br /> Diese Methode bezieht sich ebenfalls auf die Logikfehler von <a href="http://matthiaswolf.blogspot.de/2013/03/der-groe-group-policy-troubleshooting.html">Teil 1</a> des Guides.<br /><br /> Die meisten Tools beziehen ihre Daten mittels des <a href="http://technet.microsoft.com/en-us/library/cc782615%28v=ws.10%29.aspx">RSoP</a> (Resultant Set of Policies). Dieser ermittelt die benötigten Daten per WMI (Windows Management Instrumentation). </span><span style="font-family: Verdana,sans-serif;"></span><br />
<blockquote class="tr_bq">
<b><span style="font-family: Verdana,sans-serif;"><span style="color: #38761d;">Tipp:</span></span></b><br />
<span style="font-family: Verdana,sans-serif;"><span style="color: #38761d;"> Den genauen Prozess findet ihr <a href="http://msdn.microsoft.com/en-us/library/windows/desktop/aa374869%28v=vs.85%29.aspx">hier</a>.</span></span><br />
<span style="font-family: Verdana,sans-serif;"></span></blockquote>
<span style="font-family: Verdana,sans-serif;"><b>Die wichtigsten Tools:</b></span><br />
<ul>
<li><span style="font-family: Verdana,sans-serif;">rsop.msc - Hierbei handelt es sich um ein MMC-SnapIn, das die Daten des RSoP ermittelt. Rsop.msc ist allerdings nicht auf dem aktuellen technischen Stand. Das SnapIn kann keine Daten der Group Policy Preferences anzeigen. Die Darstellung orientiert sich am Group Policy Editor. </span></li>
<li><span style="font-family: Verdana,sans-serif;">gpresult /r - Es handelt sich um ein Kommandozeilentool welches die angewendeten und abgelehnten Richtlinien anzeigt. </span></li>
<li><span style="font-family: Verdana,sans-serif;">gpresult /h - Es wird ein html-Bericht generiert. Diese Methode sollte die Standardmethode zum Ermitteln der GPO-Daten sein. Es handelt sich um eine Kombination aus gpresult /r und rsop.msc. Der Vorteil: Hier werden auch Daten der Preferences angezeigt. </span></li>
<li><span style="font-family: Verdana,sans-serif;">GPMC - Gruppenrichtlinienergebnisse</span></li>
<li><span style="font-family: Verdana,sans-serif;"> Die GPMC bietet ebenfalls die Möglichkeit einen RSoP remote zu erstellen. </span><br /><span style="font-family: Verdana,sans-serif;">Zu beachten ist allerdings, dass hierzu am Client einige <a href="http://technet.microsoft.com/en-us/library/jj572986.aspx">Firewallausnahmen</a> definiert werden müssen.</span></li>
</ul>
<span style="font-family: Verdana,sans-serif;"> </span><ul>
</ul>
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;">Wo finde ich GPO-Eventlogs?</span></span><br />Die erste Anlaufstelle sollte immer das Eventlog sein.<br /> Die verschiedenen Events finden sich primär in diesen Kategorien:</span><br />
<ul>
<li><span style="font-family: Verdana,sans-serif;">Anwendung (vereinzelt) </span></li>
<li><span style="font-family: Verdana,sans-serif;">System </span></li>
<li><span style="font-family: Verdana,sans-serif;">Anwendungs- und Dienstprotokolle > Microsoft > Windows > GroupPolicy (ab Windows Vista verfügbar) </span> <span style="font-family: Verdana,sans-serif;">Das letzte Log ist hierbei am umfangreichsten:</span></li>
</ul>
<span style="font-family: Verdana,sans-serif;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjA1Ju4beUQzoL0Nwhyh4GfuW5ErnCvPxcxnvjKYqz7kvqxj-1ybQ_KThv-y_I1oar_6Dhrbe5E-9ouvPRP7332XJiKVvoRvSFB8ZlCiOOHp3m-L6EJpqCsb7i9E39uvDMhimEFJomWaUQ/s1600/Clipboard04.jpg"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjA1Ju4beUQzoL0Nwhyh4GfuW5ErnCvPxcxnvjKYqz7kvqxj-1ybQ_KThv-y_I1oar_6Dhrbe5E-9ouvPRP7332XJiKVvoRvSFB8ZlCiOOHp3m-L6EJpqCsb7i9E39uvDMhimEFJomWaUQ/s320/Clipboard04.jpg" /></a></span><span style="font-family: Verdana,sans-serif;"><br /> </span><br />
<span style="font-family: Verdana,sans-serif;">Der Eventviewer von Windows XP und Server 2003 besitzt noch keine Anwendungs- und Dienstprotokolle.</span><br />
<blockquote class="tr_bq">
<span style="color: #38761d;"><b><span style="font-family: Verdana,sans-serif;">Tipp:</span></b><br /><span style="font-family: Verdana,sans-serif;"> Mehr Informationen findet ihr <a href="http://technet.microsoft.com/en-us/library/cc749336%28v=ws.10%29.aspx">hier</a>.</span></span><br />
<span style="font-family: Verdana,sans-serif;"></span></blockquote>
<span style="font-family: Verdana,sans-serif;"></span><span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;">Welche Logfiles werden geschrieben?</span></span><br />Zunächst einmal werden keine Logfiles geschrieben. Im Problemfall muss das Logging aktiviert werden.</span> <span style="font-family: Verdana,sans-serif;"><br /> </span><br />
<span style="font-family: Verdana,sans-serif;"><b>Logging des Gruppenrichtliniendienstes:</b><br /> Hierbei handelt es sich um das Logfile der GPSVC-Engine.<br /> Dieses Logfile ist als Zusammenfassung der verschiedenen Client Side Extensions zu sehen. Das Logfile ist relativ umfangreich und lässt sich am besten mit dem Tool "Policy Reporter" auswerten.</span> <span style="font-family: Verdana,sans-serif;"> </span><br />
<br />
<span style="font-family: Verdana,sans-serif;"><a href="http://www.sysprosoft.com/policyreporter.shtml">www.sysprosoft.com/policyreporter.shtml</a></span> <span style="font-family: Verdana,sans-serif;"> </span><br />
<br />
<span style="font-family: Verdana,sans-serif;">Das Programm ist kostenlos und wertet unter anderem die Zeitdauer einzelnen Prozessschritte aus.</span> <span style="font-family: Verdana,sans-serif;"></span><br />
<blockquote class="tr_bq">
<span style="color: #38761d;"><b><span style="font-family: Verdana,sans-serif;">Tipp:</span></b><br /><span style="font-family: Verdana,sans-serif;"> In meinem Post "<a href="http://matthiaswolf.blogspot.de/2012/06/gpsvc-logging-aktivieren.html">Das gpsvc-logging aktivieren</a>" erfahrt ihr wie ihr das Logging aktiviert. </span></span><br />
<span style="font-family: Verdana,sans-serif;"></span></blockquote>
<span style="font-family: Verdana,sans-serif;">Unter Windows XP und Server 2003 gibt es noch kein gpsvc.log.<br /> Dort lässt sich das <a href="http://support.microsoft.com/kb/221833/de">userenv-logging aktivieren</a>.<br /> Dieses wird allerdings nicht nur für Fehlerdiagnose der Gruppenrichtlinienanwendung verwendet, sondern hat noch andere Funktionen und lässt sich deshalb schlechter auswerten.</span> <span style="font-family: Verdana,sans-serif;"> </span><br />
<br />
<span style="font-family: Verdana,sans-serif;">Der Policy Reporter kann mit beiden Logdateien umgehen.</span> <span style="font-family: Verdana,sans-serif;"><br /> </span><br />
<span style="font-family: Verdana,sans-serif;"><b>Fehler beim Anwenden von Sicherheitseinstellungen:</b><br /> Fehler beim Abarbeiten von Sicherheitseinstellungen (Berechtigungen auf Registry Schlüssel, Dateien, Diensten, Vergabe von Benutzerrechten usw.) werden in einer separaten Logdatei festgehalten. <br /> Das File befindet sich unter %SYSTEMROOT%\security\logs\winlogon.log.</span><br />
<br />
<span style="font-family: Verdana,sans-serif;"><a href="http://support.microsoft.com/kb/324383/de%25SYSTEMROOT%25%5Csecurity%5Clogs%5Cwinlogon.log">http://support.microsoft.com/kb/324383/de</a></span> <span style="font-family: Verdana,sans-serif;"><b> </b></span><br />
<br />
<span style="font-family: Verdana,sans-serif;"><b>Fehler innerhalb der GPMC:</b><br />Treten Fehler in der GPMC beim Erstellen oder Ändern von Richtlinien auf, so kann das GPMC-logging aktiviert werden.</span><br />
<br />
<span style="font-family: Verdana,sans-serif;"><a href="http://technet.microsoft.com/en-us/library/cc737379%28v=ws.10%29.aspx">http://technet.microsoft.com/en-us/library/cc737379%28v=ws.10%29.aspx</a></span><br />
<blockquote class="tr_bq">
<span style="color: #38761d;"><b><span style="font-family: Verdana,sans-serif;">Tipp:</span></b><br /><span style="font-family: Verdana,sans-serif;"> Eine umfangreiche Liste der Logfiles findet ihr <a href="http://technet.microsoft.com/en-us/library/cc775423%28v=ws.10%29.aspx">hier</a>.</span></span><br />
<span style="font-family: Verdana,sans-serif;"></span></blockquote>
<span style="font-family: Verdana,sans-serif;"></span> <span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;">Wie kann das Verhalten einzelner CSEs analysiert werden?</span></span><br />Neben den einzelnen Logfiles (wie oben genannt) werden auch noch Einträge für diverse CSEs im Eventlog geschrieben.</span> <span style="font-family: Verdana,sans-serif;"></span><br />
<span style="font-family: Verdana,sans-serif;"><br /><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhME5TyfC9tOahSFsOXksizZmIeX7Y0GycrPNKhjcr2FGW40CyFFEPJ_SZ_4gHVrKJMFKnr9upRydF6DPtKtqV3aRSyV6CWKaICBYcmsFSRt7MgSzDnr7_5WTsJRy_9edTzjg87iZ5cRgs/s1600/Clipboard01.jpg"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhME5TyfC9tOahSFsOXksizZmIeX7Y0GycrPNKhjcr2FGW40CyFFEPJ_SZ_4gHVrKJMFKnr9upRydF6DPtKtqV3aRSyV6CWKaICBYcmsFSRt7MgSzDnr7_5WTsJRy_9edTzjg87iZ5cRgs/s1600/Clipboard01.jpg" /></a><br /><br /> Für die Client Side Extension der Group Policy Preferences können einzelne Logfiles geschrieben werden. Diese nennen sich "Tracing-Files" und können wie folgt aktiviert werden.</span><br />
<br />
<span style="font-family: Verdana,sans-serif;"><a href="http://blogs.technet.com/b/askds/archive/2008/07/18/enabling-group-policy-preferences-debug-logging-using-the-rsat.aspx">http://blogs.technet.com/b/askds/archive/2008/07/18/enabling-group-policy-preferences-debug-logging-using-the-rsat.aspx</a><br /><br /><span style="color: #0b5394;"><span style="font-size: large;">Exotische GPO Tools?</span></span><br />Es gibt noch etliche mehr oder weniger bekannte GPO Tools.</span><span style="font-family: Verdana,sans-serif;"><br />Diese können im speziellen Falle hilfreich sein, jedoch würde ich diese Tools nicht überbewerten. Viele dieser Tools werden nicht weiterentwickelt und sind veraltet. </span><br />
<ul></ul>
<ul>
<li><span style="font-family: Verdana,sans-serif;"><a href="http://technet.microsoft.com/en-us/library/cc739095%28v=ws.10%29.aspx">Dcgpofix.exe</a><br />Damit lassen sich die Default Policies der Domäne wiederherstellen. </span></li>
<li><span style="font-family: Verdana,sans-serif;"><a href="http://www.microsoft.com/en-us/download/details.aspx?id=17657">GPMonitor.exe</a><br />Der GPMonitor sammelt Daten über die Anwendung von Richtlinien und kann diese an einer zentralen Stelle im Netzwerk speichern. </span></li>
<li><span style="font-family: Verdana,sans-serif;"><a href="http://technet.microsoft.com/en-us/library/cc784165%28v=ws.10%29.aspx">GPOTool.exe</a><br />Vergleicht die SYSVOL und AD Versionen auf allen DCs. </span></li>
<li><span style="font-family: Verdana,sans-serif;"><a href="http://technet.microsoft.com/en-us/magazine/dd315424.aspx">GPLogView</a><br />Kann ab Windows Vista eingesetzt werden. Das Tool sammelt Informationen aus dem Eventlog. Sehr interessant ist auch die Möglichkeit "live" zu loggen. (Option -m) </span></li>
<li><span style="font-family: Verdana,sans-serif;"><a href="http://www.gruppenrichtlinien.de/artikel/die-scripte-der-gpmc-das-unbekannte-feature/">GPMC-Skripte</a><br />Backup, Restore, Importieren, Exportieren uvm. </span></li>
</ul>
<ul></ul>
Matthias Wolfhttp://www.blogger.com/profile/05564512349340522110noreply@blogger.com3tag:blogger.com,1999:blog-4828071326601170739.post-45851346840838977212013-03-15T08:28:00.001+01:002013-03-15T08:28:11.230+01:00Der große Group Policy Troubleshooting Guide - Teil 1/3<span style="font-family: Verdana, sans-serif; font-size: small;">Im ersten Teil der Reihe "Der große Group Policy Troubleshooting Guide"</span><br />
<span style="font-family: Verdana, sans-serif; font-size: small;">geht es um Fehler, die eigentlich keine sind. Man könnte diese Fehler als "Denkfehler" bezeichnen.<br /> </span><br />
<span style="font-family: Verdana, sans-serif; font-size: small;">Damit Richtlinien überhaupt angewendet werden können, muss der Client diese sehen und darauf zugreifen können.</span><br />
<br />
<span style="font-family: Verdana, sans-serif;"><span style="font-size: large;"><span style="color: #0b5394;">Scope of Management </span></span></span><br />
<span style="font-family: Verdana, sans-serif;">Microsoft bezeichnet den Verwaltungs- / Wirkungsbereich von Richtlinen SOM = Scope of Management.<br /><br />Im SOM der Policy finden sich alle Clients / Benutzer die die Policy anwenden können.<br /><br />Nehmen wir zum Beispiel eine Policy "GPO-01", die User Settings enthält.</span><br />
<span style="font-family: Verdana, sans-serif;"><br /><span style="font-family: "Courier New",Courier,monospace;">└───Users<br /> └───Sales-01<br /> └───Sales-02 -- GPO-01</span><br /><br />Ist die Policy auf der OU <span style="font-size: small;">"</span>Sales-02" verlinkt, so ist der SOM der Policy <br />die OU "Sales-02". Im Wirkungsbereich der Policy befinden sich alle <br />User in dieser OU. User von "Sales-01" befinden sich also <b>nicht </b>im SOM der GPO-01.</span><br />
<span style="font-family: Verdana, sans-serif;"><br />Wäre die Richtlinie allerdings an oberster Stelle auf der Domänenebene verlinkt, so umfasst der SOM die gesamte Domäne.<br /><br />Richtlinien lassen sich auf verschiedenen Ebenen verknüpfen:</span><br />
<ul>
<li><span style="font-family: Verdana, sans-serif;">Auf AD-Standorten (Site)</span></li>
</ul>
<ul>
<li><span style="font-family: Verdana, sans-serif;">Auf der Domänenebene</span></li>
</ul>
<ul>
<li><span style="font-family: Verdana, sans-serif;">Auf Organisationseinheiten</span></li>
</ul>
<span style="font-family: Verdana, sans-serif;">Benutzer und Computer die sich nicht im Wirkungsbereich einer Policy befinden, können diese auch nicht anwenden.</span><br />
<br />
<span style="font-family: Verdana, sans-serif;"><span style="font-size: large;"><span style="color: #0b5394;">Benutzer<span style="font-size: large;">- und Computer<span style="font-size: large;">einstellungen - Policies richtig verkn<span style="font-size: large;">üpfen</span></span></span></span></span></span><br />
<div class="separator" style="clear: both; text-align: left;">
<span style="font-family: Verdana;">Jede Richtlinie ist in Computer- und Benutzereinstellungen aufgeteilt.</span></div>
<span style="font-family: Verdana;">Beinhaltet eine Richtlinie
beispielsweise Benutzereinstellungen, so muss diese auch mit einer OU
verknüpft werden, die User enthält. <br />
</span><span style="font-family: Verdana;"><br />
Einfaches Beispiel: Wir haben eine "Test-GPO-USR" die ausschließlich
Benutzereinstellungen enthält. Die Active Directory Struktur schaut wie
folgt aus:<br />
<br />
<span style="font-family: "Courier New",Courier,monospace;"><b>└───domain.intern<br />
├───germany<br />
│ ├───com<br />
│ └───usr<br />
└───usa<br />
├───com<br />
└───usr</b></span><br />
</span><br />
<div class="separator" style="clear: both; text-align: left;">
</div>
<div class="separator" style="clear: both; text-align: left;">
<span style="font-family: Verdana,sans-serif;">Die Policy soll nun für alle Benutzer der OU "germany" angewendet werden.</span></div>
<span style="font-family: Verdana,sans-serif;">Dies wird erreicht, indem die Policy wie folgt verlinkt wird:</span><br />
<br />
<span style="color: #6aa84f; font-family: Courier New;"><b>└───domain.intern<br />
├───germany<br />
│ ├───com<br />
│ └───usr ---- Test-GPO-USR<br />
└───usa<br />
├───com<br />
└───usr</b></span><br />
<div class="separator" style="clear: both; text-align: left;">
</div>
<span style="font-family: Verdana,sans-serif;">Wird die Policy fälschlicherweise wie folgt verlinkt, hat diese keine Auswirkung:</span><br />
<br />
<span style="color: red; font-family: Courier New;"><b>└───domain.intern<br /> ├───germany<br />
│ ├───com --- Test-GPO-USR<br />
│ └───usr<br /> └───usa<br />
├───com<br />
└───usr</b></span><br />
<br />
<div class="separator" style="clear: both; text-align: left;">
</div>
<div class="separator" style="clear: both; text-align: left;">
<span style="font-family: Verdana,sans-serif;"><b>Die Policy muss immer anhand ihrer Einstellungen verlinkt werden.</b></span></div>
<span style="font-family: Verdana,sans-serif;">Enhält sie nur Computereinstellungen:</span><br />
<span style="font-family: Verdana,sans-serif;">Mit einer OU, die Computerkonten enthält.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Enhält sie nur Benutzereinstellungen:</span><br />
<span style="font-family: Verdana,sans-serif;">Mit einer OU, die Benutzerkonten enthält.</span><br />
<br />
<span style="font-family: Verdana;">Merken. Merken. Merken.<br />Versteht man diese Logik nicht, wird man definitiv auf Probleme bei der Anwendung von Richtlinien stoßen.</span><br />
<br />
<span style="font-family: Verdana, sans-serif;">Mehr zu diesem Thema in meinem vergangenen Artikel:<br /><a href="http://matthiaswolf.blogspot.de/2011/12/lies-of-gpo-3.html">http://matthiaswolf.blogspot.de/2011/12/lies-of-gpo-3.html</a></span><br />
<br />
<span style="color: #0b5394;"><span style="font-size: large;"><span style="font-family: Verdana, sans-serif;">Loopback Processing:</span></span></span><span style="font-family: Verdana, sans-serif; font-size: small;"><span style="color: #0b5394;"><span style="font-size: large;"></span></span></span><br />
<span style="font-family: Verdana, sans-serif; font-size: small;">Loopback Processing ist eine Einstellung, die das Verhalten der GP<span style="font-size: small;">SVC-Engine verändert. Diese Einstellung gilt immer für alle Richtlinien die ein <span style="font-size: small;">Co<span style="font-size: small;">mputer anwendet.<span style="font-size: small;"> <br />Die <span style="font-size: small;">Anwendung der Computereinstellungen werden nicht beeinflusst.</span></span></span></span></span></span><br />
<span style="font-family: Verdana, sans-serif; font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;">Nur die Benutzereinstellungen werden anders angewendet.</span></span><br /><br />Es gibt zwei Varianten von <span style="font-size: small;">Loopback<span style="font-size: small;">.</span></span></span></span></span></span></span><br />
<span style="font-size: small;"><br /></span>
<span style="font-size: small;"><span style="font-family: Verdana,sans-serif;"><b>Loopback Merge:</b><br />Hierbei entstehen zwei <span style="font-size: small;">GPO Durchläufe.<br />Der erste D<span style="font-size: small;">urchlauf <span style="font-size: small;">läuft wie g<span style="font-size: small;">ewohnt ab, <span style="font-size: small;">die Benutzereinstellungen werden anhand der Position des Benutzerobjekts im Active Directory<span style="font-size: small;"> abgearbeitet.</span></span></span></span></span></span></span></span><br />
<span style="font-size: small;"><span style="font-family: Verdana,sans-serif;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;">Ist dieser Prozess a<span style="font-size: small;">bgeschlossen, <span style="font-size: small;">wird der Suchfilter<span style="font-size: small;"> geändert.<br />Nun <span style="font-size: small;">startet ein <span style="font-size: small;">zweiter <span style="font-size: small;">Durchlauf, hierbei ist allerdings <span style="font-size: small;">die Position des Computerobjekts im Active Directory entscheidend.</span></span></span></span></span></span></span></span></span></span></span></span></span></span></span><br />
<span style="font-size: small;"><span style="font-family: Verdana,sans-serif;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;">Zum <span style="font-size: small;">Verständ<span style="font-size: small;">nis noch einmal, es geht nur um die Anwendung der Benutzereinstellungen.</span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span><br />
<span style="font-size: small;"><span style="font-family: Verdana,sans-serif;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;">Loopback Merge verdoppelt die <span style="font-size: small;">A<span style="font-size: small;">barbeitungszeit der Richtlinien nahezu.</span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span><br />
<br />
<span style="font-size: small;"><span style="font-family: Verdana,sans-serif;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><b>Loopback Replace:</b><br />Bei Replace <span style="font-size: small;">ist nur noch die Position des Computerobjekts entscheidend.<span style="font-size: small;"> </span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span>Es gibt nur einen Durchlauf<span style="font-size: small;">. </span><br />
<span style="font-size: small;"><span style="font-family: Verdana,sans-serif;"><span style="font-size: small;"></span></span></span><br />
<br />
<span style="font-size: small;"><span style="font-family: Verdana,sans-serif;"><span style="font-size: small;">Loo<span style="font-size: small;">pback ist ein komplexes Thema.<br />Deshalb noch ein <span style="font-size: small;">paar Hintergrundinformationen:<br /><br /><a href="http://evilgpo.blogspot.de/2012/02/loopback-demystified.html">http://evilgpo.blogspot.de/2012/02/loopback-demystified.html</a><a href="http://www.msxfaq.de/verschiedenes/gpo.htm"><span style="font-size: small;"><br />http://www.msxfaq.de/verschiedenes/gpo.htm</span></a></span><br /><span style="font-size: small;">Wichtig, ab Windows Vista müssen die Sic<span style="font-size: small;">herheitseinstellung der Richtlinien angepasst werden:<br /><br /><a href="http://matthiaswolf.blogspot.de/2011/11/gpo-loopback-benotigt-leserechte-fur.html">http://matthiaswolf.blogspot.de/2011/11/gpo-loopback-benotigt-leserechte-fur.html</a></span></span></span></span></span></span><br />
<br />
<span style="font-family: Verdana, sans-serif; font-size: small;"><span style="color: #0b5394;"><span style="font-size: large;">Zur Wiederholung:</span></span> </span><br />
<span style="font-family: Verdana, sans-serif; font-size: small;">Damit Richtlinien überhaupt angewendet werden können, muss der Client diese <b>sehen (Sco<span style="font-size: small;">pe of Man<span style="font-size: small;">agement)</span></span> </b>und darauf zugreifen können.</span><br />
<span style="background-color: #0b5394;"><span style="font-family: Verdana, sans-serif; font-size: large;"><span style="background-color: white;"></span><span style="color: #0b5394;"><br /><span style="background-color: white;">Filtern von Richtlinien / Einschränken des SOM</span></span></span></span><br />
<span style="font-family: Verdana, sans-serif;">Innerhalb des Active Directory lässt sich eine gruppenrichtlinienoptimierte Aufteilung realisieren. Allerdings wird es immer wieder Richtlinien und Einstellungen geben, die nur für eine kleinere Benutzer- bzw. Computergruppe gelten sollen. Um dies zu realisieren bieten Gruppenrichtlinien die Möglichkeit den SOM weiter einzuschränken. Es gibt verschiedene Filtermechanismen. </span><br />
<ul>
<li><span style="font-family: Verdana, sans-serif;">Sicherheitsfilterungen</span></li>
<li><span style="font-family: Verdana, sans-serif;">WMI-Filterungen</span></li>
<li><span style="font-family: Verdana, sans-serif;">Zielgruppenadressierungen (Item Level Targeting) </span></li>
</ul>
<span style="color: #0b5394;"><span style="font-family: Verdana, sans-serif; font-size: large;">Sicherheitsfilterungen verstehen</span></span><span style="font-family: Verdana, sans-serif;"> </span><br />
<span style="font-family: Verdana, sans-serif;">Um diese Filterungsvariante zu verstehen hilft einem ein einfacher Vergleich.<br />Der Zugriff auf Dateien und Ordner lässt sich mit NTFS Berechtigungen einschränken. So kann zum Beispiel auf Dateiebene eingestellt werden, dass ein Benutzer eine Datei lesen, jedoch nicht bearbeiten kann.</span><br />
<span style="font-family: Verdana, sans-serif;">Hierbei gibt es zwei Möglichkeiten. <br />Es können Berechtigungen <b>zugeteilt </b>oder <b>verweigert </b>werden.</span><br />
<span style="font-family: Verdana, sans-serif;">Verweigerungen haben immer Vorrang gegenüber Zuteilungen.</span><br />
<span style="font-family: Verdana, sans-serif;">Einfaches Beispiel:<br /><br />Der Benutzer Peter ist Mitglied der Gruppen "Einkauf" und "Domain Users".<br />Die Berechtigungseinstellung auf dem Ordner sieht wie folgt aus:</span><br />
<ul>
<li><span style="font-family: Verdana, sans-serif;">Domain Users - Lesen erlaubt, Bearbeiten verweigert</span></li>
<li><span style="font-family: Verdana, sans-serif;">Einkauf - Lesen erlaubt, Bearbeiten erlaubt</span></li>
</ul>
<span style="font-family: Verdana, sans-serif;">Da der Benutzer Mitglied beider Gruppen ist und die Verweigerung Vorrang hat, sieht seine effektive Berechtigung wie folgt aus: Lesen erlaubt.</span><br />
<span style="font-family: Verdana, sans-serif;"><br />Dieses Verfahren lässt sich auf die Gruppenrichtlinien übertragen.<br />Hier gibt es ebenfalls verschiedene Berechtigungsarten.<br />Die Wichtigste davon ist "Gruppenrichlinie übernehmen".<br />Diese ist entscheidend für die Anwendung einer Gruppenrichtlinie.</span><br />
<span style="font-family: Verdana, sans-serif;"><br />Man kann diese Berechtigungen Benutzer- als auch Computerkonten zuteilen.<br /><br />Verweigert man einem Computerkonto die Berechtigung "Gruppenrichtline übernehmen" so wird dieser den Anteil "Computereinstellungen" der jeweiligen Richtlinie nicht anwenden können.</span><br />
<span style="font-family: Verdana, sans-serif;"><span style="font-family: Verdana, sans-serif;">Verweigert man einem Benutzerkonto die
Berechtigung "Gruppenrichtline übernehmen" so wird dieser den Anteil
"Benutzereinstellungen" der jeweiligen Richtlinie nicht anwenden können.</span></span><br />
<blockquote class="tr_bq">
<span style="color: #38761d;"><span style="font-family: Verdana, sans-serif;"><span style="font-family: Verdana, sans-serif;"><b>Tipp:</b></span></span><br /><span style="font-family: Verdana, sans-serif;"><span style="font-family: Verdana, sans-serif;">Nach Möglichkeit nicht den gesamten Zugriff auf die Policy verweigern.</span></span><br /><span style="font-family: Verdana, sans-serif;"><span style="font-family: Verdana, sans-serif;">Dem Benutzer- bzw. Computer sollte das Recht "Lesen" erhalten bleiben um unschöne RSoP (Resultant Set of Policies) Meldungen zu vermeiden.</span></span></span></blockquote>
<span style="color: #0b5394;"><span style="font-family: Verdana, sans-serif; font-size: large;">WMI-Filter verstehen</span></span><span style="font-family: Verdana, sans-serif;"> </span><br />
<span style="font-family: Verdana, sans-serif;"><span style="font-family: Verdana, sans-serif;">WMI Filter sind Abfragen die das WMI (Windows Management Instrumentation) Repository benutzen. Mittels WMI lassen sich nahezu alle computerspezifischen Daten abfragen. Da die WMI Filterung noch vor der Unterscheidung von Benutzer- oder Computereinstellungen stattfindet, lassen sich nur nicht-benutzerspezifische Werte abfragen.</span></span><br />
<blockquote class="tr_bq">
<span style="color: #38761d;"><span style="font-family: Verdana, sans-serif;"><span style="font-family: Verdana, sans-serif;"><b>mehr Informationen:</b></span></span><br /><a href="http://www.microsoft.com/germany/technet/datenbank/articles/600682.mspx"><span style="font-family: Verdana, sans-serif;"><span style="font-family: Verdana, sans-serif;">http://www.microsoft.com/germany/technet/datenbank/articles/600682.mspx</span></span></a><br /><a href="http://blogs.technet.com/b/askperf/archive/2007/06/12/wmi-architecture-basics.aspx"><span style="font-family: Verdana, sans-serif;"><span style="font-family: Verdana, sans-serif;">http://blogs.technet.com/b/askperf/archive/2007/06/12/wmi-architecture-basics.aspx</span></span></a></span></blockquote>
<span style="font-family: Verdana, sans-serif;">WMI Filter können zeitintensive Abfragen ausführen. <br />Schaut euch bitte zu diesem Thema meinen vergangenen Post <br /><a href="http://matthiaswolf.blogspot.de/2011/12/lies-of-gpo-4.html">The lies of GPOs! #4 - "WMI Filter sind nicht performant"</a> an.</span><br />
<span style="font-family: Verdana, sans-serif;"><br /></span>
<span style="font-family: Verdana, sans-serif;">Verkettet man mehrere WMI Filter, so muss man verstehen, dass diese in einer AND Beziehung stehen. Alle Filter müssen den Wert "True" liefern damit die Policy angewendet wird.</span><br />
<span style="font-family: Verdana, sans-serif;"><br /><b>Die Kombination aus folgenden Filtern (Abfrage Betriebssystem und Bittigkeit) wird nie den Wert "True" liefern können:</b><br /><br /><span style="font-family: "Courier New",Courier,monospace;">select * from Win32_OperatingSystem WHERE Version < '5000' AND ProductType="1" AND NOT OSArchitecture = "64-bit"<br /><br />select * from Win32_OperatingSystem WHERE Version > '5000' AND ProductType="1" AND NOT OSArchitecture = "64-bit"<br /><br />select * from Win32_OperatingSystem WHERE Version > '5000' AND ProductType="1" AND OSArchitecture = "64-bit"</span></span><br />
<span style="font-family: Verdana, sans-serif;"></span><br />
<span style="font-family: Verdana, sans-serif;"><br />Es kann in diesem Falle immer nur eine Bedingung erfüllt werden.<br />Würde man also diese drei Filter kombinieren, wäre nur maximal eine Bedingung erfüllt. So würde die Policy nicht angewendet.</span><br />
<span style="font-family: Verdana, sans-serif;"><br /></span>
<br />
<blockquote class="tr_bq">
<span style="color: #38761d;"><span style="background-color: white;"><b><span style="font-family: Verdana, sans-serif;">Tipp:</span></b></span></span><br />
<span style="color: #38761d;"><span style="background-color: white;"><span style="font-family: Verdana, sans-serif;">Abfragen die länger als 30 Sekunden dauern, werden ab </span></span></span><span style="font-family: Verdana;"><span style="background-color: #0b5394;"><span style="background-color: white;"><span style="color: #38761d;">Windows 6.0 SP2 und Windows 6.1 SP1 automatisch mit "False" beantwortet.</span></span></span></span></blockquote>
<br />
<span style="color: #0b5394;"><span style="font-family: Verdana, sans-serif; font-size: large;">Item Level Targeting - jetzt wird es <span style="font-size: large;">granular</span> </span></span><span style="font-family: Verdana, sans-serif;"></span><br />
<span style="font-family: Verdana, sans-serif;">Group Policy Preferences teilen ihre Einstellungen in sogenannten "Elemente / Items" ein. Dies bietet die Möglichkeit viele verschiedene Einstellungen in nur einer Richtlinie darzustellen. <br />Damit nicht alle Einstellung angewendet werden, lassen sich diese einzelnen Items ebenfalls einschränken. Dazu benutzt man das "Item Level Targeting".</span><br />
<span style="font-family: Verdana, sans-serif;">Im ILT gibt es bereits viele vordefinierte Filter.</span><br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhW4eqNNB3KrMx7MFCGtfCR3Z5ys2pLvMlEMjnDdjmM53XpJAHXfGca4lXPVRiHPu1HX3Br8uy2sMG7I_Lb3POAnRvsqMf1P4y1zAOxfuSB0WxWN-BQbGKijgoLIRWMTdafE9FMDtUdo20/s1600/Unbenannt.JPG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="285" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhW4eqNNB3KrMx7MFCGtfCR3Z5ys2pLvMlEMjnDdjmM53XpJAHXfGca4lXPVRiHPu1HX3Br8uy2sMG7I_Lb3POAnRvsqMf1P4y1zAOxfuSB0WxWN-BQbGKijgoLIRWMTdafE9FMDtUdo20/s320/Unbenannt.JPG" width="320" /></a></div>
<span style="font-family: Verdana,sans-serif;"><br />Diese einzelnen Elemente lassen sich gruppieren und sowohl mit <b>AND </b>als auch mit <b>OR </b>Operatoren verknüpfen.</span><br />
<br />
<span style="color: #0b5394;"><span style="font-size: large;"><span style="font-family: Verdana,sans-serif;">F5, F6, F7, F8</span></span></span><br />
<span style="font-family: Verdana,sans-serif;">Eine Besonderheit der Preferences ist wie eben genannt die Granularität.<br />Mittels der Funktionstasten F5-F8 können einzelne Einstellungen aktiviert / deaktiviert werden.</span><br />
<span style="font-family: Verdana,sans-serif;"><br />Vergisst man eine Einstellung zu aktivieren, wird sie nicht am Client angewendet. </span><br />
<blockquote class="tr_bq">
<span style="color: #38761d;"><span style="font-family: Verdana,sans-serif;"><b>Mehr dazu:</b></span><br /><span style="font-family: Verdana,sans-serif;"></span><span style="color: #38761d;"><a href="http://blogs.technet.com/b/grouppolicy/archive/2008/10/13/red-green-gp-preferences-doesn-t-work-even-though-the-policy-applied-and-after-gpupdate-force.aspx"><span style="font-family: Verdana,sans-serif;">http://blogs.technet.com/b/grouppolicy/archive/2008/10/13/red-green-gp-preferences-doesn-t-work-even-though-the-policy-applied-and-after-gpupdate-force.aspx </span></a></span></span><span style="font-family: Verdana,sans-serif;"><br /></span></blockquote>
<br />
<span style="color: #0b5394;"><span style="font-size: large;"><span style="font-family: Verdana,sans-serif;">Weitere <span style="font-size: large;">Denkfehler</span></span></span></span><br />
<span style="font-size: small;"><span style="font-family: Verdana,sans-serif;"><span style="font-size: small;">Neben der M<span style="font-size: small;">issachtung der oben gen<span style="font-size: small;">annten <span style="font-size: small;">Filtermechanismen und der Beachtung des SOM gibt <span style="font-size: small;">es noch weitere Logi<span style="font-size: small;">k<span style="font-size: small;">fehler.</span></span></span></span></span></span></span></span></span> <br />
<span style="font-family: Verdana,sans-serif;">Nachfolgend eine <span style="font-size: small;">Liste <span style="font-size: small;">beliebter Denkfehler i<span style="font-size: small;">m Umgang mit GPOs:</span></span></span></span><br />
<ul>
<li><span style="font-family: Verdana,sans-serif;"><b>Die Richtlinie wurde versehentlich nicht verknüpft.</b> <br />Hier sind wir wieder bei dem Punkt "Gruppenrichtlinien sehen". Nur eine richtig verknüpfte Policy kann auch vom Client gefunden und ggf. angewendet werden. </span></li>
</ul>
<blockquote class="tr_bq">
<span style="font-family: Verdana,sans-serif;"><span style="color: #38761d;"><b>Tipp:</b><br />Ob eine Richtlinie überhaupt verknüpft ist, seht ihr am einfachsten im Reiter "Bereich / Scope" :</span></span></blockquote>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjpFU5DuzpiMzao21O802ao-i1Ssy9bFvdJGPs7ZPXkSgVs6ppVxXoKLov4iOJujvSPlIWex0uLqiavipykM1t2TC0bXq7ztHied942NB-JyvkezNELTapWUIyoHS36gRX5aCwOcVENU-I/s1600/Unbenannt.JPG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="106" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjpFU5DuzpiMzao21O802ao-i1Ssy9bFvdJGPs7ZPXkSgVs6ppVxXoKLov4iOJujvSPlIWex0uLqiavipykM1t2TC0bXq7ztHied942NB-JyvkezNELTapWUIyoHS36gRX5aCwOcVENU-I/s320/Unbenannt.JPG" width="320" /></a></div>
<ul>
<li><span style="font-family: Verdana,sans-serif;"><b>Es wurde versehentlich die Benutzer- bzw. Computerkonfiguration der Richtlinie deaktiviert. </b><br />Deaktivierte Gruppenrichtlinienteile werden nicht angewendet.<br /><b><br /></b></span></li>
<li><b><span style="font-family: Verdana,sans-serif;">Die Vererbung der Richtlinien wird falsch verstanden bzw. missachtet.</span></b><span style="font-family: Verdana,sans-serif;"> Man muss das Rad nicht neu erfinden, deshalb: </span><a href="http://www.gruppenrichtlinien.de/artikel/vererbung-und-hierarchien/"><span style="font-family: Verdana,sans-serif;">http://www.gruppenrichtlinien.de/artikel/vererbung-und-hierarchien/</span></a><b><span style="font-family: Verdana,sans-serif;"><br /></span></b></li>
</ul>
<br />Matthias Wolfhttp://www.blogger.com/profile/05564512349340522110noreply@blogger.com5tag:blogger.com,1999:blog-4828071326601170739.post-65945857377644370852013-03-15T08:27:00.000+01:002013-05-13T15:36:35.299+02:00Der große Group Policy Troubleshooting Guide<span style="font-family: Verdana,sans-serif;">"Der große Group Policy Troubleshooting Guide", das klingt zunächst einmal mächtig. Da mögen sich einem einige Fragen stellen: </span><br />
<ul>
<li><span style="font-family: Verdana,sans-serif;">Werde ich nun also alles zum Thema GPO-Troubleshooting erfahren?</span></li>
<li><span style="font-family: Verdana,sans-serif;">Kann ich am Ende dieses Tutorials alle GPO-Fehler selbst lösen?</span></li>
<li><span style="font-family: Verdana,sans-serif;">Gpresult und gpupdate sollten doch reichen?</span></li>
<li><span style="font-family: Verdana,sans-serif;">So kompliziert kann das doch nicht sein, oder?</span></li>
</ul>
<span style="font-family: Verdana,sans-serif;">Die Antwort auf die meisten dieser Fragen lautet leider "nein".</span><br />
<span style="font-family: Verdana,sans-serif;">Die Abarbeitung von Group Policies ist ein<span style="font-size: small;"> relativ</span> komplexer Prozess der von vielen Bedingungen abhängig sein kann. Group Policies müssen jedoch nicht kompliziert sein.</span><br />
<span style="color: #0b5394;"><span style="font-family: Verdana,sans-serif;"><br /></span></span>
<span style="color: #0b5394;"><span style="font-size: large;"><span style="font-family: Verdana,sans-serif;">Fehlerkategorien</span></span></span><br />
<br />
<span style="font-size: small;"><span style="font-family: Verdana,sans-serif;"><span style="font-size: small;">Gr<span style="font-size: small;">uppenrichtlinienfehler lassen sich grob in zwei Kategorie<span style="font-size: small;">n ein<span style="font-size: small;">teilen.</span></span></span></span></span></span><br />
<br />
<b><span style="font-size: small;"><span style="font-family: Verdana,sans-serif;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;">1.</span></span></span></span></span></span></span><span style="font-size: small;"><span style="font-family: Verdana,sans-serif;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"> Logische Fehler<span style="font-size: small;"> </span></span></span></span></span></span></span></span></span></b><br />
<br />
<span style="font-size: small;"><span style="font-family: Verdana,sans-serif;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;">Der gr<span style="font-size: small;">ößte Anteil<span style="font-size: small;"> an Problemen tritt aufgrund von Denkfehlern auf.</span></span></span></span></span></span></span></span></span></span></span><br />
<span style="font-size: small;"><span style="font-family: Verdana,sans-serif;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;">V<span style="font-size: small;">ielen is<span style="font-size: small;">t das genaue Zusammenspiel zwischen Sicherheitsfilterungen, <br />WMI Filtern, Loopback Processing und vor allem dem sog<span style="font-size: small;">e<span style="font-size: small;">nannten SOM (Scope of Mana<span style="font-size: small;">gement)<span style="font-size: small;"><span style="font-size: small;"> </span>nicht bekannt.</span> </span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span><br />
<br />
<b><span style="font-size: small;"><span style="font-family: Verdana,sans-serif;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;">2. Technische Fehler </span></span> </span></span></span></span></span></span></b><br />
<br />
<span style="font-size: small;"><span style="font-family: Verdana,sans-serif;"><span style="font-size: small;"><span style="font-size: small;">Die zweite Kategorie umfasst Fehlkonfigurationen<span style="font-size: small;">, Netzwerk<span style="font-size: small;">probleme<span style="font-size: small;"> und</span> Replikationsprobleme<span style="font-size: small;"><span style="font-size: small;">.</span> </span></span></span></span></span></span></span> <br />
<br />
<span style="color: #0b5394;"><span style="font-size: large;"><span style="font-family: Verdana,sans-serif;"><span style="font-size: large;">Inhalt</span><span style="color: black;"><span style="font-size: small;"><span style="font-size: small;"><span style="color: #0b5394;"><span style="font-size: large;"> des Guides</span></span><b> </b></span></span></span></span></span></span><br />
<br />
<span style="color: #0b5394;"><span style="font-size: large;"><span style="font-family: Verdana,sans-serif;"><span style="color: black;"><span style="font-size: small;"><span style="font-size: small;"><a href="http://matthiaswolf.blogspot.de/2013/03/der-groe-group-policy-troubleshooting.html"><b>Teil 1:</b></a><br /><span style="font-size: small;">Der erste Teil behan<span style="font-size: small;">delt <span style="font-size: small;">Fehler der Kategorie 1.</span></span></span><b> </b></span></span></span></span></span></span><br />
<span style="color: #0b5394;"><span style="font-size: large;"><span style="font-family: Verdana,sans-serif;"><span style="color: black;"><span style="font-size: small;"><span style="font-size: small;"><a href="http://matthiaswolf.blogspot.de/2013/04/der-groe-group-policy-troubleshooting_5.html"><b>Teil 2:</b></a><br /><span style="font-size: small;">Hier geht es p<span style="font-size: small;">rimär um te<span style="font-size: small;">chnische Fehler.</span></span></span></span></span></span></span></span></span><br />
<ul>
<li><span style="font-size: small;"><span style="font-family: Verdana,sans-serif;">Welche Fehler können auftreten? </span></span></li>
<li><span style="font-size: small;"><span style="font-family: Verdana,sans-serif;">Welche Logfiles werden geschrieben?</span></span></li>
<li><span style="font-size: small;"><span style="font-family: Verdana,sans-serif;"><span style="font-size: small;">Wo finde ich<span style="font-size: small;"> </span>GPO<span style="font-size: small;">-</span>Eventlogs?</span></span></span></li>
<li><span style="font-size: small;"><span style="font-family: Verdana,sans-serif;"><span style="font-size: small;">Wie kann das Verhalten einzelner CSEs<span style="font-size: small;"> analysiert werden?</span> </span> </span></span></li>
</ul>
<a href="http://matthiaswolf.blogspot.de/2013/05/der-groe-group-policy-troubleshooting.html"><b><span style="font-family: Verdana,sans-serif;">Teil 3:</span></b></a><span style="color: #0b5394;"><span style="font-size: large;"><span style="font-family: Verdana,sans-serif;"><span style="color: black;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><br /><span style="font-size: small;">Der letzte Teil umfasst <span style="font-size: small;">das Thema <span style="font-size: small;">GPO-Performance.</span></span></span></span></span></span></span></span></span></span></span><br />
<ul>
<li><span style="color: #0b5394;"><span style="font-size: large;"><span style="font-family: Verdana,sans-serif;"><span style="color: black;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;">Welche Timeouts können beim Abarbeiten von Policies auftreten?</span></span></span></span></span></span></span></span></span></span></span></span></li>
<li><span style="color: #0b5394;"><span style="font-size: large;"><span style="font-family: Verdana,sans-serif;"><span style="color: black;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;">W<span style="font-size: small;">ie lassen sich erhöh<span style="font-size: small;">te Lauf<span style="font-size: small;">zeiten<span style="font-size: small;"> von Policies </span>erkennen?</span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></li>
<li><span style="color: #0b5394;"><span style="font-size: large;"><span style="font-family: Verdana,sans-serif;"><span style="color: black;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;">Wel<span style="font-size: small;">che CSE<span style="font-size: small;">s können erhöhte Laufzeiten verursachen?</span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></li>
<li><span style="font-size: small;"><span style="font-family: Verdana,sans-serif;">Wie wirkt sich das <span style="font-size: small;">Policy<span style="font-size: small;">- und AD Design auf die Laufzeit der <span style="font-size: small;">GPOs aus?</span></span></span></span></span></li>
</ul>
Matthias Wolfhttp://www.blogger.com/profile/05564512349340522110noreply@blogger.com0tag:blogger.com,1999:blog-4828071326601170739.post-40194327221405901702013-02-19T11:51:00.001+01:002013-02-19T13:02:56.045+01:00Lokale Benutzer und Gruppen - Änderungen an Built-in Benutzerkonten<span style="font-family: Verdana,sans-serif;">Die Client Side Extension "Lokale Benutzer und Gruppen" bietet einem die Möglichkeit Änderungen an sogenannten "Built-in" Benutzerkonten durchzuführen. </span><br />
<span style="font-family: Verdana,sans-serif;"><br /><b><i>Built-in user accounts are installed with all Windows NT workstations and servers. These accounts are local to the individual system they are installed on and may have domain-wide access depending on how the computer is set up. The built-in accounts include Administrator, Guest, and System.</i></b></span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">quelle:<br /><a href="http://technet.microsoft.com/en-us/library/cc722455.aspx">http://technet.microsoft.com/en-us/library/cc722455.aspx</a></span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">In der CSE stehen folgende Benutzerkonten zur Auswahl:</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhoWXROVNh8Al7iK2bl0QsRdguZVMumRH5-elJmCiEUVVXYbrL40e0TgRn76xq4lKNZScIU3uMicDrB7jXpxj9Jh84RR1UglX0nFcYLiFsR4cP9NxsgAZjo5QSAKAvAJxC9VUwdnfTwKTs/s1600/Untitled.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="190" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhoWXROVNh8Al7iK2bl0QsRdguZVMumRH5-elJmCiEUVVXYbrL40e0TgRn76xq4lKNZScIU3uMicDrB7jXpxj9Jh84RR1UglX0nFcYLiFsR4cP9NxsgAZjo5QSAKAvAJxC9VUwdnfTwKTs/s320/Untitled.png" width="320" /></a></div>
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;">Die ungünstige Benutzeroberfläche</span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Leider ist die grafische Benutzeroberfläche so gestaltet, dass sich <br />Optionen auswählen lassen, die für Built-in Benutzerkonten nicht zur Verfügung stehen.<br /><br />So kann für einen integrierten Benutzer zum Beispiel kein Ablaufdatum definiert werden. Das GUI lässt dies jedoch zu.</span><br />
<br />
<br />
<span style="color: #0b5394;"><span style="font-size: large;"><span style="font-family: Verdana,sans-serif;">Die logische Folge</span></span></span><br />
<br />
<span style="font-family: Verdana,sans-serif;">Es lassen sich Preference Items definieren die vom Client nie verarbeitet werden können. Die Fehlersuche gestaltet sich schwierig.</span><br />
<span style="font-family: Verdana,sans-serif;"><br />Um euch diese Arbeit zu ersparen erhaltet ihr hier eine Liste von Optionen, <br />die sich verarbeiten bzw. nicht verarbeiten lassen.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"><br /><span style="color: #38761d;"><span style="font-size: large;">Diese Kombinationen funktionieren auf <span style="font-size: large;">Windows 7 und Windows<span style="font-size: large;"> 8</span></span>:</span></span></span><br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj5GXTEHu3X4ziC-317OqWTIuEZyqbu-N6avEOjiKZcfxKExUOkS0O6215EnxEjP-eVPmn_Q8u_NkbZHgS3PrH9oN9mZtdpfq8v6vYLL6PNoZ6dm7SaUcJ70fD0JYXgJAHz48Kxkfl1fm8/s1600/capture_002_15012013_094948.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj5GXTEHu3X4ziC-317OqWTIuEZyqbu-N6avEOjiKZcfxKExUOkS0O6215EnxEjP-eVPmn_Q8u_NkbZHgS3PrH9oN9mZtdpfq8v6vYLL6PNoZ6dm7SaUcJ70fD0JYXgJAHz48Kxkfl1fm8/s320/capture_002_15012013_094948.jpg" width="286" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhih9KexG3TBqLi7hRTFlgUVMd2hnXFgn4yxPd8GFScX3d9EbNgE3DN9eyLX4W_a5jAmN2wAhgk6nngUWbbN4KJ-IgbTGiJzxwX8RK7OpJPVp-7Hi8XQhn2AD_odRtxlUeFR-tPxFNKJZA/s1600/capture_003_15012013_095051.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhih9KexG3TBqLi7hRTFlgUVMd2hnXFgn4yxPd8GFScX3d9EbNgE3DN9eyLX4W_a5jAmN2wAhgk6nngUWbbN4KJ-IgbTGiJzxwX8RK7OpJPVp-7Hi8XQhn2AD_odRtxlUeFR-tPxFNKJZA/s320/capture_003_15012013_095051.jpg" width="286" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgLjBTSlUeqrcuUbK8PIyB1eSVmUrb6NyTjiIJQCracjqMXOrCRedrT2Jvp_Uc7ktUDFFNIKOMKNXfgGzAs0DQmppb8IVrVP7H3FS9irULKYS8qR8AE1U37EjKNwTeeadCB3IOReK8AxMQ/s1600/capture_004_15012013_095253.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgLjBTSlUeqrcuUbK8PIyB1eSVmUrb6NyTjiIJQCracjqMXOrCRedrT2Jvp_Uc7ktUDFFNIKOMKNXfgGzAs0DQmppb8IVrVP7H3FS9irULKYS8qR8AE1U37EjKNwTeeadCB3IOReK8AxMQ/s320/capture_004_15012013_095253.jpg" width="286" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjITjGRG1ytyFmVqPr5cKcCafHqyYDXIo3XVjqBKcxH96VGlCgmsYgYzm4tF4XZTmFNadYHZRmdipAAAdu35K4TtVS3M-4PY6tub4KXu3LmAbbMhnNNor_ci8ZhUoZXSSd9Rx4y78koLF4/s1600/capture_006_15012013_095456.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjITjGRG1ytyFmVqPr5cKcCafHqyYDXIo3XVjqBKcxH96VGlCgmsYgYzm4tF4XZTmFNadYHZRmdipAAAdu35K4TtVS3M-4PY6tub4KXu3LmAbbMhnNNor_ci8ZhUoZXSSd9Rx4y78koLF4/s320/capture_006_15012013_095456.jpg" width="286" /></a></div>
<br />
<span style="font-family: Verdana,sans-serif;"><span style="color: #38761d;"><span style="font-size: large;">Diese Kombinatio<span style="font-size: large;">n funktioniert nur auf Windows 7,<span style="font-size: large;"> nicht auf Windows 8</span></span>:</span></span></span><br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjM8bh74GnTdjAS2sC9LfO7kJa9w4SEx8SkPMdYEuNOzyWXW7Wj_eQgXRLXdAVxQmVZdge0U3eAzIPUJzil6TShG1P_8D4ZBe_C5a7-ijGM_bsXPEPvpJrnAoN8Jw-sq09W8pH7ZZR05gA/s1600/capture_005_15012013_095346.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjM8bh74GnTdjAS2sC9LfO7kJa9w4SEx8SkPMdYEuNOzyWXW7Wj_eQgXRLXdAVxQmVZdge0U3eAzIPUJzil6TShG1P_8D4ZBe_C5a7-ijGM_bsXPEPvpJrnAoN8Jw-sq09W8pH7ZZR05gA/s320/capture_005_15012013_095346.jpg" width="286" /></a></div>
<span style="font-family: Verdana,sans-serif;"><span style="color: #38761d;"><span style="font-size: large;"><br /><span style="color: #cc0000;">Diese Kombinationen funktionieren weder auf <span style="font-size: large;">Windows 7 noch Windows<span style="font-size: large;"> 8</span></span>:</span></span></span></span><br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi8FCm7eDClSb5dRxzRJh61rdFlTDJh8AEbdV7DmmYNULpSvRsXcO17UautVDCShVdEiOKicFb3Q0JqnH1jTcVTvYXrFoAV56WV7tL7DyJogVBcwkXxkYNTuv1x9o__ripOOcuMF71xlAU/s1600/capture_001_15012013_094742.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi8FCm7eDClSb5dRxzRJh61rdFlTDJh8AEbdV7DmmYNULpSvRsXcO17UautVDCShVdEiOKicFb3Q0JqnH1jTcVTvYXrFoAV56WV7tL7DyJogVBcwkXxkYNTuv1x9o__ripOOcuMF71xlAU/s320/capture_001_15012013_094742.jpg" width="286" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg3pHnTUubzqZlUB3_zp4l-h2T42jDe-QWklF6J12Niobm6-pF15EbEHvpMJmrLIvx9m4SmJk-pBfmRrd0mOFNU1m3_bXwazPJfDa-7Q-h4JkfA1UpVkVJaMLHRPWUSwOjrv_-vGoIKBQA/s1600/capture_005_15012013_095346.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg3pHnTUubzqZlUB3_zp4l-h2T42jDe-QWklF6J12Niobm6-pF15EbEHvpMJmrLIvx9m4SmJk-pBfmRrd0mOFNU1m3_bXwazPJfDa-7Q-h4JkfA1UpVkVJaMLHRPWUSwOjrv_-vGoIKBQA/s320/capture_005_15012013_095346.jpg" width="286" /></a></div>
<br />
<span style="font-family: Verdana,sans-serif;"><span style="font-size: large;"><span style="font-size: small;">Unter Windows 8 ist das Verhalten der CSE seltsam.</span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="font-size: large;"><span style="font-size: small;">Selbst wenn <span style="font-size: small;">alle Optionen wie oben dargestellt eingehalten werden, gibt <span style="font-size: small;">es keine <span style="color: #cc0000;"><span style="font-size: small;">100%ige </span></span>Garantie,<span style="font-size: small;"> dass die Einstellungen auch wirklich verarbeitet werden können.<span style="font-size: small;"> <br /><br />Hier noch ein kurzer Workaround in diese<span style="font-size: small;">r Sache<span style="font-size: small;">:</span></span></span></span></span></span></span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><span style="font-size: large;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;"><span style="font-size: small;">Anstatt der <span style="font-size: small;">V</span>erwendung des vordefinierten Elements "Administrator (integriert)"<span style="font-size: small;">, schreibt man einfach den Namen "Administrator" in das Textfeld.</span></span></span></span></span></span></span></span></span></span></span><br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgafQp4Oz0E8bcgi0hzICt_Uo7zntTBbdPVzvKBQv6iaOiHmT_NfLGtrZAhcwyP4nJvPvE3xZBusxE5Zv_sxXAIZq_a4ygKR20q4i6-hsltNmXV143hlKAY3hOC06-aRQ3vRAZ7vRxRvq0/s1600/Untitled.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgafQp4Oz0E8bcgi0hzICt_Uo7zntTBbdPVzvKBQv6iaOiHmT_NfLGtrZAhcwyP4nJvPvE3xZBusxE5Zv_sxXAIZq_a4ygKR20q4i6-hsltNmXV143hlKAY3hOC06-aRQ3vRAZ7vRxRvq0/s320/Untitled.png" width="286" /></a></div>
<br />
<span style="font-size: large;"><span style="font-size: small;"><span style="color: #cc0000; font-family: Verdana, sans-serif; font-size: small;"><strong>Bitte beachtet, dass sich die Namen der Built-in Benutzerkonten je nach Betriebssystemsprache unterscheiden können!</strong></span></span></span>
Matthias Wolfhttp://www.blogger.com/profile/05564512349340522110noreply@blogger.com1tag:blogger.com,1999:blog-4828071326601170739.post-19809876200231255292013-01-24T11:25:00.000+01:002013-01-24T14:19:22.591+01:00PowerShell - Leere Benutzer- und Computerkonfigurationen deaktivieren<span style="font-family: Verdana,sans-serif;">Microsoft's Best Practice schlägt vor, ungenutzte Benutzer- bzw.</span><br />
<span style="font-family: Verdana,sans-serif;">Computerkonfigurationen zu deaktivieren.</span><br />
<br />
<span style="font-family: Verdana,sans-serif;">Mehr Informationen dazu hier:<br /><br /><a href="http://technet.microsoft.com/en-us/magazine/dd673616.aspx">http://technet.microsoft.com/en-us/magazine/dd673616.aspx</a></span><br />
<span style="font-family: Verdana,sans-serif;"><a href="http://support.microsoft.com/kb/315418/en-us">http://support.microsoft.com/kb/315418/en-us</a></span><br />
<br />
<br />
<span style="font-family: Verdana,sans-serif;"><span style="font-size: large;"><span style="color: #0b5394;">Deaktivierung per GPMC<span style="font-size: large;">:</span></span></span></span><br />
<br />
<span style="font-family: Verdana,sans-serif;">Die Deaktivierung kann in der GPMC erfolgen:</span><br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhlUhjWlG_dxw27ahPOtUAa5jbki7t8dhUStPHInLwPoFee0YCYO2PqZQQpZGjoLiV1f0yd07TuMwfB4DoQmaYwslvONe0EXIAxvTvskOuqd9dAutULENLPfg9fP-7lpqPD6HKFTvQiuZI/s1600/Clipboard01.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="131" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhlUhjWlG_dxw27ahPOtUAa5jbki7t8dhUStPHInLwPoFee0YCYO2PqZQQpZGjoLiV1f0yd07TuMwfB4DoQmaYwslvONe0EXIAxvTvskOuqd9dAutULENLPfg9fP-7lpqPD6HKFTvQiuZI/s320/Clipboard01.jpg" width="320" /></a></div>
<br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Das Hauptproblem liegt darin, leere GPOs aufzufinden.</span><br />
<span style="font-family: Verdana,sans-serif;">Bei einer großen Anzahl von GPOs ist die manuelle Methode unbrauchbar.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<br />
<span style="font-family: Verdana,sans-serif;"><span style="font-size: large;"><span style="color: #0b5394;">Deaktivierung per PowerShell:</span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Für die automatische Deaktivierung per PowerShell habe ich ein Skript geschrieben:</span><br />
<span style="font-family: Verdana,sans-serif;"></span><br />
<span style="font-family: Verdana,sans-serif;"><br /><span style="color: #38761d;"><b><span style="font-family: "Courier New",Courier,monospace;"># You will use this script at your own risk.<br />#<br /># Matthias Wolf - MVP Group Policy<br /># http://matthiaswolf.blogspot.com<br />#<br /><br />import-module GroupPolicy<br /><br />$gpos = get-gpo -All<br /><br />foreach ($item in $gpos)<br /><br />{<br /><br /> # Checking if Computer Configuration is empty<br /> if ($item.Computer.DSVersion -eq 0)<br /><br /> {<br /><br /> write-host $item.DisplayName Computer Config is empty<br /> write-host Disabling Computer Config<br /> $item.Computer.Enabled=$false<br /><br /> }<br /> <br /> # Checking if User Configuration is empty<br /> if ($item.User.DSVersion -eq 0)<br /><br /> {<br /><br /> write-host $item.DisplayName User Config is empty<br /> write-host Disabling User Config<br /> $item.User.Enabled=$false<br /><br /> }<br /><br />}</span></b></span><br /><br />Das Skript könnt ihr hier herunterladen.<br /><span style="font-size: small;"><a href="https://skydrive.live.com/redir?resid=62A6D19FFDA7F555!133">Download</a></span></span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-size: large;"><span style="color: #0b5394;"><span style="font-family: Verdana,sans-serif;">Zu beachten:</span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"> Zwei Dinge sind zu beachten.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<i><b><span style="font-family: Verdana,sans-serif;">1. Das Skript verwendet die Versionsnummer der Konfiguration</span></b></i><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhjUYiIAXoK6tB6ju0WCyid0_0rmuLP2vdqcmwpmMxFaJSu29RBMMXRHOCkO06H77dyNZbPTH-3btakxbmg36BtOmxRt9njAbMcm_LI2HRZuYGEheo9vpulGdUJCwSr6W32dHiIidPVO4k/s1600/Clipboard02.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="181" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhjUYiIAXoK6tB6ju0WCyid0_0rmuLP2vdqcmwpmMxFaJSu29RBMMXRHOCkO06H77dyNZbPTH-3btakxbmg36BtOmxRt9njAbMcm_LI2HRZuYGEheo9vpulGdUJCwSr6W32dHiIidPVO4k/s320/Clipboard02.jpg" width="320" /></a></div>
<span style="font-family: Verdana,sans-serif;">Wird die Policy bearbeitet erhöht sich die Versionsnummer.</span><br />
<span style="font-family: Verdana,sans-serif;">Werden die Einstellungen wieder aus der Policy entfernt, <b>erhöht sich ebenfalls die Versionsnummer</b>!</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Bereits verwendete Policies (auch wenn diese mittlerweile leer sind) werden also nicht deaktiviert.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<b><i><span style="font-family: Verdana,sans-serif;">2. Deaktivierte Einstellungen bleiben deaktiviert</span></i></b><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Deaktiviert man einen Policy-Anteil, so bleibt dieser so lange deaktiviert bis man dies wieder rückgängig macht.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Wird z.B. die Benutzerkonfiguration deaktiviert und ein Admin setzt danach Einstellungen in der Benutzerkonfiguration, so muss diese erst wieder manuell aktiviert werden. </span><br />
<br />
<span style="font-size: large;"><span style="color: #0b5394;"><span style="font-family: Verdana,sans-serif;">Performance<span style="font-size: large;">gewinn?</span>:</span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">In der Theorie werden die Richtlinien schneller abgearbeitet.<br />Der eigentliche Gewinn ist jedoch nur schwer messbar.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Group Policy MVP Darren Mar-Elia berichtet unter anderem in seinem Artikel <a href="http://technet.microsoft.com/en-us/magazine/2008.01.gpperf.aspx">"Optimizing Group Policy Performance"</a> darüber.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Der größte Vorteil besteht meiner Meinung nach in der Übersichtlichkeit der Richtlinien. In der GPMC ist direkt ersichtlich welche Richtlinen Computer- bzw. Benutzerkonfigurationen enthalten:</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgsGEp2ADO2NwmY2CDbbDWPyFYWuiwiB7bCpTEICPRoNApDlUphw6478tM72TB-m8FNUmOTv-ZpnCPtRDQKC-fwuJT16CVOi9ZZkLdVdXZXsXAAofddGuZBDqBk8CNd9cW1pwRL0cxTsLQ/s1600/Clipboard01.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgsGEp2ADO2NwmY2CDbbDWPyFYWuiwiB7bCpTEICPRoNApDlUphw6478tM72TB-m8FNUmOTv-ZpnCPtRDQKC-fwuJT16CVOi9ZZkLdVdXZXsXAAofddGuZBDqBk8CNd9cW1pwRL0cxTsLQ/s320/Clipboard01.jpg" width="229" /></a></div>
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"> </span>Matthias Wolfhttp://www.blogger.com/profile/05564512349340522110noreply@blogger.com0tag:blogger.com,1999:blog-4828071326601170739.post-60789821712065591172013-01-09T12:32:00.000+01:002013-01-09T16:58:03.907+01:00Windows 8: The scheduled task nightmare goes on<span style="font-family: Verdana,sans-serif;">Vor einiger Zeit habe ich schon einmal über ein seltsames Verhalten beim Anlegen von geplanten Tasks berichtet.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<a href="http://matthiaswolf.blogspot.de/2012/09/geplante-aufgabe-als-system-ausfuhren.html"><span style="font-family: Verdana,sans-serif;">Geplante Aufgabe als SYSTEM ausführen - Fehler 0x80070534 </span></a><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Damals drehte es sich um die Verwendung des Benutzers "SYSTEM".</span><br />
<br />
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;">0x80070057 unter Windows 8</span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Unter Windows 8 tritt nun ein neuer Fehler auf.</span><br />
<span style="font-family: Verdana,sans-serif;">Dieser Fehler besteht nur, wenn man einen klassischen Task per Group Policy Preferences anlegen will.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiEudPuf-9nOKaBss2uInnSShZk1rDzbXFOQXkUvGHe0K_C6snBWFwC6Ujf3ZD2yTb54U2OBDIDlzrqYK3-4ukl7xORYDT4hNmWZKMVIlhIao5pJX26gyyP4D6qIamw5w75Xwgbkpiw-cs/s1600/Clipboard01.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="174" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiEudPuf-9nOKaBss2uInnSShZk1rDzbXFOQXkUvGHe0K_C6snBWFwC6Ujf3ZD2yTb54U2OBDIDlzrqYK3-4ukl7xORYDT4hNmWZKMVIlhIao5pJX26gyyP4D6qIamw5w75Xwgbkpiw-cs/s320/Clipboard01.jpg" width="320" /></a></div>
<br />
<span style="font-family: Verdana,sans-serif;">Als Test benutzen wir diesen Task:</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg8mWOlunfoiYeO2D7bSB5QKI8cn9bjdfkzw3hdzJ7lO9XTemT8k896KeKShHuE6T-dVFyGetD5vgZatLjFWDIYXOVtkGCfnbNlKMMj8Fkcyh5bd1aJ5Dt6qVJ4TBDlTNB0XXoHEfEJb0s/s1600/Clipboard01.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg8mWOlunfoiYeO2D7bSB5QKI8cn9bjdfkzw3hdzJ7lO9XTemT8k896KeKShHuE6T-dVFyGetD5vgZatLjFWDIYXOVtkGCfnbNlKMMj8Fkcyh5bd1aJ5Dt6qVJ4TBDlTNB0XXoHEfEJb0s/s320/Clipboard01.jpg" width="286" /></a></div>
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Der Task wird jedoch nie am Client angelegt.</span><br />
<span style="font-family: Verdana,sans-serif;">Aktiviert man das GPP Tracing, so zeigt sich folgender Fehler:<br /><br /><span style="font-family: "Courier New",Courier,monospace;">2013-01-09 11:32:45.523 [pid=0x36c,tid=0xbbc] Starting filter [AND FilterComputer].<br />2013-01-09 11:32:45.523 [pid=0x36c,tid=0xbbc] Properties handled. [ hr = <b>0x80070057 "The parameter is incorrect.</b>" ]<br />2013-01-09 11:32:45.523 [pid=0x36c,tid=0xbbc] Error suppressed. [ hr = <b>0x80070057 "The parameter is incorrect."</b> ]</span></span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Das Problem tritt für definierte Tasks in der Computerkonfiguration als auch Benutzerkonfiguration auf.</span><br />
<span style="font-family: Verdana,sans-serif;"><br />Wird explizit ein Benutzer zur Ausführung der Aufgabe angegeben, so erscheint der gleiche Fehler 0x80070057.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;">Die Lösung:</span></span><br /><br />Es muss ein v2-Task angelegt werden.</span><br />
<span style="font-family: Verdana,sans-serif;">Dieser Task nennt sich "Geplante Aufgabe (mindestens Windows 7)".</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Das Anlegen in dieser Form bringt einem erst einmal keine Nachteile, <br />im Gegenteil, es können die <a href="http://msdn.microsoft.com/en-us/library/windows/desktop/bb756979.aspx">erweiterten Features</a> der v2-Tasks genutzt werden.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Einen Haken hat diese Lösung jedoch, sollen Tasks ebenfalls für Betriebssysteme kleiner Windows 7 erstellt werden, so muss man nun zwei GPP Items anlegen:<br /><br />- einen klassischen Task für alle Systeme inkl. Windows Vista<br />- einen neuen Task für alle Systeme ab Windows 7</span><br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhkwCpR7znsz9HpbqQ_VRXGcqzB8Km-0XDoQZcem0ptqu5_ag4MoN9redKGpyhJPV4uRllVf38BFFsUjivJgGf7Cgvu8x4dWkqtdCZ-NhJ3qCrvGVOKS_8wB5zuBhQev-TELjOSd-mJChg/s1600/Clipboard02.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="62" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhkwCpR7znsz9HpbqQ_VRXGcqzB8Km-0XDoQZcem0ptqu5_ag4MoN9redKGpyhJPV4uRllVf38BFFsUjivJgGf7Cgvu8x4dWkqtdCZ-NhJ3qCrvGVOKS_8wB5zuBhQev-TELjOSd-mJChg/s320/Clipboard02.jpg" width="320" /></a></div>
<br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Die neue Aufgabe wird ohnehin nicht auf einem "alten" Betriebssystem angelegt. </span><br />
<span style="font-family: Verdana,sans-serif;">Allerdings wird ohne Verwendung eines Item Level Targetings versucht, <br />den klassischen Task auf Windows 7 und Windows 8 Maschinen anzulegen<br />(ebenfalls Server 2008 R2 und Server 2012).</span><br />
<span style="font-family: Verdana,sans-serif;">Bei Windows 7 funktioniert das in der Regel, bei Windows 8 erscheint der genannte Fehler.</span><br />
<br />
<span style="color: #0b5394;"><span style="font-size: large;"><span style="font-family: Verdana,sans-serif;">Trennen der Tasks durch Item Level Targeting:</span></span></span><br />
<br />
<span style="font-family: Verdana,sans-serif;">Die saubere Lösung ist die Verwendung von zwei ILTs:<br /><br />Neuer Task:</span><br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiAnmnfUGtOSl6cJi-akuDm-0sbMRdb6YijmdPnpg_3uiV2fMc_-TopOFbD2vIKpnBx4EW1nf1u7wNgBIlGY8xhhxj2ztOl1xERq_5mCVvOIUfsjVr5WkI4VOBCo6ZDoCL5WV5jgNE6BNQ/s1600/Clipboard03.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="280" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiAnmnfUGtOSl6cJi-akuDm-0sbMRdb6YijmdPnpg_3uiV2fMc_-TopOFbD2vIKpnBx4EW1nf1u7wNgBIlGY8xhhxj2ztOl1xERq_5mCVvOIUfsjVr5WkI4VOBCo6ZDoCL5WV5jgNE6BNQ/s320/Clipboard03.jpg" width="320" /></a></div>
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Alter Task:</span> <br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgSMwROaEAEirP8dHM1PcxwtYv7hIDpG-jUc5mDlGROm8Z1juq6R9Cfij0gQzMGCjYgRDjvUTWXTWGnnCkY9fpkMyiusNG_CLgCANGwHstKdj5r82DVpUAY8MfqHIXx2DxJMzvFpOLTaRg/s1600/Clipboard04.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="280" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgSMwROaEAEirP8dHM1PcxwtYv7hIDpG-jUc5mDlGROm8Z1juq6R9Cfij0gQzMGCjYgRDjvUTWXTWGnnCkY9fpkMyiusNG_CLgCANGwHstKdj5r82DVpUAY8MfqHIXx2DxJMzvFpOLTaRg/s320/Clipboard04.jpg" width="320" /></a></div>
<br />Matthias Wolfhttp://www.blogger.com/profile/05564512349340522110noreply@blogger.com0tag:blogger.com,1999:blog-4828071326601170739.post-89981168585991404742012-12-13T13:29:00.003+01:002012-12-13T13:52:52.790+01:00Drag & Drop von Preference Items funktioniert nicht mehr unter Windows 8<span style="font-family: Verdana,sans-serif;">Heute wieder einmal ein Fehler, der zwar nicht gelöst werden kann, aber für den es zumindest einen Workaround gibt.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">In den "Remote Server Administration Tools" (RSAT) unter Windows 8 oder Server 2012 ist ein Bug vorhanden, der das Importieren von GPP Items per Drag & Drop verhindert.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-size: large;"><span style="color: #0b5394;"><span style="font-family: Verdana,sans-serif;">Exportieren und Importieren von Items</span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<b><span style="font-family: Verdana,sans-serif;">Exportieren:</span></b><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Die betreffenden Elemente können einfach auf den Desktop gezogen werden. </span><br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhnveItZ0nSt_sp9txp2apo2O5LrEj4JS6OryL8ULMnZ6otTI51rwqlqS4g_tOJ7kPciFRhspzSM-O4-DLkOmy9Irsfju-euB9t5xOyPu_jv1xkZzoLJKFxua8Y0PAxUlShYKAmkGKe3t8/s1600/Clipboard01.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="191" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhnveItZ0nSt_sp9txp2apo2O5LrEj4JS6OryL8ULMnZ6otTI51rwqlqS4g_tOJ7kPciFRhspzSM-O4-DLkOmy9Irsfju-euB9t5xOyPu_jv1xkZzoLJKFxua8Y0PAxUlShYKAmkGKe3t8/s320/Clipboard01.jpg" width="320" /></a></div>
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Danach wird dort eine XML Datei angelegt.</span><br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj416y1pNRGWa0RpxSGfDT7li23CPNfUV-HLJLfpIgCPn8daiX4jXJtiri0pgOkZUwuyqmLW9gscpBlnY4R7bVSF_ekM6rEcFr8IFbv-sQNEHrSEk5ooh2gGcAEFA3CjoU0Rx6BT7R9pUw/s1600/Capture.PNG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj416y1pNRGWa0RpxSGfDT7li23CPNfUV-HLJLfpIgCPn8daiX4jXJtiri0pgOkZUwuyqmLW9gscpBlnY4R7bVSF_ekM6rEcFr8IFbv-sQNEHrSEk5ooh2gGcAEFA3CjoU0Rx6BT7R9pUw/s1600/Capture.PNG" /></a></div>
<span style="font-family: Verdana,sans-serif;"><br />Diese Datei lässt sich dann editieren oder einfach nur als Sicherungskopie aufbewahren. </span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">In gleicher Weise konnte man unter Windows 7 und Server 2008 R2<br />Elemente importieren.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"><b>Importieren:</b><br /><br />Versucht man jedoch in den Windows NT 6.2 RSAT Elemente zu importieren, so erscheint das Drop-Symbol nicht:</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgX5b2mFFyy-fHVQj7rcbmFvqYobiTCACaZFoEWDu_QYDSuVqPClBBY_G2MwSSIdeoZ92HJMmgJbGVva5IWqRXJGNGPOJdSo7oYRm9_VhP80lZDzdGQBVkFMR4R7SfDGn4EbCnyPQ3OlEE/s1600/Clipboard04.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="275" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgX5b2mFFyy-fHVQj7rcbmFvqYobiTCACaZFoEWDu_QYDSuVqPClBBY_G2MwSSIdeoZ92HJMmgJbGVva5IWqRXJGNGPOJdSo7oYRm9_VhP80lZDzdGQBVkFMR4R7SfDGn4EbCnyPQ3OlEE/s320/Clipboard04.jpg" width="320" /></a></div>
<br />
<span style="font-family: Verdana,sans-serif;">Nach längerer Recherche scheint es so, also wäre schlichtweg nur ein <br />Drag-Event vorhanden, jedoch kein Drop-Event.<br />Dies scheint wohl in der Programmierung schief gelaufen zu sein.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="color: #0b5394;"><span style="background-color: white;"><span style="font-size: large;"><span style="font-family: Verdana,sans-serif;">Wann benötigt man den Import von XML Dateien?</span></span></span></span><br />
<ul>
<li><span style="font-family: Verdana,sans-serif;">Man möchte eine Sicherungskopie des Preference Item wiederherstellen </span></li>
<li><span style="font-family: Verdana,sans-serif;">Man möchte eine manuell editierte XML Datei importieren</span></li>
<li><span style="font-family: Verdana,sans-serif;">Man benutzt <a href="http://www.reg2xml.com/">reg2xml</a> </span></li>
</ul>
<span style="font-family: Verdana,sans-serif;">Mittels reg2xml lassen sich .REG Dateien in .XML Registrierungselemente umwandeln. Die konvertierten XML Dateien werden dann per Drag & Drop in die GPMC eingefügt.</span><br />
<span style="font-family: Verdana,sans-serif;"><br />Wie lassen sich die XML Dateien importieren?</span><br />
<span style="font-family: Verdana,sans-serif;"><br /><span style="color: #0b5394;"><span style="background-color: white;"><span style="font-size: large;">Workaround 1:</span></span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><br />Die Datei per Kontextmenü kopieren und einfügen:</span><br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjltl-QdUgE5TD7qdFV6I8sjVp6Ky1y6IodKa3S5Onky4SV3k5rHdit6qZCkAUtdh2t2igzN7Pc_rY5-ElGiNUte3yk2bsaCfREzqskQEZpIwB5EiSoVYhj9mPxW9k4MvIlxNG98qxyBoI/s1600/201739.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="309" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjltl-QdUgE5TD7qdFV6I8sjVp6Ky1y6IodKa3S5Onky4SV3k5rHdit6qZCkAUtdh2t2igzN7Pc_rY5-ElGiNUte3yk2bsaCfREzqskQEZpIwB5EiSoVYhj9mPxW9k4MvIlxNG98qxyBoI/s320/201739.jpg" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgLH5vqcC39MCRty62_o702tKXJmgT6MRyYyvStXXl0xb24Kawi7-mxalxHqLBnzV4kSVr3-VkhMDTnKIdrcQor6iKBYO_BNPAOl_6Ly2s5-QeIEbran6-YvNzYkEISGo5Fah3XXCgr03U/s1600/201737.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="252" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgLH5vqcC39MCRty62_o702tKXJmgT6MRyYyvStXXl0xb24Kawi7-mxalxHqLBnzV4kSVr3-VkhMDTnKIdrcQor6iKBYO_BNPAOl_6Ly2s5-QeIEbran6-YvNzYkEISGo5Fah3XXCgr03U/s320/201737.jpg" width="320" /></a></div>
<span style="font-family: Verdana,sans-serif;"><br /><span style="color: #0b5394;"><span style="font-size: large;">Workaround 2:</span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><br />Der zweite Lösungsweg ist etwas umständlicher.</span><br />
<span style="font-family: Verdana,sans-serif;"></span><br />
<span style="font-family: Verdana,sans-serif;">Zunächst muss ein Dummy-Element in der GPMC angelegt werden.</span><br />
<span style="font-family: Verdana,sans-serif;">Dies ist wichtig für die Erzeugung der XML Datei und der Registrierung der jeweiligen CSE im AD Objekt der Policy.<br /><br />Nun muss man per Explorer zur jeweiligen Policy navigieren.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /><b>Im Falle eines Registry-Items ist dies:</b></span><br />
<span style="font-family: Verdana,sans-serif;"><br /><span style="font-family: "Courier New",Courier,monospace;">\\domain.local\SYSVOL\domain.local\Policies\{GUID}\<b>machine</b>\Preferences\Registry </span><br /><br />bzw.</span><br />
<br />
<span style="font-family: "Courier New",Courier,monospace;">\\domain.local\SYSVOL\domain.local\Policies\{GUID}\<b>user</b>\Preferences\Registry</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Dort befindet sich eine Registry.xml die ersetzt werden muss.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /><b>Weitere Information zu diesem Thema:</b><br /><br /><a href="http://social.technet.microsoft.com/Forums/en-US/winserverGP/thread/2abf6cb1-d900-4d21-a59e-c9687c564b0d">http://social.technet.microsoft.com/Forums/en-US/winserverGP/thread/2abf6cb1-d900-4d21-a59e-c9687c564b0d</a></span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
Matthias Wolfhttp://www.blogger.com/profile/05564512349340522110noreply@blogger.com3tag:blogger.com,1999:blog-4828071326601170739.post-14098425528915543812012-11-11T17:03:00.000+01:002013-01-02T22:39:02.785+01:00User Shell Folders - Umgebungsvariablen umbauen mittels Group Policy Preferences<span style="font-family: Verdana,sans-serif;">Group Policy Preferences bringen von Haus aus eine Menge von <br />Variablen mit. Drückt man die Taste "F3" in einem Textfeld, so erscheint die<br /> </span><br />
<span style="font-size: large;"><span style="color: #0b5394;"><span style="font-family: Verdana,sans-serif;">Liste von verfügbaren GPP-Umgebungsvariablen:</span></span></span><br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh8cJ_0V7zGN99R6QoH3GFyVf6GzLCxVMf21iH6z5CD59JjkRrYnDthmFDPftytxbGJpLm6nO_Pv_sHjHtAgdDffqjAQEckuhurGJBkujbcEeB_SJDQG4N50Qj4cvXXdbhta6zNKhA5Dw0/s1600/image_12.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh8cJ_0V7zGN99R6QoH3GFyVf6GzLCxVMf21iH6z5CD59JjkRrYnDthmFDPftytxbGJpLm6nO_Pv_sHjHtAgdDffqjAQEckuhurGJBkujbcEeB_SJDQG4N50Qj4cvXXdbhta6zNKhA5Dw0/s320/image_12.png" width="164" /></a></div>
<span style="font-family: Verdana,sans-serif;"><br /><a href="http://technet.microsoft.com/en-us/library/cc753915.aspx">Link zu allen GPP-Variablen</a></span>
<br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<br />
<span style="font-family: Verdana,sans-serif;">Zusätzlich können die vom System bereitgestellten "normalen" User- und Systemvariablen verwendet werden.<br />So gibt es in den GPP Variablen zum Beispiel keine Komponente für den Pfad<br />"C:\Program Files (x86)". Es kann die normale Variante "%ProgramFiles(x86)%" benutzt werden.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Teilweise ist dies aber nicht genug.<br />Dies gilt vor allem für die sogenannten <a href="http://technet.microsoft.com/en-us/library/cc962613.aspx">User Shell Folders</a>.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /><span style="color: #0b5394;"><span style="font-size: large;">User Shell Folders</span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><br />Diese USF befinden sich in der Registry unter:<br /><br /><b>HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders</b></span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">In diesem Bereich werden Pfade zu Explorer Verzeichnissen gespeichert.</span><br />
<br />
<span style="font-family: Verdana,sans-serif;">Mit ein paar einfachen Schritten lassen sich diese Schlüssel in Umgebungsvariablen umbauen, die dann für Group Policies oder auch allgemeine Zwecke benutzt werden können.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="color: #0b5394;"><span style="font-size: large;"><span style="font-family: Verdana,sans-serif;">Umbau der USF mittels GPP</span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"><b>1. Schritt</b></span><br />
<span style="font-family: Verdana,sans-serif;"><br />Wir erzeugen eine neue Umgebungsvariable mittels GPP.</span><br />
<span style="font-family: Verdana,sans-serif;"><br />Zu finden unter:</span><br />
<span style="font-family: "Courier New",Courier,monospace;"><b>Computer Configuration </b>or <b>User Configuration</b></span><br />
<span style="font-family: "Courier New",Courier,monospace;">
<b> └ Preferences</b></span>
<br />
<span style="font-family: "Courier New",Courier,monospace;">
<b> └ Windows Settings</b></span>
<br />
<span style="font-family: "Courier New",Courier,monospace;">
<b> └ Environment</b></span>
<br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">In unserem Beispiel handelt es sich um "User Configuration".<br />Als Wert weisen wir jedoch eine temporäre Variable "%TEMPVAR%" zu.</span><br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgZXHbjicTutA_V-EI9TykUuhxuO-s2IEF3ADkxh_0wIkf-mqynUUnpoNMCUkY9bBPOrkP5EgbmhjHbh5bK7kaRknm-90ojsS0HzrM7E7BkybFF3P3dCphM-oPCQ7tOLZKF8mKEU8x-WPA/s1600/190373.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgZXHbjicTutA_V-EI9TykUuhxuO-s2IEF3ADkxh_0wIkf-mqynUUnpoNMCUkY9bBPOrkP5EgbmhjHbh5bK7kaRknm-90ojsS0HzrM7E7BkybFF3P3dCphM-oPCQ7tOLZKF8mKEU8x-WPA/s320/190373.jpg" width="288" /></a></div>
<span style="font-family: Verdana,sans-serif;"> </span><br />
<b><span style="font-family: Verdana,sans-serif;">2. Schritt</span></b><br />
<br />
<span style="font-family: Verdana,sans-serif;">Diese Variable muss nun gefüllt werden.</span><br />
<span style="font-family: Verdana,sans-serif;">Hierbei hilft uns das "Item Level Targeting" kurz ILT.</span><br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiRijP-LpHJvB3mueysgdWOxRamZ903bWTSx6BG0YpyjFaiva6bUOmFhRC7hvnqrXRcx4XCyW3lHuFE7xdwd4hlnRxHshQKYz9FxVdzF3N40LeyCRACeQQa8JD3RWc3H3wOnAxaBap_71k/s1600/Unbenannt.JPG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiRijP-LpHJvB3mueysgdWOxRamZ903bWTSx6BG0YpyjFaiva6bUOmFhRC7hvnqrXRcx4XCyW3lHuFE7xdwd4hlnRxHshQKYz9FxVdzF3N40LeyCRACeQQa8JD3RWc3H3wOnAxaBap_71k/s320/Unbenannt.JPG" width="286" /></a></div>
<br />
<span style="font-family: Verdana,sans-serif;">Wir legen ein ILT auf Basis von "<a href="http://technet.microsoft.com/en-us/library/cc733051.aspx">Registry Match Targeting</a>" fest.</span><br />
<br />
<span style="font-family: Verdana,sans-serif;">Als "Match type" wählen wir "Get value data".</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj3e_zPl3nJlawpTMKU1j0FPfF2BZ3JL2pKt8QcYHgfp9cqPHPaDxFlfh4BVqaCWHTmhwe1nj9FefozDAwsBbJG3Mc1oMnKcHu2rV8wzE8rdM3snJI0DCnUqq9dcy-4m9Uu4ubKFBYILH4/s1600/190374.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="222" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj3e_zPl3nJlawpTMKU1j0FPfF2BZ3JL2pKt8QcYHgfp9cqPHPaDxFlfh4BVqaCWHTmhwe1nj9FefozDAwsBbJG3Mc1oMnKcHu2rV8wzE8rdM3snJI0DCnUqq9dcy-4m9Uu4ubKFBYILH4/s320/190374.jpg" width="320" /></a></div>
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Fertig.</span><br />
<span style="font-family: Verdana,sans-serif;">Da zuerst die Filter überprüft werden, wird der betreffende Registrykey ausgelesen. Dieser wird in eine temporäre Variable geschrieben, %TEMPVAR%. <br />Diese Variable füllt dann unsere "richtige" Variable %LINKS%.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;">Known Folder GUIDs for File Dialog Custom Places</span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Auf diesem Wege lassen sich auch die Known Folder GUIDs umbauen.<br />Allerdings werden diese an unterschiedlichen Stellen in der Registry gespeichert.</span><br />
<span style="font-family: Verdana,sans-serif;">Ein Teil davon landet unterhalb der USF. </span><br />
<span style="font-family: Verdana,sans-serif;"><br />Der Großteil jedoch unter:<br /><b>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions</b></span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Inwieweit sich die KFGs in Variablen umbauen lassen, hängt von den gespeicherten Werten ab.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"><span style="color: #0b5394;"><span style="font-size: large;">Fazit:</span></span><br /><br />Mittels Item Level Targeting und der Environment CSE lassen sich sehr flexibel <br />Registrywerte in benutzbare Umgebungsvariablen umwandeln.</span>Matthias Wolfhttp://www.blogger.com/profile/05564512349340522110noreply@blogger.com0tag:blogger.com,1999:blog-4828071326601170739.post-70151155789424456932012-11-05T18:25:00.001+01:002013-02-26T21:15:42.748+01:00Windows 8: GPP Drive Mapping als Administrator schlägt fehl<span style="font-family: Verdana,sans-serif;">*** Informationen zum Update KB2795944 siehe Ende des Posts *** </span><br />
<br />
<span style="font-family: Verdana,sans-serif;">Unter Windows 8 und Server 2012 gibt es einen Bug, der das Mapping von Laufwerken fehlschlagen lässt.</span><br />
<span style="background-color: #0b5394;"><span style="font-family: Verdana,sans-serif;"><br /></span></span>
<span style="font-size: large;"><span style="color: #0b5394;"><span style="background-color: white;"><span style="font-family: Verdana,sans-serif;">Der Fehler tritt unter folgender Konstellation auf:</span></span></span></span><br />
<ul>
<li><span style="font-family: Verdana,sans-serif;">Die Laufwerke werden per GPP Drive Mapping gemappt</span></li>
<li><span style="font-family: Verdana,sans-serif;">Als Betriebssystem wird Windows 8 oder Server 2012 eingesetzt</span></li>
<li><span style="font-family: Verdana,sans-serif;">Das gemappte Laufwerk befindet sich in einem DFS-Namespace</span></li>
<li><span style="font-family: Verdana,sans-serif;">Der DFS-Namespace läuft auf Windows Server 2008 R2, 2008 oder 2003<br />(nicht 100%ig verifiziert)</span></li>
<li><span style="font-family: Verdana,sans-serif;">Der Benutzer der sich anmeldet, ist Mitglied der lokalen Gruppe "Administrators" (SID S-1-5-32-544)</span></li>
<li><span style="font-family: Verdana,sans-serif;">Die Option "Reconnect" im GPP Item ist aktiviert </span></li>
<li><span style="font-family: Verdana,sans-serif;">Der Fehler tritt selbst bei komplett deaktivierter UAC auf</span></li>
</ul>
<span style="font-size: large;"><span style="color: #0b5394;"><span style="background-color: white;"><span style="font-family: Verdana,sans-serif;">Der Fehler äußert sich wie folgt:</span></span></span></span><br />
<ul>
<li><span style="font-family: Verdana,sans-serif;">Die Laufwerke werden nicht verbunden</span></li>
<li><span style="font-family: Verdana,sans-serif;">Teilweise bei erster Übernahme der Policy wird jedoch das Laufwerk gemappt</span></li>
<li><span style="font-family: Verdana,sans-serif;">Das Tracing der GPP Drive Maps CSE zeigt keine Fehler</span></li>
<li><span style="font-family: Verdana,sans-serif;">Innerhalb des RSOP wird als Status der CSE "Pending" angezeigt</span><span style="font-family: Verdana,sans-serif;"></span></li>
</ul>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgD3jP6o7Gz5ycgamGiBv6Qpov1su9FExbYKz5_Q3tRSGCepwN7dmTMfMh-9QuxHGJJQ8KPtdHMNsgCMuEEmhnQob1DKWn1k_8pPxQ448PV8u07ZSLSY7RThaKWdq_ts1wvEueaNAYirJQ/s1600/82409.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgD3jP6o7Gz5ycgamGiBv6Qpov1su9FExbYKz5_Q3tRSGCepwN7dmTMfMh-9QuxHGJJQ8KPtdHMNsgCMuEEmhnQob1DKWn1k_8pPxQ448PV8u07ZSLSY7RThaKWdq_ts1wvEueaNAYirJQ/s320/82409.png" width="285" /></a></div>
<span style="font-family: Verdana,sans-serif;"><br /></span>
<br />
<span style="font-family: Verdana,sans-serif;"></span><span style="font-family: Verdana,sans-serif;"><span style="font-size: large;"><span style="color: #0b5394;">EnableLinkedConnections:</span></span></span><br />
<br />
<span style="font-family: Verdana,sans-serif;">Einigen sollte ein ähnlicher Fehler bekannt sein, der im Zusammenhang mit der<br />Benutzerkontensteuerung und Anmeldeskripten auftritt.</span><br />
<br />
<a href="http://support.microsoft.com/default.aspx?scid=kb;EN-US;937624"><span style="font-family: Verdana,sans-serif;">http://support.microsoft.com/default.aspx?scid=kb;EN-US;937624</span></a><br />
<br />
<span style="font-family: Verdana,sans-serif;"><a href="http://think-like-a-computer.com/2011/06/16/login-scrips-fail-map-drives/">http://think-like-a-computer.com/2011/06/16/login-scrips-fail-map-drives/ </a></span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Die Kurzfassung: Anmeldeskripte werden mit dem vollständigen Access-Token ausgeführt, insofern der Benutzer administrative Rechte auf dem Client hat.</span><br />
<span style="font-family: Verdana,sans-serif;">Die Laufwerke werden folglich mit dem vollständigen Token gemappt.<br />Die Benutzersession (explorer.exe usw.) läuft jedoch unter dem gefilterten Token (welcher weniger Rechte besitzt).</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Da beide Token eine unterschiedliche Logon-ID besitzen, schlägt der Zugriff auf die Laufwerke fehl.</span><br />
<br />
<span style="font-family: Verdana,sans-serif;"><span style="font-size: large;"><span style="color: #0b5394;">Zitat Microsoft: </span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><b><i>If a user is logged on to Windows Vista or to Windows 7, and if User Account Control is enabled, a program that uses the user’s filtered access token and a program that uses the user’s full administrator access token can run at the same time. Because LSA created the access tokens during two separate logon sessions, the access tokens contain separate logon IDs. </i></b><br /><br />Das Verhalten lässt sich mittels des Registry-Keys "EnableLinkedConnections" abstellen. Ein anderer Workaround ist das Skript "launchapp.wsf".<br /><br />Zurück zu unserem Problem.<br />Da der Drive Mapping Fehler bei Windows 8 und Server 2012 auch bei <b>komplett deaktivierter UAC </b>auftritt, trifft das "</span><span style="font-family: Verdana,sans-serif;"><span style="font-family: Verdana,sans-serif;">EnableLinkedConnections" Problem nicht zu.</span></span><br />
<br />
<span style="font-family: Verdana,sans-serif;"><span style="font-family: Verdana,sans-serif;">Von einigen Usern wurden bereits Supportanfragen zu diesem Thema bei Microsoft eröffnet. </span></span><br />
<span style="font-family: Verdana,sans-serif;">Der Fehler wurde auch von mir bei Microsoft eingereicht.</span><br />
<span style="font-family: Verdana,sans-serif;">Nach langem Hin und Her lautet das Ergebnis:<br /><br /><span style="color: #0b5394;"><span style="font-size: large;">By Design.</span></span></span><br />
<br />
<span style="font-family: Verdana,sans-serif;">By Design ist bei Microsoft alles, was man nix fixen will bzw. was </span><br />
<span style="font-family: Verdana,sans-serif;">"so ist, wie es ist". Toll.</span><br />
<span style="font-family: Verdana,sans-serif;"><br />Wie ihr den Fehler dennoch umgehen könnt, erfahrt ihr hier:</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="color: #0b5394;"><span style="font-size: large;"><span style="font-family: Verdana,sans-serif;">Der Workaround</span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Im Item der Preference muss die Reconnect-Option deaktiviert werden:</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgUEvXhuh-YMk0Qy4_CBkjdaUwuSwaSFQ2Yf8b6kgK-xaMu99rdEKq4CJEFyu7eD_plhMopq_wGepuqhINtFudLtreIq9fn2geHzCcKEewz43zyaf4u2VOdvs_vRPcgt-BIOdebv6ZuTzA/s1600/Unbenannt.JPG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgUEvXhuh-YMk0Qy4_CBkjdaUwuSwaSFQ2Yf8b6kgK-xaMu99rdEKq4CJEFyu7eD_plhMopq_wGepuqhINtFudLtreIq9fn2geHzCcKEewz43zyaf4u2VOdvs_vRPcgt-BIOdebv6ZuTzA/s320/Unbenannt.JPG" width="288" /></a></div>
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-size: large;"><span style="color: #0b5394;"><span style="font-family: Verdana,sans-serif;">Dies hat allerdings folgenden Nachteil:</span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><br />User die sich ohne Netzwerkverbindung anmelden, erhalten keine Laufwerke.<br />Da die CSE "GPP Drive Maps" standardmäßig nur im Vordergrund ausgeführt werden kann, werden die Laufwerke erst dann wieder verbunden, wenn der Benutzer sich das nächste Mal<b> mit Netzwerkverbindung </b>anmeldet.<br /><br />Dies ist insbesondere ein Nachteil für VPN Benutzer.</span><br />
<br />
<span style="font-family: Verdana,sans-serif;">Zu hoffen bleibt, dass Microsoft die Auswirkungen dieses Bugs erkennt und eine "richtige" Lösung präsentiert.</span><br />
<br />
<span style="font-family: Verdana,sans-serif;">Die Hoffnung stirbt zuletzt.</span><br />
<br />
<span style="color: red;"><span style="font-family: Verdana,sans-serif;"><b>Update 13.02.2013:</b></span><br /><span style="font-family: Verdana,sans-serif;">Microsoft hat nun reagiert und ein Update bereitgestellt, welches den Fehler beheben soll.</span></span><br />
<br />
<span style="color: red;"><span style="font-family: Verdana,sans-serif;">Leider wird in der Beschreibung dieses Updates nicht weiter auf das Drive-Mapping Problem eingegangen.<br />Es handelt sich um ein "reguläres", nicht kritisches Update (als kein Hotfix), welches unter anderem auch per WSUS verfügbar ist.</span></span><br />
<br />
<span style="font-family: Verdana,sans-serif;"><a href="http://support.microsoft.com/kb/2795944"><span style="color: red;">http://support.microsoft.com/kb/2795944 </span></a></span>Matthias Wolfhttp://www.blogger.com/profile/05564512349340522110noreply@blogger.com8tag:blogger.com,1999:blog-4828071326601170739.post-87006235624713342442012-09-26T14:28:00.000+02:002012-11-23T14:20:28.775+01:00Geplante Aufgabe als SYSTEM ausführen - Fehler 0x80070534<b><span style="color: #3d85c6;"><span style="font-size: large;"><span style="font-family: Verdana,sans-serif;">Die CSE <span style="font-family: Verdana,sans-serif;">"Scheduled Tasks"</span></span></span></span></b><br />
<br />
<span style="font-family: Verdana,sans-serif;">Die Group Policy CSE "Scheduled Tasks" bietet eine einfache Möglichkeit<br />Aufgaben per Richtlinie zu konfigurieren.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgWz2o-wMzi_U8PLn0zATctsrloMORxQNiXrq8LjfsR6-wrJr0DcbWT2yi_-mc0Cc60_R6VvCeUKiOPO91b6JS4twjDxWGOBtFxMYvsrbAmjUShv-gzSIjTYFOr9CjWK9OvyxhDCLP2f7U/s1600/Clipboard02.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="109" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgWz2o-wMzi_U8PLn0zATctsrloMORxQNiXrq8LjfsR6-wrJr0DcbWT2yi_-mc0Cc60_R6VvCeUKiOPO91b6JS4twjDxWGOBtFxMYvsrbAmjUShv-gzSIjTYFOr9CjWK9OvyxhDCLP2f7U/s320/Clipboard02.jpg" width="320" /></a></div>
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Die Tasks können entweder per Benutzerkonfiguration oder Computerkonfiguration erstellt werden.<br /><br />Benutzt man die User-Config, so lässt sich die Aufgabe zum Beispiel als angemeldeter Benutzer ausführen.</span><br />
<span style="font-family: Verdana,sans-serif;"><br />Es können die Variablen "%LogonDomain%\%LogonUser%" benutzt werden.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiILRWP2xKHR5Mr-bkY2aHxpxsMSZZEKKtcR0mpXxawuBg1Og4ABEEZdoCxYSxaVRoxW-YCa3b2FTZbxN8jx6BCUFGeu692hTu4W7jN2jRtUHVpRlzMUMN0c5RSEzXyT30Xhwnt7N3IFJI/s1600/Clipboard01.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="192" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiILRWP2xKHR5Mr-bkY2aHxpxsMSZZEKKtcR0mpXxawuBg1Og4ABEEZdoCxYSxaVRoxW-YCa3b2FTZbxN8jx6BCUFGeu692hTu4W7jN2jRtUHVpRlzMUMN0c5RSEzXyT30Xhwnt7N3IFJI/s320/Clipboard01.jpg" width="320" /></a></div>
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"><b><span style="color: #3d85c6;"><span style="font-size: large;"><span style="font-family: Verdana,sans-serif;">Kennwort speichern?<span style="font-family: Verdana,sans-serif;"></span></span></span></span></b> </span><br />
<br />
<span style="font-family: Verdana,sans-serif;">Anders schaut es bei der Computerkonfiguration aus.<br />Hier muss explizit ein Benutzer angegeben werden:</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"></span><br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjx6ozpFUvLJdv5NW0DzkRGlzX8mZZJfLk4dRCh-M1mUGrOjT8tUi8mNmC8ZQfKYOeuyUHfhsJnMSoOQTuAt5C4aokXaasyShLL7LyKDETQ0MzprO0Okb4qXem-78MzLCG2iiSGkFmPRUo/s1600/Clipboard01.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="186" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjx6ozpFUvLJdv5NW0DzkRGlzX8mZZJfLk4dRCh-M1mUGrOjT8tUi8mNmC8ZQfKYOeuyUHfhsJnMSoOQTuAt5C4aokXaasyShLL7LyKDETQ0MzprO0Okb4qXem-78MzLCG2iiSGkFmPRUo/s320/Clipboard01.jpg" width="320" /></a></div>
<span style="font-family: Verdana,sans-serif;"><br />Es kann ein lokaler Benutzer oder ein Domänenbenutzer verwendet werden.</span><br />
<br />
<span style="font-family: Verdana,sans-serif;"></span><br />
<span style="font-family: Verdana,sans-serif;">Verteilt man "Geplante Aufgaben" per Group Policy Preferences,<br />so möchte man in der Regel jedoch nicht das Passwort in der Group Policy speichern. </span><br />
<span style="font-family: Verdana,sans-serif;"></span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Die Begründung liefert unter anderem dieser Technet Blog:</span><br />
<blockquote class="tr_bq">
<span style="font-family: Verdana,sans-serif;"><b>To obscure the password from casual users, it is not stored as clear text in the XML source code of the preference item. However, the password is not secured. Because the password is stored in SYSVOL, all authenticated users have read access to it. Additionally, it can be read by the client in transit if the user has the necessary permissions.</b></span><br />
<span style="font-family: Verdana,sans-serif;"></span><br />
<span style="font-family: Verdana,sans-serif;"><b>Because passwords in preference items are not secured, we recommend that you carefully consider the security ramifications when deciding whether to store passwords in preference items. If you choose to use this feature, we recommend that you consider creating dedicated accounts for use with it and that you do not store administrative passwords in preference items.</b></span><br />
<span style="font-family: Verdana,sans-serif;"></span></blockquote>
<br />
<span style="font-family: Verdana,sans-serif;">quelle:</span><br />
<a href="http://blogs.technet.com/b/grouppolicy/archive/2009/04/22/passwords-in-group-policy-preferences-updated.aspx"><span style="font-family: Verdana,sans-serif;">http://blogs.technet.com/b/grouppolicy/archive/2009/04/22/passwords-in-group-policy-preferences-updated.aspx</span></a><br />
<br />
<br />
<span style="font-family: Verdana,sans-serif;"><span style="font-family: Verdana,sans-serif;"><b><span style="color: #3d85c6;"><span style="font-size: large;"><span style="font-family: Verdana,sans-serif;">Welchen Account benutzen?</span></span></span></b></span> </span><br />
<br />
<span style="font-family: Verdana,sans-serif;">Welchen Account könnte man also benutzen, der ausreichend Rechte auf dem Computer hat, jedoch es nicht erfordert ein Passwort zu speichern?<br /><br /><b>Die Antwort:</b><br />SYSTEM</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">OK, nichts leichter als das.<br />Per Object-Picker auswählen und gut ist es!?</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgXB_xFjXUQlMd8gatmS_hYrowNz3m0gDvsTE0n2TAzFh389h6MqUoD69bP-pfoDU7yhlA5T-IoIZFathplg2QbsYTK9YgmXCiZK-h0KJrkdcD3vYS4HE7jdCWeug85bpEbBt6y7siWDks/s1600/Clipboard01.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="175" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgXB_xFjXUQlMd8gatmS_hYrowNz3m0gDvsTE0n2TAzFh389h6MqUoD69bP-pfoDU7yhlA5T-IoIZFathplg2QbsYTK9YgmXCiZK-h0KJrkdcD3vYS4HE7jdCWeug85bpEbBt6y7siWDks/s320/Clipboard01.jpg" width="320" /> </a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<span style="font-family: Verdana,sans-serif;">Eingetragen wird anschließend "BUILTIN\SYSTEM" im UI des<br />GPP Items.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span><span style="font-family: Verdana,sans-serif;"></span>
<span style="color: #3d85c6;"><span style="font-size: large;"><span style="font-family: Verdana,sans-serif;"><b>Wie verhält sich der Client?</b></span></span></span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span><span style="font-family: Verdana,sans-serif;"></span>
<span style="font-family: Verdana,sans-serif;">Gleich vorneweg, der Task wird niemals am Client erzeugt werden.</span><br />
<span style="font-family: Verdana,sans-serif;"></span><span style="font-family: Verdana,sans-serif;">Aktiviert man das Tracing der CSE, so erhält man folgenden Fehler:</span><br />
<br />
<b><span style="font-family: Verdana,sans-serif;">[ hr = 0x80070534 "Zuordnungen von Kontennamen und Sicherheitskennungen wurden nicht durchgeführt." ]</span></b><br />
<span style="font-family: Verdana,sans-serif;"></span><br />
<span style="font-family: Verdana,sans-serif;"><br />Der Benutzer <span style="font-family: Verdana,sans-serif;">"BUILTIN\SYSTEM" kann also nicht zugeordnet werden.</span></span><br />
<span style="font-family: Verdana,sans-serif;"><br />Nächster Versuch, manuelles eingeben des Benutzers "SYSTEM":</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhp-SJ89R2df4XDANn1Qk9p5uJvAdv5TVhOY668AQ82zwquUOg1b7nK4uJiAierbFwnk8YmD23W_ZhE_yc_SYXR1mdahzM4z2uCUbp8HDGw-czELmHOgShqv2H96CNF-q5IGlsqBGYog9c/s1600/Clipboard01.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="186" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhp-SJ89R2df4XDANn1Qk9p5uJvAdv5TVhOY668AQ82zwquUOg1b7nK4uJiAierbFwnk8YmD23W_ZhE_yc_SYXR1mdahzM4z2uCUbp8HDGw-czELmHOgShqv2H96CNF-q5IGlsqBGYog9c/s320/Clipboard01.jpg" width="320" /></a></div>
<span style="font-family: Verdana,sans-serif;"><br />Das Policy Item lässt sich speichern.<br />Am Client schlägt allerdings der gleiche Fehler auf, 0x80070534.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span><span style="font-family: Verdana,sans-serif;"></span>
<span style="font-family: Verdana,sans-serif;"><span style="color: #3d85c6;"><span style="font-size: large;"><span style="font-family: Verdana,sans-serif;"><b>Wie verhält es sich, wenn der Task manuell angelegt wird?</b></span></span></span></span><br />
<br />
<span style="font-family: Verdana,sans-serif;">Aufgaben werden im XML Format bereitgestellt.<br />Wenn wir manuell einen Task erzeugen, kann dieser als XML Datei exportiert werden.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span><span style="font-family: Verdana,sans-serif;"></span>
<span style="font-family: Verdana,sans-serif;"><span style="font-family: "Courier New",Courier,monospace;"><Principals><br /> <Principal id="Author"><br /> <b><UserId>S-1-5-18</UserId></b><br /> <RunLevel>LeastPrivilege</RunLevel><br /> </Principal><br /> </Principals></span></span><span style="font-family: Verdana,sans-serif;"></span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span><span style="font-family: Verdana,sans-serif;"></span>
<span style="font-family: Verdana,sans-serif;">Der User "SYSTEM" (genau genommen ist dies gar kein User, aber egal),<br />wird also mit seiner SID "S-1-5-18" eingetragen.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span><span style="font-family: Verdana,sans-serif;"></span>
<span style="font-family: Verdana,sans-serif;">Schaut man sich allerdings das XML File der Policy an, wird er mit diesem Wert <br />hinzugefügt:</span><br />
<span style="font-family: Verdana,sans-serif;"><b><span style="font-family: "Courier New",Courier,monospace;">runAs="BUILTIN\SYSTEM"</span></b></span><span style="font-family: Verdana,sans-serif;"></span><br />
<span style="font-family: Verdana,sans-serif;">Der Client kann dies nicht umsetzen und quittiert dies mit dem genannten Fehler.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Erzeugt man die Policy mit der SID, wird sie am Client übernommen.<br />Der Client übersetzt sogar die SID zum User "SYSTEM".</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span><span style="font-family: Verdana,sans-serif;"></span>
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjD7rFAP72u9q-FnmJUUKJoc4MPGbA2rMp40-O2rlX8BTFP-7HqsuaiKfOn7USfWa8kVhdN0pfctBuy8BIFIdwk5JUEvFnJ00YZ9vwi5NEPXbkgcJ0Sxr1rqtkBvCcHFjELn3-fcJZbOHk/s1600/Clipboard01.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="144" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjD7rFAP72u9q-FnmJUUKJoc4MPGbA2rMp40-O2rlX8BTFP-7HqsuaiKfOn7USfWa8kVhdN0pfctBuy8BIFIdwk5JUEvFnJ00YZ9vwi5NEPXbkgcJ0Sxr1rqtkBvCcHFjELn3-fcJZbOHk/s320/Clipboard01.jpg" width="320" /></a></div>
<br />
<span style="color: #3d85c6;"><span style="font-family: Verdana,sans-serif;"><span style="font-size: large;"><b>Fazit:</b></span></span></span><br />
<br />
<span style="font-family: Verdana,sans-serif;">Sollen Tasks als Local System ausgeführt werden, so muss die SID als Benutzername verwendet werden.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span><span style="font-family: Verdana,sans-serif;"></span>
<span style="font-family: Verdana,sans-serif;">Hier noch eine Liste der "Well-known security identifiers"</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span><span style="font-family: Verdana,sans-serif;"></span>
<span style="font-family: Verdana,sans-serif;"><a href="http://support.microsoft.com/kb/243330/en-us">http://support.microsoft.com/kb/243330/en-us</a></span><span style="font-family: Verdana,sans-serif;"></span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span><span style="font-family: Verdana,sans-serif;"></span>
<span style="font-family: Verdana,sans-serif;"><br /></span><span style="font-family: Verdana,sans-serif;"></span>
<span style="font-family: Verdana,sans-serif;"></span><br />
<span style="font-family: Verdana,sans-serif;"></span>Matthias Wolfhttp://www.blogger.com/profile/05564512349340522110noreply@blogger.com6tag:blogger.com,1999:blog-4828071326601170739.post-1582714697206149472012-08-31T08:48:00.001+02:002012-08-31T09:29:03.175+02:00Group Policy Preferences ohne Verbindung zum DC - kann das gut gehen?<span style="font-family: Verdana, sans-serif;"><span style="color: #3d85c6; font-size: large;">Was ist Item Level Targeting? </span></span><br />
<br />
<span style="font-family: Verdana, sans-serif;">Eines der meist genutzten Features der Group Policy Preferences ist das "Item Level Targeting". Mithilfe des ILT lassen sich einzelne Elemente mit einer </span><br />
<span style="font-family: Verdana, sans-serif;">großen Anzahl an vorgefertigten Filtern versehen.</span><br />
<br />
<span style="font-family: Verdana, sans-serif;">Noch bevor es die Preferences gab, konnte nur unterschieden werden, </span><br />
<span style="font-family: Verdana, sans-serif;">ob die gesamte Richtlinie bzw. der Benutzer- oder Computeranteil für den jeweiligen Anwender bzw. Computer gültig ist.<br /><br />Item Level Targeting geht hier einen Schritt weiter und filtert innerhalb einer bereits zutreffenden Richtlinie die einzelnen Elemente.</span><br />
<br />
<span style="font-family: Verdana, sans-serif;">Eine Liste aller ILTs findet ihr hier:<br /><br /><a href="http://technet.microsoft.com/en-us/library/cc733022.aspx">http://technet.microsoft.com/en-us/library/cc733022.aspx</a></span><br />
<br />
<div style="color: #3d85c6;">
<span style="font-family: Verdana, sans-serif; font-size: large;">Wie kann ich mir diese Filter zunutze machen?</span></div>
<br />
<span style="font-family: Verdana, sans-serif;">Hat man erst einmal die Logik hinter den ILTs verstanden, lassen sich relativ einfach selbst komplexe Filter bilden. </span><br />
<br />
<span style="font-family: Verdana, sans-serif;">Typische Beispiele:</span><br />
<ul>
<li><span style="font-family: Verdana, sans-serif;">Alle Notebooks / alle Desktops</span></li>
<li><span style="font-family: Verdana, sans-serif;">Filter auf die Betriebssystemversion</span></li>
<li><span style="font-family: Verdana, sans-serif;">Filter auf Sicherheitsgruppen</span></li>
<li><span style="font-family: Verdana, sans-serif;">Benutzerdefinierte LDAP Filter</span></li>
<li><span style="font-family: Verdana, sans-serif;">WMI Filter</span></li>
<li><span style="font-family: Verdana, sans-serif;">IP-Range Filter</span></li>
</ul>
<div style="background-color: white; color: #3d85c6;">
<span style="font-size: large;"><span style="font-family: Verdana, sans-serif;">Und nun ein typisches Szenario:</span></span></div>
<br />
<span style="font-family: Verdana, sans-serif;">Eine relativ beliebter Filter ist des "IP Address Range Targeting".</span><br />
<span style="font-family: Verdana, sans-serif;">Stellen wir uns zum Beispiel folgendes Szenario vor:</span><br />
<ul>
<li><span style="font-family: Verdana, sans-serif;">Wir möchten eine Umgebungsvariable "OFFICE" erzeugen</span></li>
<li><span style="font-family: Verdana, sans-serif;">Diese Variable soll auf "YES" gesetzt werden, so lange der Rechner mit dem Firmennetzwerk verbunden ist</span></li>
<li><span style="font-family: Verdana, sans-serif;">Ist der Rechner außerhalb des Firmennetzwerkes, soll die Variable auf "NO" gesetzt werden</span></li>
</ul>
<span style="font-family: Verdana, sans-serif;">Wir erzeugen folgende Policy.</span><br />
<br />
<span style="font-family: Verdana, sans-serif;">Das erste Item setzt die Variable auf "YES":</span><br />
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgba1aKQIeYN5vBDGz537dF-_zxuoJglJrjboeFI58cPZsu5dBo4CCnlEkusOu-D73DSRuO6rxUcyvER_CWCggc7T7iiEvlL7MyaKzGn8StjFg_Ek0HhcgaW9EfapyytSTqwZmg0VnMQBg/s1600/capture_001_30082012_092456.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgba1aKQIeYN5vBDGz537dF-_zxuoJglJrjboeFI58cPZsu5dBo4CCnlEkusOu-D73DSRuO6rxUcyvER_CWCggc7T7iiEvlL7MyaKzGn8StjFg_Ek0HhcgaW9EfapyytSTqwZmg0VnMQBg/s320/capture_001_30082012_092456.jpg" width="287" /></a></div>
<span style="font-family: Verdana, sans-serif;">Wir erzeugen ein Item Level Targeting:</span><br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjVBJMcb5vUsTptYYRThufrdZJemgqKyCoxqTj5qZ6s90G1b8okqOd5jajfzWQg7tboihPCbrwH5ohcaoc2mxUQgt60Xlf7evKPTj8aslPSYmQERU-wHaBQZQKyHAksgJtko4hU4Z5TcX0/s1600/capture_002_30082012_092501.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjVBJMcb5vUsTptYYRThufrdZJemgqKyCoxqTj5qZ6s90G1b8okqOd5jajfzWQg7tboihPCbrwH5ohcaoc2mxUQgt60Xlf7evKPTj8aslPSYmQERU-wHaBQZQKyHAksgJtko4hU4Z5TcX0/s320/capture_002_30082012_092501.jpg" width="287" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjPSIIk2g582Kl0cyRve-TkqypB9N6pUA3aiofOmJ5C0HZbBVd1Qc8lwRHGOIpPfGYlOv1pacngNiZ8BOzOklvUok_CsWbEphS45KM8hsMUQJsD9DPywTaKk6oEt9MiB1OUWI5gJIIKyR0/s1600/capture_003_30082012_092507.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="220" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjPSIIk2g582Kl0cyRve-TkqypB9N6pUA3aiofOmJ5C0HZbBVd1Qc8lwRHGOIpPfGYlOv1pacngNiZ8BOzOklvUok_CsWbEphS45KM8hsMUQJsD9DPywTaKk6oEt9MiB1OUWI5gJIIKyR0/s320/capture_003_30082012_092507.jpg" width="320" /></a></div>
<span style="font-family: Verdana, sans-serif;"></span><br />
<span style="font-family: Verdana, sans-serif;">Nun erzeugen wir das Item, dass die Variable auf "NO" setzt, sobald wir in einem anderen Netzwerk als 172.16.0.0 bzw. 172.17.0.0 sind:</span><br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEivf98I6OsFxtwWXKzNQJLsi-zmYE7Tjwf5cCT5FxvYeA-m91DavYwnAMxyOi0OVFFu8lgsDyE6QmB08i7U5rnrT9ZsXwnnGEcBUaTZCqMuGa_sy7j4Voxqzu9o3nfZnSC0eln1H062ooU/s1600/capture_004_30082012_092542.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEivf98I6OsFxtwWXKzNQJLsi-zmYE7Tjwf5cCT5FxvYeA-m91DavYwnAMxyOi0OVFFu8lgsDyE6QmB08i7U5rnrT9ZsXwnnGEcBUaTZCqMuGa_sy7j4Voxqzu9o3nfZnSC0eln1H062ooU/s320/capture_004_30082012_092542.jpg" width="287" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhZZ9eNWSuKeYwvA5jqhfaFDj0OeivkpCMezqyS8r5IiWUB5cO-EM2yaCQtmACtTQYppfon68uC5miK-VCI9rXmAPgyqbDIXdRBrCLIGnqxLG7MuVzGERkJvEOVGuE1lfleJqMJyPl-Fm4/s1600/capture_005_30082012_092546.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="220" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhZZ9eNWSuKeYwvA5jqhfaFDj0OeivkpCMezqyS8r5IiWUB5cO-EM2yaCQtmACtTQYppfon68uC5miK-VCI9rXmAPgyqbDIXdRBrCLIGnqxLG7MuVzGERkJvEOVGuE1lfleJqMJyPl-Fm4/s320/capture_005_30082012_092546.jpg" width="320" /></a></div>
<br />
<span style="font-family: Verdana, sans-serif;">Dass sollte es gewesen sein.</span><br />
<br />
<span style="font-family: Verdana, sans-serif;"><span style="color: #3d85c6; font-size: large;">Und nun der Funktionstest:</span><br /><br />Zuerst innerhalb des Firmennetzwerkes:</span><br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhYZLDmwG2V_AkFgyxIVylecYw0aLMgrGQ79T5eB0JQ6vtNcl2eVLc-t_4Wmfd0QZJz0PpGRLjzlFO6MvFF67ldzaI0xQ2tRoWbswLC1oxGfGYWfmLUAVLhFGmlEa-9ceGd5Ooz36NiqjI/s1600/capture_003_30082012_085702.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="161" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhYZLDmwG2V_AkFgyxIVylecYw0aLMgrGQ79T5eB0JQ6vtNcl2eVLc-t_4Wmfd0QZJz0PpGRLjzlFO6MvFF67ldzaI0xQ2tRoWbswLC1oxGfGYWfmLUAVLhFGmlEa-9ceGd5Ooz36NiqjI/s320/capture_003_30082012_085702.jpg" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjyyvxZZVMuyNj9nVLGSCIUCBy_z0rQFNTaT2vXa5RPxNp5bBX6MDSpP7BVHmPH-pLtJXYbtniaKsOie4XqBM6I35I2LD75GCY0jCU0O-zfUiPJ44XH56dkoMxhBjzoD6SdMPtrvk5SjXg/s1600/capture_004_30082012_085714.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="161" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjyyvxZZVMuyNj9nVLGSCIUCBy_z0rQFNTaT2vXa5RPxNp5bBX6MDSpP7BVHmPH-pLtJXYbtniaKsOie4XqBM6I35I2LD75GCY0jCU0O-zfUiPJ44XH56dkoMxhBjzoD6SdMPtrvk5SjXg/s320/capture_004_30082012_085714.jpg" width="320" /></a></div>
<span style="font-family: Verdana, sans-serif;"><br /></span><span style="font-family: Verdana,sans-serif;">Die Variable wird wie erwartet auf "YES" gesetzt.</span><br />
<br />
<span style="font-family: Verdana,sans-serif;">Nun der Test außerhalb des Firmennetzwerkes (192.168.0.0).</span><br />
<span style="font-family: Verdana,sans-serif;">Der Rechner wird zusätzlich gebootet.</span><br />
<span style="font-family: Verdana,sans-serif;"></span><br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEheTilyBYWtt67MITfnSuFNPUrpbHl6_h-HLeObDz_CmT3X2R_eNG5PxbaVD-vibeKYTr38VPuA3IylMm5vXlWw2V6ptq1szCkJM9zA_1IxWgnGEEv1WrnmabLi6hOvYDbEiyNB_tupbiA/s1600/capture_002_30082012_090405.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="161" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEheTilyBYWtt67MITfnSuFNPUrpbHl6_h-HLeObDz_CmT3X2R_eNG5PxbaVD-vibeKYTr38VPuA3IylMm5vXlWw2V6ptq1szCkJM9zA_1IxWgnGEEv1WrnmabLi6hOvYDbEiyNB_tupbiA/s320/capture_002_30082012_090405.jpg" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjyyvxZZVMuyNj9nVLGSCIUCBy_z0rQFNTaT2vXa5RPxNp5bBX6MDSpP7BVHmPH-pLtJXYbtniaKsOie4XqBM6I35I2LD75GCY0jCU0O-zfUiPJ44XH56dkoMxhBjzoD6SdMPtrvk5SjXg/s1600/capture_004_30082012_085714.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="161" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjyyvxZZVMuyNj9nVLGSCIUCBy_z0rQFNTaT2vXa5RPxNp5bBX6MDSpP7BVHmPH-pLtJXYbtniaKsOie4XqBM6I35I2LD75GCY0jCU0O-zfUiPJ44XH56dkoMxhBjzoD6SdMPtrvk5SjXg/s320/capture_004_30082012_085714.jpg" width="320" /></a></div>
<br />
<span style="font-family: Verdana,sans-serif;">Die Variable steht wider Erwarten auf "YES".</span><br />
<br />
<div style="color: #3d85c6;">
<span style="font-size: large;"><span style="font-family: Verdana,sans-serif;">Was ist hier also passiert?</span></span></div>
<br />
<span style="font-family: Verdana,sans-serif;"><u>Ein Blick ins gpsvc.log verrät:</u><br /><br /><span style="font-family: "Courier New",Courier,monospace;">GPSVC(3a4.414) 08:59:32:968 <b>Wait for network connectivity timed out...</b> proceeding to apply policy.</span><br style="font-family: "Courier New",Courier,monospace;" /><span style="font-family: "Courier New",Courier,monospace;">GPSVC(3a4.414) 08:59:33:234 NlaQueryNetSignatures returned 1 networks</span><br style="font-family: "Courier New",Courier,monospace;" /><span style="font-family: "Courier New",Courier,monospace;">GPSVC(3a4.414) 08:59:33:234 NlaGetIntranetCapability failed with 0x15</span><br style="font-family: "Courier New",Courier,monospace;" /><span style="font-family: "Courier New",Courier,monospace;">GPSVC(3a4.414) 08:59:33:234 <b>There is no domain compartment</b></span></span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<u><span style="font-family: Verdana,sans-serif;">etwas später:</span></u><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<br />
<div style="font-family: "Courier New",Courier,monospace;">
GPSVC(3a4.50c) 08:59:49:484 NlaGetIntranetCapability returned Not Ready error. Consider it as NOT intranet capable.<br />
GPSVC(3a4.50c) 08:59:49:484 <b>There is no connectivity</b></div>
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Der Policy Zyklus schlägt fehl.</span><br />
<span style="font-family: Verdana,sans-serif;">Für die "normalen" Policies ist dies kaum von Bedeutung.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Bei den Preferences hat dies jedoch eine massive Auswirkung.<br /><br />Die Policy wird nicht gelesen und es kann auch nicht auf das XML-File der Policy zugegriffen werden. <br /><br />Im XML-File der Policy befinden sich ebenfalls die Item Level Targetings.</span><br />
<b><span style="font-family: Verdana,sans-serif;">Die Variable wird nicht wie erwartet geändert.</span></b><br />
<span style="font-family: Verdana,sans-serif;"><br /></span><span style="color: #3d85c6; font-size: large;"><span style="font-family: Verdana,sans-serif;">Fazit:</span></span><span style="font-family: Verdana,sans-serif;"> </span><br />
<br />
<b><span style="font-family: Verdana,sans-serif;">Um Richtlinien korrekt anwenden zu können, benötigen wir also immer eine Verbindung zum Domaincontroller bzw. zum Firmennetzwerk.</span></b><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<b><span style="font-family: Verdana,sans-serif;">Preferences die sich auf unterschiedliche Netzwerke beziehen, funktionieren nur dann, wenn aus diesen Netzwerken heraus ein Domaincontroller erreichbar ist.</span></b><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Da viele Einstellungen die per Group Policy Preferences geschrieben werden, auch direkt vom Benutzer geändert werden können (Einstellungen die im Benutzeranteil der Policy definiert sind), hat man keine Kontrolle über diese Einstellungen wenn keine Verbindung zum DC besteht.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Wollen wir zum Beispiel einen Registrykey setzen, funktioniert das <br />perfekt solange der Benutzer sich innerhalb des Firmennetzwerkes befindet.</span><br />
<span style="font-family: Verdana,sans-serif;">(selbst wenn der Benutzer den Key ändert, wird er beim nächsten Policy-Zyklus erneut gesetzt) </span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;">Verlässt er jedoch dieses Firmennetzwerk, so kann er den Key unter Umständen ändern und er wird erst dann erneut gesetzt, wenn der Benutzer wieder Kontakt zum Domänennetzwerk hat.</span><br />
<span style="font-family: Verdana,sans-serif;"><br /></span>
<span style="font-family: Verdana,sans-serif;"></span>Matthias Wolfhttp://www.blogger.com/profile/05564512349340522110noreply@blogger.com0tag:blogger.com,1999:blog-4828071326601170739.post-70448327880790708232012-08-07T13:02:00.000+02:002013-08-01T11:22:21.567+02:00GPP und der Internet Explorer 9 - Das endlose Drama?<span style="font-family: Verdana, sans-serif;">Man muss sich schon einmal fragen, was sich Microsoft dabei gedacht hat...</span><br />
<br />
<span style="font-family: Verdana, sans-serif;">Mittels Group Policy Preferences lassen sich die Einstellungen des Internet Explorers steuern. Das funktioniert auch wunderbar, zumindest unter IE 5,6,7 und 8.</span><br />
<br />
<span style="font-family: Verdana, sans-serif;">Kommt jedoch ein IE 9 ins Spiel, wird es kritisch.</span><br />
<br />
<span style="font-family: Verdana, sans-serif;"><span style="color: #3d85c6; font-size: large;">Das Problem:</span><br /><br />Beim Programmieren der GPMC von Windows 7 (Vista, Server 2008 und Server 2008 R2) gab es noch keinen IE 9. <br />Die Einstellungen der Preferences werden bekanntlich in XML Dateien gespeichert. Dort wird ein Eintrag erzeugt, der die maximal unterstützte Version des Internet Explorers angibt.</span><br />
<span style="font-family: Verdana, sans-serif;"><br /></span>
<span style="font-family: Verdana, sans-serif;">Folglich steht diese Version auf <b>max="9.0.0.0" </b>.</span><br />
<span style="font-family: Verdana, sans-serif;">Was nichts anderes bedeutet, als Internet Explorer 8 - jedoch nicht Internet Explorer 9.</span><br />
<span style="font-family: Verdana, sans-serif;"><br /></span>
<span style="font-family: Verdana, sans-serif;">Auf Einzelheiten möchte ich hier nicht näher eingehen, dass<br />wurde bereits an anderer Stelle vielfach getan.</span><br />
<span style="font-family: Verdana, sans-serif;"><br /><a href="http://www.grouppolicy.biz/2011/03/how-to-enable-group-policy-preferences-support-for-ie9/">http://www.grouppolicy.biz/2011/03/how-to-enable-group-policy-preferences-support-for-ie9/</a></span><br />
<span style="font-family: Verdana, sans-serif;"><br /><a href="http://www.blogger.com/goog_2108577332"></a></span>
<a href="http://blogs.technet.com/b/asiasupp/archive/2011/03/30/internet-explorer-9-ie9-group-policy-preferences-gpp.aspx"><span style="font-family: Verdana, sans-serif;">http://blogs.technet.com/b/asiasupp/archive/2011/03/30/internet-explorer-9-ie9-group-policy-preferences-gpp.aspx</span></a><br />
<span style="font-family: Verdana, sans-serif;"><br />Seit einiger Zeit hat Microsoft einen Hotfix bereitgestellt, der<br />dieses Verhalten ändert.<br />Jedoch muss dieser Hotfix auf jedem Client installiert werden, <br />der Preferences für den Internet Explorer bearbeiten soll.</span><br />
<span style="font-family: Verdana, sans-serif;"><br /></span>
<a href="http://support.microsoft.com/kb/2530309"><span style="font-family: Verdana, sans-serif;">http://support.microsoft.com/kb/2530309</span></a><br />
<span style="font-family: Verdana, sans-serif;"><br /></span>
<span style="font-family: Verdana, sans-serif;">Vorhandene Preferences werden nicht abgeändert.</span><br />
<span style="font-family: Verdana, sans-serif;"><br /></span>
<br />
<div style="color: #0b5394;">
<span style="font-family: Verdana, sans-serif;"><span style="color: #3d85c6; font-size: large;">Es gibt also zwei Lösungsansätze:</span></span></div>
<br />
<span style="font-family: Verdana, sans-serif;">1. Manuelles Editieren der XML Datei</span><br />
<span style="font-family: Verdana, sans-serif;">2. Hotfix "KB2530309" auf jedem Client installieren der Policies bearbeitet</span><br />
<span style="font-family: Verdana, sans-serif;"><br /></span>
<span style="font-family: Verdana, sans-serif;"><br />Egal für welche Lösung man sich entscheidet, es bleibt immer ein Problem:</span><br />
<span style="font-family: Verdana, sans-serif;">Sollte jemand eine Policy editieren (z.B. neue Items einfügen) bzw. eine neue Policy anlegen die GPP IE Settings enthält, wird unter Umständen wieder eine nicht kompatible InternetSettings.xml erzeugt (wenn z.B. dieser Computer den Hotfix nicht installiert hat).</span><br />
<span style="font-family: Verdana, sans-serif;"><br /></span>
<span style="font-family: Verdana, sans-serif;"></span><br />
<div style="color: #3d85c6;">
<span style="font-family: Verdana, sans-serif; font-size: large;">Was mache ich jedoch wenn ich wissen möchte, welche Policy Einstellungen enthält, die nicht IE 9 konform sind?</span></div>
<br />
<span style="font-family: Verdana, sans-serif;"><i><b>Entweder:</b></i><br /><br />Jede Policy manuell durchkämmen<br /><br /><b><i>Oder:</i></b><br /><br /><span style="font-size: large;"><a href="https://skydrive.live.com/redir?resid=62A6D19FFDA7F555%21115">GPP Incompatible IE XML Finder</a></span></span><br />
<br />
<span style="font-family: Verdana, sans-serif;">Ich habe mir einmal die Mühe gemacht dieses kleine Tool zu programmieren.</span><br />
<span style="font-family: Verdana, sans-serif;"></span><br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjBdskx5mBfAB5RnsgweJUCv7-WDfWeiJUNRUGnaF0JK3ReccOZC2cTP3EEOt99y-l-XboH5Hal37rvdEnH0C0Et8WWwgIREWBeIZni3DxmnIZ52NpPyouM6rgi0YTc8E5VI3hBXs1OIlc/s1600/Untitled.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="175" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjBdskx5mBfAB5RnsgweJUCv7-WDfWeiJUNRUGnaF0JK3ReccOZC2cTP3EEOt99y-l-XboH5Hal37rvdEnH0C0Et8WWwgIREWBeIZni3DxmnIZ52NpPyouM6rgi0YTc8E5VI3hBXs1OIlc/s320/Untitled.jpg" width="320" /></a></div>
<span style="font-family: Verdana, sans-serif;"><br />Das Progamm durchsucht das SYSVOL Verzeichnis nach allen InternetSettings.xml und wertet diese Dateien aus.<br /><br />Es werden alle Policies angezeigt die nicht IE 9 konform sind (bzw. IE 10 konform). Sind in einer Policy mehrere Items enthalten die nicht konform sind, so wird diese Policy mehrfach angezeigt.</span><br />
<span style="font-family: Verdana, sans-serif;"><br /></span>
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhhoK71ARVOkN3rqz3RWByOIEjnv9ytg-QxvSTAmz7gzmaYm6A7kcOy9jstXHiUWpemHkHO9-YZUB8i52egDmIEeZTlV7paMjeueczfCcn4WvrqlUZZAvazopZv-ZX8Skc4t6YQ7W2W8n4/s1600/Clipboard02.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="177" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhhoK71ARVOkN3rqz3RWByOIEjnv9ytg-QxvSTAmz7gzmaYm6A7kcOy9jstXHiUWpemHkHO9-YZUB8i52egDmIEeZTlV7paMjeueczfCcn4WvrqlUZZAvazopZv-ZX8Skc4t6YQ7W2W8n4/s320/Clipboard02.jpg" width="320" /></a></div>
<span style="font-family: Verdana, sans-serif;"><br /></span>
<span style="font-family: Verdana, sans-serif;">Die betreffenden Policies können dann mit der GPMC gefixed werden.</span><br />
<span style="font-family: Verdana, sans-serif;"><br />Bei diesem Tool handelt es sich noch um Version 1.0.</span><br />
<span style="font-family: Verdana, sans-serif;">Solltet ihr Bugs entdecken, schreib mir schreibt einen Kommentar.</span><br />
<span style="font-family: Verdana, sans-serif;"><br /></span>
<span style="font-family: Verdana, sans-serif;">Das Programm benutzt ihr natürlich auf eure eigene Verantwortung.</span><br />
<span style="font-family: Verdana, sans-serif;"><br /></span>
<a href="https://skydrive.live.com/redir?resid=62A6D19FFDA7F555%21115"><span style="font-family: Verdana, sans-serif;"><span style="font-size: large;">Download</span></span></a><br />
<span style="font-family: Verdana, sans-serif;"><br /></span>
<span style="font-family: Verdana, sans-serif;"><br />PS:<br />Unter Windows 8 bzw. Server 2012 ist das Verhalten nun endlich anders.</span><br />
<span style="font-family: Verdana, sans-serif;">GPP unterstützen sowohl IE 9 als auch den IE10.</span><br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgocXu8M9TaNPebeiSxcCtao0ffUc_py_KfcRRNQF2ojH2drrbr7v4qyRTR3sE6SLBr2pMFESIyaZCBb1JiopKfG1AFlPSryiCBn7yyN6QVo2S1a5swopyrwNxDmzPvEre293n-5DAhcpY/s1600/Clipboard01.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="113" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgocXu8M9TaNPebeiSxcCtao0ffUc_py_KfcRRNQF2ojH2drrbr7v4qyRTR3sE6SLBr2pMFESIyaZCBb1JiopKfG1AFlPSryiCBn7yyN6QVo2S1a5swopyrwNxDmzPvEre293n-5DAhcpY/s320/Clipboard01.jpg" width="320" /></a></div>
<br />
<span style="font-family: Verdana, sans-serif;"><br /></span>
<span style="font-family: Verdana, sans-serif;">Erzeugt man ein Item für IE 10, so wird in das XML File<br /><b>max="99.0.0.0"</b> eingetragen. </span><br />
<span style="font-family: Verdana, sans-serif;"><br />Die erzeugten Items sind dann automatisch mit zukünftigen IE Versionen kompatibel.</span><br />
<br />
<span style="font-family: Verdana, sans-serif;"><span style="color: red;"><b>Update 12.09.2012</b></span><br /><br />Zur Vollständigkeit, es gibt noch einen dritten Lösungsweg.</span><br />
<span style="font-family: Verdana, sans-serif;"><br />Im XML-File befindet sich ein Eintrag hidden="1".</span><br />
<span style="font-family: Verdana, sans-serif;">Dadurch wird das Item Level Targeting nicht im GUI angezeigt.<br />Ihr könnt den Wert hidden auf 0 setzen.</span><br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<span style="font-family: Verdana, sans-serif;">Dann erscheint der Versionsfilter in der GUI:</span><br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEguHGo1prpClw_FsAi3wAzo2EEZ-po6BFmyMJlDZgGVwH5BEnTGLRS9ARV1sU5_Rf3r2n7P3MriQ8N9BBElIMSur9oHtjOVeFynwFEnjDuUHAaHP90oJveZ4t8kfY8oqRupqlSN2k7OUBw/s1600/Unbenannt.JPG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="222" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEguHGo1prpClw_FsAi3wAzo2EEZ-po6BFmyMJlDZgGVwH5BEnTGLRS9ARV1sU5_Rf3r2n7P3MriQ8N9BBElIMSur9oHtjOVeFynwFEnjDuUHAaHP90oJveZ4t8kfY8oqRupqlSN2k7OUBw/s320/Unbenannt.JPG" width="320" /></a></div>
<span style="font-family: Verdana, sans-serif;">Der Filter kann dort ebenfalls editiert werden.<br />Theoretisch kann er sogar komplett entfernt werden.</span><br />
<span style="font-family: Verdana, sans-serif;"><br />Das macht jedoch nur bedingt Sinn, da dann absolut keine Versionsprüfung mehr stattfindet. (weder für IE 8,9,10 noch für 5,6,7).</span><br />
<br />
<b><span style="color: red;"><span style="font-family: Verdana, sans-serif;">Update 01.08.2013:</span></span></b><br />
<br />
<span style="font-family: Verdana, sans-serif;">Version 1.1 des "GPP Incompatible IE XML Finder" veröffentlicht.</span><br />
<span style="font-family: Verdana, sans-serif;"><br />- Domäne kann nun manuell ausgewählt werden</span><br />
<span style="font-family: Verdana, sans-serif;">- Programm wird im Fehlerfalle nicht mehr beendet</span>
<span style="font-family: Verdana, sans-serif;"><br /></span>Matthias Wolfhttp://www.blogger.com/profile/05564512349340522110noreply@blogger.com13