Verwenden von GPRESULT zum Auflisten von angewendeten Richtlinien
Zurücksetzen der Standarddomänenrichtlinie und der Lokalen Sicherheitsrichtlinie
Bevor Sie mit dem Test auf Richtlinienprobleme beginnen, stellen Sie sicher, dass Sie keine unangewendeten Richtlinien haben, die die Ergebnisse verzerren würden. Beginnen Sie mit der Ausführung von Gpupdate /force, um sicherzustellen, dass die neuesten Richtlinien angewendet werden. Der Befehl gpresult kann dann verwendet werden, um die GPOs aufzulisten, die derzeit auf den betreffenden Benutzer und/oder Computer angewandt werden. Die folgende Liste zeigt einige Beispiele für die mit gpresult verfügbaren Parameter:
gpresult /s ComputerName /user Domain\UserName /r
Listet eine Zusammenfassung der angewendeten GPOs auf, wenn der angegebene Benutzer auf dem angegebenen Computer angemeldet ist.
gpresult /s ComputerName /user Domain\UserName /r /scope user
Listet nur Benutzerrichtlinien aus dem obigen Bericht auf. Computerrichtlinien werden ausgelassen.
gpresult /s ComputerName /user Domain\UserName /h gpreport.html
Erzeugt denselben Bericht wie im ersten Beispiel, speichert ihn aber in einer HTML-Datei.
gpresult /s ComputerName /u domain\UserCred /p p@ssW23 /user Domain\UserName /r
Erzeugt denselben Bericht wie im ersten Beispiel, verwendet aber die angegebenen Anmeldedaten, um den Befehl auszuführen.
gpresult /s ComputerName /user Domain\UserName /z > policy.txt
Erzeugt einen sehr ausführlichen Bericht über Benutzer- und Computerrichtlinieneinstellungen und speichert ihn in einer Textdatei.
Die Gruppenrichtlinien-Verwaltungskonsole enthält den Gruppenrichtlinienergebnis-Assistenten, auch bekannt als Richtlinienergebnissatz (RSoP). Greifen Sie auf den Gruppenrichtlinienergebnisassistenten zu, indem Sie auf Start klicken, dann ausführen und dann eingeben gpmc.msc
. Wenn Sie die Konsole öffnen, sehen Sie die Registerkarte „Gruppenrichtlinienergebnisse“ unten. Zusätzliche RSoP-Dokumentation ist auf der Microsoft TechNet-Website verfügbar.
Um den Assistenten abzuschließen, führen Sie die folgenden Schritte aus:
Klicken Sie mit der rechten Maustaste und wählen Sie Gruppenrichtlinienergebnis-Assistent ausführen aus.
Wählen Sie diesen Computer oder einen anderen Computer.
Wählen Sie einen bestimmten Benutzer aus.
Klicken Sie auf Fertig stellen, um den Assistenten abzuschließen.
Das GPO für die standardmäßige Domänenrichtlinie und die standardmäßige Domänencontroller-Richtlinie gilt für die gesamte Domäne und alle Domänencontroller in der Domäne. Probleme bzw. nicht ordnungsgemäß konfigurierte Einstellungen in einem dieser GPOs können weitreichende Auswirkungen haben. Wenn Probleme mit einem dieser GPOs auftreten, die nicht auf normale Weise gelöst werden können, kann der Befehl dcgpofix ein oder beide dieser GPOs auf ihre Standardeinstellungen zurücksetzen.
Führen Sie die folgenden Schritte aus, um die standardmäßige Domänenrichtlinie und/oder das GPO der standardmäßigen Domänencontroller-Richtlinie auf ihre Standardeinstellungen zurückzusetzen:
Melden Sie sich als Domänenadministrator bei einem Domänencontroller an.
Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten.
Geben Sie den zurückzusetzenden Parameter ein:
dcgpofix /target:Domain
zum Zurücksetzen des Domänen-GPO.
dcgpofix /target:DC
zum Zurücksetzen des Standard-DC-GPO.
dcgpofix /target:both
zum Zurücksetzen der Domain- und Standard-DC-GPOs.
Nachdem Sie den entsprechenden Befehl in Schritt 3 eingegeben haben, geben Sie Y in beide Eingabeaufforderungen ein.
Schließen Sie das Eingabeaufforderungsfenster.
Weitere Informationen zum Befehl dcgpofix finden Sie auf der Microsoft TechNet-Website.
Obwohl dies nicht weit verbreitet ist, können Probleme auftreten, wenn Sie die lokale Sicherheitsrichtlinie eines Computers bearbeitet haben. Diese Richtlinie kann auch mit den folgenden Schritten auf die Standardeinstellungen zurückgesetzt werden:
Melden Sie sich bei einem Konto mit lokalen Administratorrechten auf dem fraglichen Computer an.
Klicken Sie auf Start, Ausführen, geben Sie dann "cmd
" in die Eingabeaufforderung ein und Enter>, um eine Befehlssitzung zu starten.
Geben Sie ein secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose
, um die lokale Sicherheitsrichtlinie zurückzusetzen.
Quelle: Microsoft Technet Diskussionsthread .