Freigeben über

Szenariohandbuch: GPO zum Zuordnen eines Netzlaufwerks gilt nicht wie erwartet

In diesem Szenario wird erläutert, wie Sie TroubleShootingScript (TSS) verwenden, um Daten zu sammeln, um ein Problem zu beheben, bei dem ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) zum Zuordnen eines Netzlaufwerks nicht wie erwartet angewendet wird.

Handbuch zur Problembehandlung

Bevor Sie fortfahren, lesen Sie den Leitfaden zur Problembehandlung von Gruppenrichtlinien.

Umgebung

  • Domänenname: contoso.com
  • Active Directory-Standorte: vier Standorte (zwei Domänencontroller pro Standort) (Phoenix, London, Tokio und Mumbai)
  • Anzahl der Domänencontroller: acht
  • Betriebssystem des Domänencontrollers: Windows Server 2019
  • Betriebssystem des Clientcomputers: Windows 11, Version 22H2

Diagramm der Topologie der Umgebung.

Inhalt dieses Szenarios

Bevor wir mit der Problembehandlung beginnen, finden Sie hier einige Bereichsfragen, die uns helfen können, die Situation zu verstehen und die Ursache des Problems einzugrenzen:

  1. Was sind die Client- und Serverbetriebssysteme?
    Antwort: Die Clientcomputer sind Windows 11, Version 22H2, und der Dateiserver, auf dem sich das zugeordnete Laufwerk befindet, befindet sich auf dem Linux-Server.

  2. Wie konfigurieren Sie die Gruppenrichtlinieneinstellungen?
    Antwort: Wir haben ein Gruppenrichtlinienobjekt mit dem Namen "Mapped-Drive ", und dieses Gruppenrichtlinienobjekt wird mithilfe der Gruppenrichtlinieneinstellungen der zugeordneten Laufwerkerweiterung konfiguriert.

    Screenshot des Gruppenrichtlinienergebnisses.

  3. Sind alle Benutzer im Bereich des GPO Mapped-Drive betroffen?
    Antwort: Wir haben dieses Gruppenrichtlinienobjekt für die Organisationseinheit "IT-Benutzer" (OU) konfiguriert. Wir haben es mit vier bis fünf Benutzern getestet. Für alle ist Laufwerk Z nicht zugeordnet.

  4. Was geschieht, wenn Sie das Laufwerk manuell zuordnen, anstatt Gruppenrichtlinieneinstellungen zu verwenden?
    Antwort: Wir können Laufwerk Z mithilfe des net use Befehls erfolgreich demselben Dateiserver zuordnen.

  5. Ist dieses Gruppenrichtlinienobjekt ein neues Gruppenrichtlinienobjekt oder hat das Gruppenrichtlinienobjekt zuvor funktioniert?
    Antwort: Dieses Gruppenrichtlinienobjekt funktionierte früher und wurde von allen Benutzern verwendet, um zugeordnete Laufwerke abzurufen. Seit den letzten Tagen funktionieren die zugeordneten Laufwerke nicht mehr.

  6. Wenn Sie die Ausgabe ausführen gpresult /h und überprüfen, stellen Sie fest, dass sich das GPO Mapped-Drive in der entsprechenden Liste befindet?
    Antwort: Ja, wir beobachten, dass das Mapped-Drive-Gruppenrichtlinienobjekt in der entsprechenden Liste angewendet wird.

    Screenshot der angewendeten GPOs.

    Screenshot, der zeigt, dass das Gruppenrichtlinienobjekt erfolgreich angewendet wird.

  7. Haben Sie Sicherheitsfilter, WMI-Filter oder Einstellungen für Deny (Apply) für den Benutzer oder eine Gruppe konfiguriert?
    Antwort: Das Gruppenrichtlinienobjekt ist mit Standardeinstellungen eingerichtet, und es werden keine Änderungen an dem Gruppenrichtlinienobjekt aus der Sicht der Sicherheitsfilterung, des WMI-Filters oder des Setups aller Verweigerungsberechtigungen vorgenommen.

Problembehandlung

Sammeln Sie zunächst die folgenden Daten für die Problembehandlung. Da wir die Anmeldung oder Anmeldung nachverfolgen müssen, müssen wir die folgenden Aufgaben als lokaler Administrator oder ein anderes Benutzerkonto mit lokalen Administratoranmeldeinformationen ausführen.

Notiz

Für diese Schritte ist ein schneller Benutzerwechsel erforderlich, um aktiviert zu werden. Wenn beim Versuch, Benutzer zu wechseln, Probleme auftreten, überprüfen Sie, ob die folgende Richtlinie oder der Registrierungswert festgelegt ist:

  • Gruppenrichtlinie: Die Einstiegspunkte für den schnellen Benutzerwechsel unter "Computerkonfiguration\Administrative Vorlagen\System\Anmeldung" ausblenden.
  • Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.
  • Registrierungswert: HideFastUserSwitching

  1. Laden Sie TSS herunter, und extrahieren Sie die ZIP-Datei in den Ordner "C:\temp". Erstellen Sie den Ordner, falls er nicht vorhanden ist.

  2. Öffnen Sie einen PowerShell-Befehl mit erhöhten Rechten, und führen Sie den Befehl aus:

    Set-ExecutionPolicy unrestricted

    Screenshot des Befehlsergebnisses

  3. Wechseln Sie zu "c:\temp\TSS", wo Sie die TSS-ZIP-Datei extrahiert haben.

  4. Führen Sie .\TSS.ps1 -Start -Scenario ADS_GPOEx -Procmon aus. Akzeptieren Sie den Vertrag, und warten Sie, bis das TSS mit dem Sammeln von Daten beginnt.

    Screenshot des TSS-Tools.

  5. Wechseln Sie den Benutzer, und melden Sie sich dann mit dem Benutzerkonto an, das Laufwerk Z nicht zugeordnet wird.

  6. Sobald die Anmeldung erfolgreich ist, öffnen Sie eine Eingabeaufforderung, und führen Sie sie aus gpresult /h appliedgpo.htm. Vergewissern Sie sich, dass sich das GPO Mapped-Drive in der entsprechenden Liste befindet.

  7. Wechseln Sie den Benutzer erneut, und melden Sie sich dann mit dem Benutzerkonto an, das die TSS-Protokollierung gestartet hat. Drücken Sie Y.

  8. TSS beendet das Sammeln von Daten, und die gesammelten Daten befinden sich im Ordner "C:\MSDATA " als ZIP-Datei oder als Ordner mit dem Namen TSS_<Machinename>_<Time>_ADS_GPOEx.

Weitere Informationen zu TSS finden Sie in der Einführung in das TroubleShootingScript-Toolset (TSS).

Datenanalyse

Wechseln Sie zum Ordner "c:\msdata ", in dem TSS alle Berichte gespeichert hat, und extrahieren Sie dann den Inhalt der ZIP-Datei. Überprüfen Sie die Datei mit dem Namen <Client_machinename-Time>><_Microsoft-Windows-GroupPolicy-Operational.evtx.

Startereignis 4001

Screenshot der Ereignis-ID 4001.

Ereignis 5017 mit der OU "Benutzer"

Das GPO Mapped-Drive ist mit der OE "Users" verknüpft.

Screenshot der Ereignis-ID 5017.

Ereignis 5312 mit der Liste der anwendbaren GPOs

Wir sehen, dass sich das GPO Mapped-Drive in der entsprechenden Liste befindet.

Screenshot der Ereignis-ID 5312.

Ereignis 4016, das zeigt, dass die Erweiterung "Gruppenrichtlinienlaufwerkzuordnungen" verarbeitet und erfolgreich war

Screenshot der Ereignis-ID 4016.

Ablaufverfolgung von Gruppenrichtlinieneinstellungen

Aus den Gruppenrichtlinien-Betriebsprotokollen stellen wir fest, dass die Gruppenrichtlinie verarbeitet wurde und die Gruppenrichtlinieneinstellungen erfolgreich angewendet wurden. Zusätzlich zu den oben genannten, können wir auch die vom TSS-Tool gesammelten Gruppenrichtlinieneinstellungen protokollierung/Ablaufverfolgung überprüfen.

Die Ablaufverfolgung von Gruppenrichtlinieneinstellungen ist eine zusätzliche Protokollierung, die wir für jede clientseitige Erweiterung für Gruppenrichtlinieneinstellungen aktivieren können. Die TSS-GPOEx-Ablaufverfolgung ist standardmäßig aktiviert.

Notiz

Wenn Sie die GPSVC-Protokollierung manuell aktivieren möchten, befolgen Sie die Aktivierung der Gruppenrichtlinieneinstellungen für die Debugprotokollierung mithilfe des RSAT.

Hier erfahren Sie, wie Sie das GPSVC-Protokoll überprüfen und durchsuchen, um zu bestätigen, dass die Gruppenrichtlinie erfolgreich auf den Client angewendet wurde.

In <Clientmachinename>_<Date_Time>_GPPREF_User.txt stellen wir fest, dass die Erweiterung GPP Mapped Drives die Verarbeitung startet.

Notiz

Aus Platz- und Lesbarkeitsgründen enthält die Analyse nur Codeausschnitte relevanter Problembehandlungsdaten und nicht alle Daten im Protokoll.

yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] Entering ProcessGroupPolicyExDrives()
yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] SOFTWARE\Policies\Microsoft\Windows\Group Policy\{5794DAFD-BE60-433f-88A2-1A31939AC01F}

Die Erweiterung "Zugeordnete Gruppenrichtlinienlaufwerke" hat ein Gruppenrichtlinienobjekt identifiziert, das mit dieser Erweiterung konfiguriert ist, und der Name ist "Mapped-Drive":

yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] GPC : LDAP://CN=User,cn={6D6CECFD-C75A-43FA-8C32-0B5963E42C5B},cn=policies,cn=system,DC=contoso,DC=com
yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] GPT : \\contoso.com\SysVol\contoso.com\Policies\{6D6CECFD-C75A-43FA-8C32-0B5963E42C5B}\User
yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] GPO Display Name : Mapped-Drive
yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] GPO Name : {6D6CECFD-C75A-43FA-8C32-0B5963E42C5B}

Wir stellen fest, dass Laufwerk Z erfolgreich zugeordnet ist:

yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] Starting class <Drive> - Z:.
yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] Policy is not flagged for removal.
yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] Completed class <Drive> - Z:.
yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] Completed class <Drives>.
yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] EVENT : The user 'Z:' preference item in the 'Mapped-Drive {6D6CECFD-C75A-43FA-8C32-0B5963E42C5B}' Group Policy Object applied successfully.
yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] Completed class <Drive> - Z:.
yyyy-mm-dd hh:mm::ss:sss [pid=0x3134,tid=0x4fc] Completed class <Drives>

Verwenden von "Procmon" zum Suchen des Prozesses zum Entfernen des Laufwerks Z

Derzeit wissen wir, dass die Gruppenrichtlinieneinstellungen angewendet werden, laufwerk Z jedoch nicht sichtbar ist. Wir können das Laufwerk manuell zuordnen, aber das Laufwerk wird während der Anmeldung oder Anmeldung gelöscht. Daher gibt es einige andere Einstellungen, die Laufwerk Z während der Anmeldung auf dem Computer löschen.

Als Nächstes müssen wir die Procmon-Ablaufverfolgung analysieren, um zu beobachten, was das zugeordnete Laufwerk gelöscht hat. Das TSS-Tool sammelt auch die Ablaufverfolgung mit dem -Procmon Schalter, den wir zum Sammeln der Daten verwendet haben.

Die Prokmonspur kann überwältigend sein. Führen Sie die folgenden Schritte aus, um einen Filter zum Anzeigen der Daten einzurichten. Der Filter kann verwendet werden, um Probleme im Zusammenhang mit zugeordneten Laufwerken zu beheben.

  1. Öffnen Sie die Datei <"Clientmachinename>_<date_time>_Procmon_0.pml".

  2. Wählen Sie "Filterfilter" - aus.

  3. Fügen Sie den Filter hinzu: Detail - enthält - Z:.

    Screenshot des Prozessüberwachungsfilters.

  4. Die Ausgabe des Filters zeigt zwei Prozesse: cmd.exe und net.exe.

    Screenshot des Filterergebnisses, das cmd.exe und net.exe zeigt.

  5. Doppelklicken Sie auf net.exe, und wechseln Sie zur Registerkarte "Prozess", die die folgenden Parameter enthält:

    • Befehlszeile: Der Löschvorgang des zugeordneten Laufwerks.
    • Übergeordnete PID: Der übergeordnete Prozess von net.exe ist 13436.
    • Benutzer: Der Name des Benutzers, in dem dieser Prozess ausgeführt wurde. In unserem Beispiel ist es das Benutzerkonto selbst.

    Screenshot der Registerkarte

Richten Sie dann einen anderen Filter ein, um zu identifizieren, wer mit dem übergeordneten Prozessfilter net.exe spawned hat.

  1. Wechseln Sie zu Filterfilter - , und wählen Sie "Zurücksetzen" aus.

  2. Wenden Sie nun den folgenden Filter mithilfe der PID des übergeordneten Elements an.

    Filtern Sie die Ablaufverfolgung mithilfe der PID-Bedingung 13436.

Wir stellen fest, dass die PID cmd.exe ist und anscheinend ein Gruppenrichtlinienobjekt mit den folgenden Parametern verarbeitet:

  • Befehlszeile: C:\Windows\system32\cmd.exe /c "\contoso.com\SysVol\contoso.com\Policies{E347CA05-D21D-433D-9BCA-2FE555336749}\User\Scripts\Logon\deletedrives.bat"
  • Übergeordnete PID: Der übergeordnete Prozess von cmd.exe ist 14900.
  • Benutzer: Der Name des Benutzers, in dem dieser Prozess ausgeführt wurde. In unserem Beispiel ist es der Benutzer selbst.

Screenshot der Registerkarte

Verwenden Sie nun denselben Mechanismus und den PID-Filter erneut, indem Sie zu "Filterfilter" - wechseln, "Zurücksetzen" auswählen und den folgenden Filter anwenden:

Screenshot der Registerkarte

Wir stellen fest, dass GPScrpit.exe der übergeordnete Prozess des cmd.exe Prozesses ist. Anhand dieses Hinweises stellen wir fest, dass ein Gruppenrichtlinienskript vorhanden ist, das das zugeordnete Laufwerk gelöscht hat.

Screenshot des Prozesses 14900, dem Gruppenrichtlinienskriptanwendungsprozess.

Zusammenfassung

  1. Net.exe löscht das zugeordnete Laufwerk, und der übergeordnete Prozess wird cmd.exe. Der folgende Befehl wird ausgeführt:

    net use z: /delete

  2. CMD.exe verarbeitet eine .bat Datei deletedrives.bat, und der übergeordnete Prozess wird GPScript.exe.

    C:\Windows\system32\cmd.exe /c "\contoso.com\SysVol\contoso.com\Policies{E347CA05-D21D-433D-9BCA-2FE555336749}\User\Scripts\Logon\deletedrives.bat"

  3. GPScript.exe ist der Prozess, der während der Anmeldung ausgeführt wird, um Anmeldeskripts zu verarbeiten.

Wir müssen das Gruppenrichtlinienobjekt identifizieren, das dieses Anmeldeskript enthält. Hier sind zwei Methoden.

Methode 1: Verwenden der gpresult /h-Ausgabe, die während der Protokollsammlung gesammelt wurde

Screenshot der Gpresult /h-Ausgabe.

Methode 2: Verwenden des Gruppenrichtlinienverwaltungs-Snap-Ins (GPMC.msc)

  1. Öffnen Sie GPMC.msc auf einem Domänencontroller oder Computer, auf dem das Snap-In installiert ist.

  2. Klicken Sie mit der rechten Maustaste auf die Domäne, und wählen Sie "Suchen" aus.

  3. Wählen Sie in den Suchelementen GUID aus, und geben Sie dann die GPO-GUID ein, die wir im Befehl cmd.exe gefunden haben.

    Durchsuchen des Gruppenrichtlinienobjekts nach GUID.

Wir haben festgestellt, dass das DomainWideSettings-GPO über das Anmeldeskript verfügt.

Suchen Sie das Gruppenrichtlinienobjekt, das das Problem verursacht hat.

Wenn Sie nicht möchten, dass das DomainWideSettings-GPO das zugeordnete Laufwerk löscht, verwenden Sie eine der folgenden Methoden:

  • Entfernen Sie die Anmeldeskripts aus dem GPO DomainWideSettings , da dieses Gruppenrichtlinienobjekt verwendet wird, um andere domänenweite Einstellungen zu konfigurieren.
  • Heben Sie die Verknüpfung mit den GPO DomainWideSettings vollständig auf.
  • Legen Sie eine "Vererbung blockierener Richtlinien" für die OU "Users" fest, in der sich das Benutzerobjekt befindet.
  • Legen Sie für die Gruppe "Benutzer" für das Gruppenrichtlinienobjekt "DomainWideSettings" deny "Apply GPO" fest.