GPMC HTML Report aufräumen

12.08.2014 | Autor: Mark Heitbrink

In der GPMC werden manchmal Einstellungen reported, die längst auf "Nicht konfiguriert" gesetzt wurden. Speziell die Ordnerumleitung ist hier ein klassischer Kandidat. Erweitert man die Ansicht im Report, dann zeigt er die "Nicht konfigurierte" Einstellung. Die Erwartungshaltung des Admin ist aber, nur die Dinge reported zu bekommen, die konfiguriert sind!

Die GPO als solche ist erst mal nur eine leere Transporthülle, die mit Informationen gefüllt wird. Sobald man eine Policy (Richtlinie) oder Preference (Einstellung) editiert fügt der GP Editor die betreffende Client Side Extension in ein AD Attribut ein. Euer Zielobjekt wertet das Attribut aus und ruft dann lokal die passende DLL auf, die dann den Inhalt aus dem SYSVOL importiert.

Abhängig davon, ob es sich um eine Computer- oder Benutzerkonfiguration handelt wird diese Information in das AD Attribut gPCMachineExtensionName oder gPCUserExtensionName geschrieben.

Wird eine Komponente (CSE) in der GPO nicht mehr verwendet, dann wird der Eintrag aus dem AD Attribut gelöscht. So der Plan. In Fall der Ordnerumleitung passiert das leider nicht. Die CSE bleibt erhalten und der HTML Report findet sie bei der Erstellung und muss sie in seinen Report integrieren.

Erst auf den 2ten Klick erkennt der Administrator dann, daß es "Nicht konfiguriert" ist und das ist das eigentliche Problem. Es verursacht aus technischer Sicht keine Performance Probleme oder Fehler am Client, es ist ein Reportfehler der hauptsächlich aus kosmetischen Gründen korrigiert gehört.

Ein weiterer Grund ist die Auswertung oder Suche von Richtlinien. Wer in seinem Unternehmen die Scripte der GPMC oder ähnliche Techniken verwendet, der hat evtl. schon mal eine Übersicht erstellt in welcher GPO, welche Komponenten genutzt werden. Mit FindGPOsByPolicyExtension.wsf klappt das sehr gut. Diese Scripte werten genau, wie der HTML Report die beiden AD Attribute aus und werden dann ebenfalls fehlerhafte/irreführende Listen erstellen, denn die Komponente ist zwar in der GPO enthalten, wird aber nicht genutzt.

Die Korrektur führen wir mit dem ADSI Edotur (adsiedit.msc) durch.

1.) Wir benötigen die GUID der Richtlinie. Diese finden wir in der GPMC auf dem Reiter "Details" und sie nennt sich "Eindeutige ID", z.B.: {E23638EF-1092-4C19-95E1-E563A4EE5508}

2.) Wir öffnen den ADSI Editor (adsiedit.msc) und Verbinden uns mit dem "Standardmässiger Namenskontext" und navigieren zu DC=eure,DC=dom,CN=System,CN=Policies und in meinem Fall zur Richtlinie CN={E23638EF-1092-4C19-95E1-E563A4EE5508}. In den Eigenschaften des Objekts finden wir die AD Attribute, in Fall der Ordnerumleitung ist es im Attribut "gPCUserExtensionName".

3.) Wichtig ist es nun, den richtigen Eintrag, nämlich nur den der Ordnerumleitung aus dem Attribut zu entfernen. Jede Komponente wird mit 2 eindeutigen Kennungen (GUIDs) eingetragen. Diese stehen immer zwischen zwei Eckigen Klammern -> [ .... ]

Die erste Kennung ist die der Client Side Extension, die der Benutzer/Computer ausliest. Eine Übersicht aller CSE und ihrer GUIS findet ihr in diesem Artikel: Client Side Extensions
Die zweite Kennung wird vom GP Editor verwendet.

4.) Der Eintrag der Ordnerumleitung sieht so aus:

[{25537BA6-77A8-11D2-9B6C-0000F8080861}{88E729D6-BDC1-11D1-BD2A-00C04FB9603F}]

Das ist der Eintrag, der den Fehler verursacht und den wir löschen können, aber nur diesen! Eintrag. Sollten weitere CSEs in dem Attribut genannt werden, müssen diese erhalten bleiben.

5.) Optional, um den Schönheitspreis zu gewinnen, kann man jetzt auch noch den Ordnerumleitungs-Teil dieser Richtlinie aus dem SYSVOL löschen:

\\eure.dom\SYSVOL\eure.dom\Policies\{E23638EF-1092-4C19-95E1-E563A4EE5508}\User\Documents & Settings

Der Ordner "Documents & Settiings" kann komplett weg. Den Pfad müsst ihr entsprechend eurer Richtlinie anpassen.