Negli ultimi aggiornamenti di Windows 11 e Windows Server 2025, Microsoft ha introdotto un nuovo evento nel visualizzatore eventi delle Group Policy: Event ID 4117. Questo nuovo evento rivoluziona il modo in cui è possibile diagnosticare i problemi legati all’applicazione delle GPO, offrendo informazioni dettagliate che prima erano disponibili solo attraverso debug avanzato o strumenti esterni.
Perché Event ID 4117 è importante
In passato, quando una Group Policy non veniva applicata correttamente, il client registrava quasi esclusivamente un Event ID 4098, che forniva informazioni molto generiche, insufficienti per una diagnosi rapida. Ad esempio:
Event ID 4098
Group Policy Preferences failed.Il nuovo Event ID 4117, invece, fornisce dettagli concreti come:
- GPO coinvolta
- Azione eseguita (Copy, Delete, Update, Replace, Drive Mapping)
- Percorso file o cartella sorgente e destinazione
- Codice di errore Windows (HRESULT)
- Descrizione dettagliata dell’errore
Questo consente di identificare e risolvere rapidamente problemi senza dover attivare logging esteso o strumenti di monitoraggio avanzati. Un tipico evento 4117 nel Visualizzatore eventi appare così:
Log Name: Microsoft-Windows-GroupPolicy/Operational
Source: Group Policy Preferences
Event ID: 4117
Level: Error
User: DOMAIN\username
Computer: client01.domain.local
Description:
The Group Policy Preference item 'Copy Files {A1B2C3D4-1234-5678-9ABC-DEF123456789}'
in the Group Policy Object 'Copia Eseguibile Tool' failed.
Action: Copy
Source File: \\fileserver\share\Tools\Tool.exe
Destination File: C:\Program Files\Tools\Tool.exe
Error Code: 0x80070002
Error Description: The system cannot find the file specified.In questo caso la GPO “Copia Eseguibile Tool” non è stata applicata correttamente. La copia del file “Tool.exe” è fallita in quanto il file non è stato trovato.
ActivityID: correlare tutti gli eventi della stessa elaborazione GPO
Quando un client applica le Group Policy, Windows genera un identificatore univoco chiamato ActivityID. Questo GUID viene associato a tutti gli eventi prodotti durante la stessa elaborazione delle policy e consente di correlare tra loro diversi eventi di log, come:
- Event ID 4117 – errore dettagliato nelle Group Policy
- Event ID 4098 – errore generico delle Group Policy
- Event ID 1502 – errore del client Group Policy
- Event ID 1085 – errore nelle Client Side Extensions
Grazie all’ActivityID è possibile ricostruire l’intera sequenza di applicazione di una GPO su un client e individuare rapidamente il punto in cui si verifica il problema.
È possibile recuperare l’ActivityID direttamente dal log Microsoft-Windows-GroupPolicy/Operational per visualizzare gli eventi Event ID 4117 insieme al relativo ActivityID
Get-WinEvent -LogName "Microsoft-Windows-GroupPolicy/Operational" |
Where-Object {$_.Id -eq 4117} |
Select TimeCreated, Id, ActivityId, Message |
Format-List
# L’output mostrerà ActivityID associato all’evento
TimeCreated : 07/03/2026 09:21:33
Id : 4117
ActivityId : 3f7e9c12-45ab-4d12-b5f8-8d9c7a123456
Message : The Group Policy Preference item 'Copy Files {...}' failed...Una volta identificato l’ActivityID, è possibile recuperare tutti gli eventi correlati alla stessa elaborazione GPO
$activity = "3f7e9c12-45ab-4d12-b5f8-8d9c7a123456"
Get-WinEvent -LogName "Microsoft-Windows-GroupPolicy/Operational" |
Where-Object {$_.ActivityId -eq $activity} |
Select TimeCreated, Id, MessageQuesto comando restituisce l’intera sequenza degli eventi generati durante l’applicazione delle policy, consentendo di individuare rapidamente eventuali errori o anomalie
Conclusione
Il nuovo Event ID 4117 rappresenta un salto di qualità per il troubleshooting delle Group Policy in Windows 11 e Windows Server 2025. Con informazioni dettagliate su azioni, file, cartelle e codici di errore, si possono risolvere i problemi in modo più rapido ed efficace.
