8
AD GPO Problem mit Bildschirmschoner
Schönen guten morgen,
Ich habe ein seltsames Phänomen. Ich habe in meinem AD verschiedene OUs mit GPOs. Innerhalb der Richtlinien greifen einige Einstellungen und andere nicht. Primär hab ich ein Problem mit der Zeiteinstellung für den Bildschirmschoner. Anbei mein OU Aufbau.
-GPO Domain default (das ist nicht die default Domain GPO, sondern eine eigene neu erstellte GPO)
OU Clients
-GPO Client default
--OU Client spezial (hier liegt mein User)
---GPO Client spezial
OU Server
-GPO Server default
--OU Server spezial (hier liegt mein Server)
---GPO Server spezial
In der "GPO Domain default" habe ich diverse Einstellungen vorgenommen. Unter anderem die für den Bildschirmschoner.
In der "GPO Client spezial" habe ich eine andere Einstellung für den Bildschirmschoner.
Ich melde mich am Server an und erhalte trotzdem die Bildschirmschoner Einstellungen der "GPO Domain default". Andere Einstellungen der "GPO Client spezial" werden jedoch übernommen.
Hat jemand eine Idee woran das liegen könnte?
Ich habe auch schon ein force der "GPO Client spezial" eingestellt. Das hat auch nichts gebracht.
Ich habe ein seltsames Phänomen. Ich habe in meinem AD verschiedene OUs mit GPOs. Innerhalb der Richtlinien greifen einige Einstellungen und andere nicht. Primär hab ich ein Problem mit der Zeiteinstellung für den Bildschirmschoner. Anbei mein OU Aufbau.
-GPO Domain default (das ist nicht die default Domain GPO, sondern eine eigene neu erstellte GPO)
OU Clients
-GPO Client default
--OU Client spezial (hier liegt mein User)
---GPO Client spezial
OU Server
-GPO Server default
--OU Server spezial (hier liegt mein Server)
---GPO Server spezial
In der "GPO Domain default" habe ich diverse Einstellungen vorgenommen. Unter anderem die für den Bildschirmschoner.
In der "GPO Client spezial" habe ich eine andere Einstellung für den Bildschirmschoner.
Ich melde mich am Server an und erhalte trotzdem die Bildschirmschoner Einstellungen der "GPO Domain default". Andere Einstellungen der "GPO Client spezial" werden jedoch übernommen.
Hat jemand eine Idee woran das liegen könnte?
Ich habe auch schon ein force der "GPO Client spezial" eingestellt. Das hat auch nichts gebracht.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 645103
Url: https://administrator.de/contentid/645103
Ausgedruckt am: 24.11.2024 um 03:11 Uhr
8 Kommentare
Neuester Kommentar
Moin,
ist der User, der sich am Server anmeldet auch in der GPO Domain default enthalten? (evtl. duch Vererbung)
Bildschirmschoner sind User-GPO.
Gruß
Looser
ist der User, der sich am Server anmeldet auch in der GPO Domain default enthalten? (evtl. duch Vererbung)
Bildschirmschoner sind User-GPO.
Gruß
Looser
Hi,
Dein Text ist etwas seltsam.
Dass die Einstellungen der "GPO Client default" auch bei Anmeldung am Server übernommen werden, ist logisch, wenn für den Server nicht der Loopback-Modus "ersetzen" gilt (Standard).
Welche GPO's werden denn wirklich angewendet? Wie hast Du das überprüft? Mittel der Wahl sollten sein gpresult und rsop.msc.
Am Rande:
Warum benennt man eine OU, in welche Benutzerobjekte gespeichert sind, mit einem Namen der "Client" enthält? Sowas verwirrt doch nur.
E.
Dein Text ist etwas seltsam.
Ich melde mich am Server an und erhalte trotzdem die Bildschirmschoner Einstellungen der "GPO Domain default".
OK, klingt logisch, dem kann man noch folgen.Andere Einstellungen der "GPO Client spezial" werden jedoch übernommen.
"Jedoch" oder "jedoch nicht"?Dass die Einstellungen der "GPO Client default" auch bei Anmeldung am Server übernommen werden, ist logisch, wenn für den Server nicht der Loopback-Modus "ersetzen" gilt (Standard).
Welche GPO's werden denn wirklich angewendet? Wie hast Du das überprüft? Mittel der Wahl sollten sein gpresult und rsop.msc.
Am Rande:
Warum benennt man eine OU, in welche Benutzerobjekte gespeichert sind, mit einem Namen der "Client" enthält? Sowas verwirrt doch nur.
E.
Hi,
zu aller erstes... Die Benennung der OU´s und GPO´s habe ich hier nur angedeutet.
Diese haben natürlich andere Bezeichnungen.
Ich habe die tatsächlich angewendeten Richtlinien mit "gpresult /H" überprüft.
Und es sollte "JEDOCH" heißen. Was ich damit sagen wollte... Es wurden alle User GPO´s von der "OU Client spezial" übernommen außer die für den Bildschirmschoner. Ich habe hier auch nur User GPO Einstellung verändert. Die Einstellung vom Bldschirmschoner wird von der übergeordneten GPO "GPO Domain default" übernommen. Ich verstehe nicht ganz weshalb diese Einstellung nicht vererbt wird?
zu aller erstes... Die Benennung der OU´s und GPO´s habe ich hier nur angedeutet.
Diese haben natürlich andere Bezeichnungen.
Ich habe die tatsächlich angewendeten Richtlinien mit "gpresult /H" überprüft.
Und es sollte "JEDOCH" heißen. Was ich damit sagen wollte... Es wurden alle User GPO´s von der "OU Client spezial" übernommen außer die für den Bildschirmschoner. Ich habe hier auch nur User GPO Einstellung verändert. Die Einstellung vom Bldschirmschoner wird von der übergeordneten GPO "GPO Domain default" übernommen. Ich verstehe nicht ganz weshalb diese Einstellung nicht vererbt wird?
Beachte mal die Reihenfolge der GPOs. Ansonsten hilft es evtl. die gewünschte GPO zu erzwingen.
Jetzt raffe ich, was Du meinst. man kenn es auch kompliziert ausdrücken ... 
Wenn "GPO Client spezial" die Werte von "GPO Client default" nicht übersteuert, obwohl sie in beiden GPO abweichend angegeben sind, dann liegt das an der Reihenfolge der Anwendung.
Oder Du verwendest "Einstellungen" in den GPO und hast dort mittels ITL eingeschränkt.
Wenn "GPO Client spezial" die Werte von "GPO Client default" nicht übersteuert, obwohl sie in beiden GPO abweichend angegeben sind, dann liegt das an der Reihenfolge der Anwendung.
- entweder ist "GPO Client default" mit "erzwingen" an "OU Clients" verlinkt und "GPO Client spezial" ist ohne "erzwingen" an "OU Client spezial" verlinkt
- oder in der GPO-Rangfolge der "OU Client spezial" steht die "GPO Client default" höher drin als "GPO Client spezial"
Oder Du verwendest "Einstellungen" in den GPO und hast dort mittels ITL eingeschränkt.
Also die Reihenfolge meiner GPO´s sollte passen.
Group Policy Inheritance
1. GPO Client spezial
2. GPO Client default
3. GPO Domain default
Als Beispiel:
Windows-Komponenten/Remotedesktopdienste/Remotedesktopsitzungs-Host/Sitzungslimits/*
Diese Richtlinien wurden von "GPO Client spezial" übernommen.
Systemsteuerung/Anpassung/Zeitlimit für Bildschirmschoner
Diese Richtlinie wurde von "GPO Domain default" übernommen
Obwohl Einstellungen in "GPO Client spezial" vorgenommen wurden
Group Policy Inheritance
1. GPO Client spezial
2. GPO Client default
3. GPO Domain default
Als Beispiel:
Windows-Komponenten/Remotedesktopdienste/Remotedesktopsitzungs-Host/Sitzungslimits/*
Diese Richtlinien wurden von "GPO Client spezial" übernommen.
Systemsteuerung/Anpassung/Zeitlimit für Bildschirmschoner
Diese Richtlinie wurde von "GPO Domain default" übernommen
Obwohl Einstellungen in "GPO Client spezial" vorgenommen wurden
Bau mal eine GPO nur für den Bildschirmschoner und weise die zu wie gewünscht. Dann setz die GPO auf "erzwingen". Damit sollten keine Änderungen am Bildschirmschoner mehr erfolgen.
BTW.....bei dieser Reihenfolge ist das Verhalten m.M.n. genau wie vorgesehen.
BTW.....bei dieser Reihenfolge ist das Verhalten m.M.n. genau wie vorgesehen.
Ich habe es jetzt anders gelöst.
Nachdem die Einstellung über die GPO (Systemsteuerung/Anpassung/Zeitlimit für Bildschirmschoner) nicht funktioniert hat, habe ich über die GPO zwei Registry werte ausgerollt. Das muss ich noch testen, aber prinzipiell sieht das gut aus.
Hier die beiden Werte:
@Looser27
Wie oben schon beschrieben hat das erzwingen auch nicht geholfen.
Nachdem die Einstellung über die GPO (Systemsteuerung/Anpassung/Zeitlimit für Bildschirmschoner) nicht funktioniert hat, habe ich über die GPO zwei Registry werte ausgerollt. Das muss ich noch testen, aber prinzipiell sieht das gut aus.
Hier die beiden Werte:
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\Control Panel\Desktop\ScreenSaveActive (REG_SZ=0)
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\Control Panel\Desktop\ScreenSaveTimeOut (REG_SZ=3600)@Looser27
Wie oben schon beschrieben hat das erzwingen auch nicht geholfen.
