darkscabs
Goto Top

Anmeldescript wird nicht per GPO verteilt

Hallo Zusammen,

ich möchte ein Batch-File beim Anmelden ausführen lassen. Ich habe auch schon eine GPO erstellt (diese ist mit einer OU verknüpft und wird erzwungen), in der Sicherheitsfilterung sind die Gruppen "Authentifizierte Benutzer" und "Firefox_Zertifikat".

In den Sicherheitseinstellungen haben beide:
-Lesen Zulassen
-Gruppenrichtlinie übernehmen Zulassen

Und Authentifizierte Benutzer hat noch Spezielle Berechtigungen:
-Inhalt auflisten
-Alle Eigenschaften lesen
-Berechtigungen lesen

In der Gruppe "Firefox_Zertifikat" sind zwei Benutzer, mein Eigener und der eines Kollegen. Wenn ich ein gpresult /r eingebe, bin ich in der Gruppe drin. Bei rsop.msc "Benutzerkonfiguration\Windows-Einstellugnen\Skripts (Anmelden/Abmelden)\Anmelden" wird aber kein Anmeldescript angezeigt. Das ist bei meinem Kollegen der gleiche Fall.

Hat irgend jemand eine Idee?

Danke schonmal im voraus

Gruß

Content-Key: 347470

Url: https://administrator.de/contentid/347470

Ausgedruckt am: 29.03.2024 um 08:03 Uhr

Mitglied: emeriks
Lösung emeriks 28.08.2017 um 16:47:27 Uhr
Goto Top
Hi,
ich möchte ein Batch-File beim Anmelden ausführen lassen. Ich habe auch schon eine GPO erstellt (diese ist mit einer OU verknüpft und wird erzwungen), in der Sicherheitsfilterung sind die Gruppen "Authentifizierte Benutzer" und "Firefox_Zertifikat".
Warum erzwungen?
Wenn die "Authentifizierte Benutzer" drin sind, dann brauchen keine weiteren Gruppen rein. Sind dann nicht mehr relevant und lenken Dich bei der Fehlersuche nur ab.
Und die betreffenden Benutzerobjekte sind in dieser OU oder in einer OU unterhalb davon?
In der Gruppe "Firefox_Zertifikat" sind zwei Benutzer, mein Eigener und der eines Kollegen. Wenn ich ein gpresult /r eingebe, bin ich in der Gruppe drin. Bei rsop.msc "Benutzerkonfiguration\Windows-Einstellugnen\Skripts (Anmelden/Abmelden)\Anmelden" wird aber kein Anmeldescript angezeigt. Das ist bei meinem Kollegen der gleiche Fall.
Meinst Du tatsächlich "in der Gruppe drin" oder meinst Du "diese GPO wird angewendet"?
"In der Gruppe drin" wäre irrelevant. Wichtig ist zu wissen, ob diese GPO in der Liste der angewendeten GPO's erscheint.

E.
Mitglied: DarkScabs
DarkScabs 29.08.2017 um 11:22:03 Uhr
Goto Top
Hi,

bei erzwungen wird die GPO als letztes an die Benutzer ausgeliefert, sodass diese GPO auf jeden fall übernommen wird. (Last Writer Wins)

Ich hab jetzt nur noch die Gruppe "Firefox_Zertifikat" in der Sicherheitsfilterung, sodass nur noch diese zwei Benuzter die GPO bekommen.

Die GPO ist in der OU, "EDV-Test-OU", verknüpft. Im AD ist in der EDV-Test-OU die Gruppe "Firefox_Zertifikat" mit den zwei Benutzern.

In der Liste für Angewendete Gruppenrichtlinienobjekte ist die GPO nicht aufgelistet.

Bei einem gpresult /r kommt:

Der Benuzter ist Mitglied der folgenden Sicherheitsgruppen:
.
.
Firefox_Zertifikat
.
.

Gruß
Mitglied: emeriks
Lösung emeriks 29.08.2017 aktualisiert um 17:50:53 Uhr
Goto Top
bei erzwungen wird die GPO als letztes an die Benutzer ausgeliefert sodass diese GPO auf jeden fall übernommen wird. (Last Writer Wins)
Na ja, so nicht ganz. Aber nah dran.
Ich hab jetzt nur noch die Gruppe "Firefox_Zertifikat" in der Sicherheitsfilterung, sodass nur noch diese zwei Benuzter die GPO bekommen.
Theoretisch, wenn Du alles richtig machen würdest.
Die GPO ist in der OU, "EDV-Test-OU", verknüpft. Im AD ist in der EDV-Test-OU die Gruppe "Firefox_Zertifikat" mit den zwei Benutzern.
Und genau da ist der Fehler. Eine alte Leier, welche hier oft gespielt wird. Gruppenrichtlinien heißen nicht so, weil sie für Gruppen sind (wirken) sondern weil sie Gruppen von Richtlinien sind.
Die GPO muss im Vererbungspfad der Benutzer-Objekte verlinkt werden, vollkommen unabhängig davon, wo diese Gruppe im AD platziert ist.
In der Liste für Angewendete Gruppenrichtlinienobjekte ist die GPO nicht aufgelistet.
Logisch.
Bei einem gpresult /r kommt:
Der Benuzter ist Mitglied der folgenden Sicherheitsgruppen:
Firefox_Zertifikat
Das ist gut zu wissen. Damit hast Du schon mal eine Grundvoraussetzung sicher überprüft.
Mitglied: DarkScabs
DarkScabs 30.08.2017 um 10:53:26 Uhr
Goto Top
Hi,

danke für die Hilfe. Ich hab jetzt noch einmal wegen der Vererbung geschaut. Bei der EDV-Test-OU ist die Vererbung deaktiviert.

Ich habe jetzt die Gruppenrichtlinie in eine höhere OU verknüpft, die die Vererbung auch an hat.

Jetzt funktioniert alles und die GPO wird ausgerollt.

Vielen Dank nochmal für die schnelle Hilfe.

Gruß
Mitglied: emeriks
emeriks 30.08.2017 um 12:28:59 Uhr
Goto Top
Jene GPO, welche direkt mit einer OU verlinkt sind, werden in jedem Fall angewendet, sofern Filter passt. Auch wenn an dieser OU die Vererbung deaktiviert ist.
Wenn die Vererbung deaktiviert ist, dann bedeutet das nur, dass nicht-erzwungene GPO welche an übergeordnete Containern verlinkt sind, nicht übernommen werden.