Auswertung ob Domain-Policies auf PC angewandt werden

monstermania
Goto Top
Moin,
nach einer netzwerkweiten Systemumstellung, die eine Machine-Policies beinhaltete, haben wir festgestellt, dass wir einzelne PC im Netz haben, die teilweise seit über einem Jahr keine Machine-Policies mehr verarbeitet haben.
Ein lokal auf den PC ausgeführtes gpupdate /force führte dann auch zu einer entsprechenden Fehlermeldung.

Wir müssen die PC jetzt händisch nachziehen bzw. wieder funktionsfähig machen so das Policies wieder angewandt werden (löschen des lokalen Plicy Caches, usw.)

Um so etwas zukünftig zu vermeiden, gibt es eine Möglichkeit auszuwerten, ob alle PC im Netz sich auch die aktuellen Policies ziehen und verarbeiten?
Wir handhabt Ihr das in Euren Netzwerken?

Gruß
Dirk

Content-Key: 2340600583

Url: https://administrator.de/contentid/2340600583

Ausgedruckt am: 28.06.2022 um 04:06 Uhr

Mitglied: DerWoWusste
DerWoWusste 30.03.2022 um 09:46:46 Uhr
Goto Top
Hi.

GPO-Verarbeitung ist in der Regel zuverlässig.

Überwache die Eventlogs der Clients im Bereich Microsoft-Windows-GroupPolicy/Operational auf Fehler oder aber auch auf positive Meldungen (schau einfach mal rein, wie die Logmeldungen auf einem gesunden Rechner aussehen) und lass Dir Mails schicken, wenn das nicht passt.
Mitglied: monstermania
monstermania 30.03.2022 um 10:02:35 Uhr
Goto Top
Zitat von @DerWoWusste:
GPO-Verarbeitung ist in der Regel zuverlässig.
Schön,
auch wenn es bei > 2000 PC funktioniert, interessieren mich doch nur die 50 PC , bei denen es eben nicht funktioniert! ;-) face-wink

Überwache die Eventlogs der Clients im Bereich Microsoft-Windows-GroupPolicy/Operational auf Fehler oder aber auch auf positive Meldungen (schau einfach mal rein, wie die Logmeldungen auf einem gesunden Rechner aussehen) und lass Dir Mails schicken, wenn das nicht passt.

Genau das wollte ich nach Möglichkeit vermeiden.
Mitglied: Doskias
Doskias 30.03.2022 um 10:09:12 Uhr
Goto Top
Moin,

du könntest alternativ einfach einen geplanten Task oder ein Logon-Skript ausführen, was nichts weiter macht als ein GPRESULT auf ein Netzlaufwerk zu speichern. Dann hast du dort immer die aktuelle Auswertung der letzten Anmeldung.

Zitat von @monstermania:
Zitat von @DerWoWusste:
Überwache die Eventlogs der Clients im Bereich Microsoft-Windows-GroupPolicy/Operational auf Fehler oder aber auch auf positive Meldungen (schau einfach mal rein, wie die Logmeldungen auf einem gesunden Rechner aussehen) und lass Dir Mails schicken, wenn das nicht passt.
Genau das wollte ich nach Möglichkeit vermeiden.
Das was DWW da schreibt ist aber der beste Weg. Wieso willst du es denn vermeiden? Irgendwo musst du ja ansetzen und etwas auslesen. DWW schlägt vor etwas auszuwerten was existiert. Mit meiner GPRESULT Lösung musst du erst noch etwas erstellen, was du dann auswerten kannst.


haben wir festgestellt, dass wir einzelne PC im Netz haben, die teilweise seit über einem Jahr keine Machine-Policies mehr verarbeitet haben.
Ein lokal auf den PC ausgeführtes gpupdate /force führte dann auch zu einer entsprechenden Fehlermeldung.
Noch eine Alternative: Erstell ein PS-Skript welches du über alle Rechner ausführst. Protokolliere wo Fehler beim GPUPDATE auftreten und schon weißt du wo du händisch tätig werden musst.

Es gibt unzählige Möglichkeiten. Einige einfach, andere weniger einfach. Such dir eine die dir gefällt, werde kreativ ;)

Gruß
Doskias
Mitglied: DerWoWusste
DerWoWusste 30.03.2022 um 10:31:49 Uhr
Goto Top
Genau das wollte ich nach Möglichkeit vermeiden.
Warum, das lässt sich doch automatisieren, besser wird's nicht.
Mitglied: monstermania
Lösung monstermania 30.03.2022 um 11:15:59 Uhr
Goto Top
Zitat von @DerWoWusste:
Warum, das lässt sich doch automatisieren, besser wird's nicht.

Hätte ja sein können, dass es eine andere Lösung gibt. Z.B. dass an das Computerobjekt im AD etwas zurück gemeldet wird, dass man dann auswerten könnte.
Trotzdem Danke!

Dann werde ich mal wieder etwas 'skripten'.