marc-1303
Goto Top

Cmd-Fenster blitzt bei periodischer GPO-Aktualisierung ganz kurz auf

Guten Tag

Unser DC: Win 2012 (virtualisiert auf VMware 6.5)
Clients: Windows 7 64bit und Windows 10

Wir haben folgendes Problem:
Jedes Mal wenn die GPOs auf den Clients - periodisch 3-4x pro Tag - aktualisiert werden poppt ganz kurz ein cmd-Fenster auf.
Dies wäre eigentlich nicht tragisch und könnte vernachlässigt werden.

Einige Mitarbeiter verwenden aber eine Software (WinBau), welche darauf ganz allergisch reagiert.
Es handelt sich um einen Texteditor für Bau-Ausschreibungen.

Wenn das cmd-Fenster aufpoppt, während dem der Mitarbeiter daran ist in WinBau einen Text zu verfassen, fällt er aus dem in-App Editor raus.
Das bedeutet, dass er in den meisten Fällen den Text verliert, den er aktuell am schreiben und/oder bearbeiten ist.

Per GPO werden absolut keine Scripts ausgeführt. Es gibt also keine bat-Dateien, welche per GPO verteilt und ausgeführt werden.

Kenn jemand dieses Phänomen?
Gibt es allenfalls eine Möglichkeit, das Kommandozeilenfenster während der GPO-Aktualisierung zu unterdrücken?

Grüsse
Marc

Content-ID: 341320

Url: https://administrator.de/forum/cmd-fenster-blitzt-bei-periodischer-gpo-aktualisierung-ganz-kurz-auf-341320.html

Ausgedruckt am: 22.12.2024 um 08:12 Uhr

DerWoWusste
DerWoWusste 22.06.2017 um 10:58:53 Uhr
Goto Top
Hi.

Logge mit procmon mit, was in dem Moment passiert.
chgorges
chgorges 22.06.2017 um 11:30:39 Uhr
Goto Top
Zitat von @marc-1303:
Wir haben folgendes Problem:
Jedes Mal wenn die GPOs auf den Clients - periodisch 3-4x pro Tag - aktualisiert werden poppt ganz kurz ein cmd-Fenster auf.
Dies wäre eigentlich nicht tragisch und könnte vernachlässigt werden.

Hi,

heißt im Klartext ihr habe ne Aufgabe auf alle PCs verteilt, die immer mal wieder gpupdate /force ausführt? Zu welchem Zweck?
Saubere GPO-Übernahme gibts so oder so nur bei Benutzerab/anmeldung oder PC-Neustart, das gpupdate /force dient lediglich der Implementierung in der Testphase, nicht in der Prdouktion.
marc-1303
marc-1303 22.06.2017 um 11:37:37 Uhr
Goto Top
Hallo DerWoWusste

Danke für den Hinweis.
Ich werden procmon auf einmel betroffenen Client mal ein Weilchen laufen lassen.

Grüsse
Marc
sabines
sabines 22.06.2017 um 11:38:55 Uhr
Goto Top
Zitat von @chgorges:
Hi,

heißt im Klartext ihr habe ne Aufgabe auf alle PCs verteilt, die immer mal wieder gpupdate /force ausführt? Zu welchem Zweck?
Saubere GPO-Übernahme gibts so oder so nur bei Benutzerab/anmeldung oder PC-Neustart, das gpupdate /force dient lediglich der Implementierung in der Testphase, nicht in der Prdouktion.

Nope,

die werden auch ohne den Befehl regelmäßig aktualisiert (nicht unbedingt ausgeführt)

https://technet.microsoft.com/en-us/library/hh147307(v=ws.10).aspx
Group Policy also refreshes GPOs on a regular basis, ensuring that Group Policy applies new and changed GPOs without waiting for the computer to restart or the user to log off. The period of time between these refreshes is called the Group Policy refresh interval, and the default is 90 minutes with a bit of randomness built in to prevent all computers from refreshing at the same time. If you change a GPO in the middle of the day, Group Policy will apply your changes within about 90 minutes. You don’t have to wait until the end of the day, when users have logged off of or restarted their computers. In advanced scenarios, you can change the default refresh interval.
marc-1303
marc-1303 22.06.2017 um 11:40:04 Uhr
Goto Top
Hallo chgorges

Ich habe diesbezüglich keine Einstellung getroffen und/oder geändert.
Nach meinem Dafürhalten werden die GPO per Default alle 90 Min. auf die Clients gepusht.
https://technet.microsoft.com/en-us/library/cc940895.aspx

Grüsse
Marc
chgorges
chgorges 22.06.2017 um 11:45:09 Uhr
Goto Top
Schon klar, die 90 Minuten sind mir bewusst, aber das passiert passiv und nicht aktiv mit aufpoppendem Fenster wie bei dir.

Schau mal auf den Clients in den geplanten Aufgaben, was da abgeht.
DerWoWusste
DerWoWusste 22.06.2017 aktualisiert um 13:54:20 Uhr
Goto Top
Ich werden procmon auf einmel betroffenen Client mal ein Weilchen laufen lassen.
Hm. Ein GPO Background Refresh findet alle 90 Minuten einmal statt - da loggt Dich procmon tot. Führe lieber einmal manuell
gpupdate /force
als User aus, während procmon läuft und dann noch einmal als Admin auf der elevated command line.
marc-1303
marc-1303 22.06.2017 um 15:12:04 Uhr
Goto Top
Hallo DerWoWusste

Ich habe beide Varianten geprüft.
1 x procmon laufen lassen mit dem Hinweis, dass der User sofort speichert wenn das Ereignis eintritt, um die Suche klein zu halten. Das hat hingehauen.
1 x procmon explizit während gpupdate /force laufen lassen.

Es wir aber nicht einfacher.
Das Konsolenfenster poppt nur bei einem ordentlichen, nicht forcierten Update auf.
Wenn ich das Update forciere erscheint es nicht.

In der ganzen Aufzeichnung von procmon während des ordentlichen Updates wird keine einzige Konsole (cmd.exe) aufgerufen.
Es finden sich aber gegen 200 Einträge, welche darauf hindeuten, dass in diesem Zeitraum GPOs gezogen werden.
Und der User gibt an, dass ein Konsolenfenster aufgeblitzt sei.

Ich mach mir's jetzt einfach. Ich schalte die Hintergrundaktualisierung per GPO aus (GPO = Hintergrundaktualisierung der Gruppenrichtlinie deaktivieren).
Dann werden diese nur jeweils beim Booten und Anmelden geladen. Damit kann ich eigentlich gut leben.

Danke trotzdem für eure Hilfe.

Grüsse
Marc
marc-1303
marc-1303 22.06.2017 um 15:14:07 Uhr
Goto Top
Hallo chgorges

Zu deinem Hinweis zu den geplanten Aufgaben.
Es hat einen Haufen davon. Wenn ich aber die Zeit nehme die mir der User nennt, wo die Konsole aufgeblitzt sei, stimmt keine dieser Aufgaben (letzte Laufzeit) mit dem Ereignis überein.

Danke trotzdem für diesen Hinweis.

Grüsse
Marc