sabines
Goto Top

Computer GPO greift nur, wenn PC in Sicherheitsfilterung direkt angegeben ist, nicht über PC Gruppen

Hi,

ich stehe ein bißchen auf dem Schlauch und brauche mal einen Klaps auf den Hinterkopf.

Ich habe eine neue Computer GPO erstellt und in der Sicherheitsfilterung alle Einträge entfernt und nur den gewünschten Test PC aufgenommen.
Funktioniert. Nun habe ich den Test PC entfernt und eine Gruppe PCs (globale Sicherheitsgruppe) hinzugefügt. Die GPO funktioniert nun nicht mehr.
Sie funktioniert nur dann, wenn ich die PCs aus der Sicherheitsgruppe einzeln in die Sicherheitsfilterung eintrage.

W2008R2 und W7 Clients
Richtlinien Windows Einstellungen Sicherheitseinstellungen Eingeschränkte Gruppen

Andere GPOs, die genau so aufgebaut sind, funktionieren nach diesem Schema.
Leserecht (und Übernehmen) in der Delegierung ist vorhanden.

Was mache ich falsch?

Content-ID: 325873

Url: https://administrator.de/forum/computer-gpo-greift-nur-wenn-pc-in-sicherheitsfilterung-direkt-angegeben-ist-nicht-ueber-pc-gruppen-325873.html

Ausgedruckt am: 01.04.2025 um 22:04 Uhr

emeriks
Lösung emeriks 09.01.2017 aktualisiert um 13:25:45 Uhr
Goto Top
Hi,
kann es sein, dass Du diese Gruppe gerade erst erstellt oder den Computer gerade erst hinzugefügt hast? Falls ja, dann musst Du den Computer entweder neu starten oder ne Weile warten (ich glaube bis zu 90 min), damit bzw. bis der Client seine Gruppenzugehörigkeit erneuert hat.

E.
DerWoWusste
Lösung DerWoWusste 09.01.2017 um 13:53:39 Uhr
Goto Top
Moin.

Exakto. Ist jedoch noch länger, nämlich bis das Kerberosticket abläuft.
Man kann das erzwingen mit dem Befehl
klist purge
sabines
sabines 09.01.2017 um 13:55:41 Uhr
Goto Top
Danke euch beiden!
Geduld ist mein zweiter Vorname face-wink
emeriks
emeriks 09.01.2017 um 14:00:27 Uhr
Goto Top
@dww
Jep.
Eines meiner Lieblingszitate ist auch:
Configuring Kerberos Policies
By default, service tickets have a maximum duration of 600 minutes and user tickets have a maximum duration of 10 hours.
face-smile