11
Computerkonfiguration der GPO wird nicht verteilt
Hallo Community,
Ich will mit Hilfe einer GPO die NTFS-Berechtigungen auf diverse Unterordner von C:\Programme auf den Clients verändern. Hierzu habe ich mir eine eigene GPO erstellt.
Unter Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Dateisystem habe ich hierzu die Berechtigungen angelegt und die User hinzugefügt.
Ich habe nun folgendes Problem - die Clients ziehen sich zwar alle Informationen aus der Benutzerkonfiguration, wie z.B. Start-Skripts, jedoch keine Einstellungen aus der Computerkonfiguration.
Ein gpresult bringt folgendes, Computer- und Benutzerkonfiguration in der GPO aktiv (Name der GPO rot und fett markiert):
COMPUTEREINSTELLUNGEN
CN=TEST-CLIENT,CN=Computers,DC=testdomain,DC=local
Zeit der letzten Gruppenrichtlinienanwendung: 25.08.2011 at 14:52:27
Gruppenrichtlinie wurde angewendet von: testserver.testdomain.local
Gruppenrichtlinienschwellenwert für langsame Verbindung: 500 kbps
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Default Domain Policy
Richtlinien der lokalen Gruppe
Der Computer ist Mitglied der folgenden Sicherheitsgruppen:
-----------------------------------------------------------
Administratoren
Jeder
Benutzer
NETZWERK
Authentifizierte Benutzer
TEST-CLIENT$
Domänencomputer
CERTSVC_DCOM_ACCESS
BENUTZEREINSTELLUNGEN
CN=Testuser,OU=TEST,OU=users,DC=testdomain,DC=local
Zeit der letzten Gruppenrichtlinienanwendung: 25.08.2011 at 14:52:27
Gruppenrichtlinie wurde angewendet von: testserver.testdomain.local
Gruppenrichtlinienschwellenwert für langsame Verbindung: 500 kbps
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Berechtigungen Ordner Clients
Default Domain Policy
Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefilt
ert wurden.
----------------------------------------------------------------------------
Richtlinien der lokalen Gruppe
Filterung: Nicht angewendet (Leer)
Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen:
-----------------------------------------------------------
Domänen-Benutzer
Jeder
Administratoren
Benutzer
INTERAKTIV
Authentifizierte Benutzer
LOKAL
REMOTE
CERTSVC_DCOM_ACCESS
Was mache ich falsch?
Ich will mit Hilfe einer GPO die NTFS-Berechtigungen auf diverse Unterordner von C:\Programme auf den Clients verändern. Hierzu habe ich mir eine eigene GPO erstellt.
Unter Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Dateisystem habe ich hierzu die Berechtigungen angelegt und die User hinzugefügt.
Ich habe nun folgendes Problem - die Clients ziehen sich zwar alle Informationen aus der Benutzerkonfiguration, wie z.B. Start-Skripts, jedoch keine Einstellungen aus der Computerkonfiguration.
Ein gpresult bringt folgendes, Computer- und Benutzerkonfiguration in der GPO aktiv (Name der GPO rot und fett markiert):
COMPUTEREINSTELLUNGEN
CN=TEST-CLIENT,CN=Computers,DC=testdomain,DC=local
Zeit der letzten Gruppenrichtlinienanwendung: 25.08.2011 at 14:52:27
Gruppenrichtlinie wurde angewendet von: testserver.testdomain.local
Gruppenrichtlinienschwellenwert für langsame Verbindung: 500 kbps
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Default Domain Policy
Richtlinien der lokalen Gruppe
Der Computer ist Mitglied der folgenden Sicherheitsgruppen:
-----------------------------------------------------------
Administratoren
Jeder
Benutzer
NETZWERK
Authentifizierte Benutzer
TEST-CLIENT$
Domänencomputer
CERTSVC_DCOM_ACCESS
BENUTZEREINSTELLUNGEN
CN=Testuser,OU=TEST,OU=users,DC=testdomain,DC=local
Zeit der letzten Gruppenrichtlinienanwendung: 25.08.2011 at 14:52:27
Gruppenrichtlinie wurde angewendet von: testserver.testdomain.local
Gruppenrichtlinienschwellenwert für langsame Verbindung: 500 kbps
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Berechtigungen Ordner Clients
Default Domain Policy
Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefilt
ert wurden.
----------------------------------------------------------------------------
Richtlinien der lokalen Gruppe
Filterung: Nicht angewendet (Leer)
Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen:
-----------------------------------------------------------
Domänen-Benutzer
Jeder
Administratoren
Benutzer
INTERAKTIV
Authentifizierte Benutzer
LOKAL
REMOTE
CERTSVC_DCOM_ACCESS
Was mache ich falsch?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 172082
Url: https://administrator.de/contentid/172082
Ausgedruckt am: 17.11.2024 um 06:11 Uhr
11 Kommentare
Neuester Kommentar
Moin,
Gruß
Zitat von @D33kay:
Unter Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Dateisystem habe ich hierzu die
Berechtigungen angelegt und die User hinzugefügt.
Unter Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Dateisystem habe ich hierzu die
Berechtigungen angelegt und die User hinzugefügt.
- Stichwort Loopbackverarbeitung.....
Gruß
Moin Timo,
verstehe nicht ganz, was Du damit meinst. Bei einigen Ordnern unter C:\Programme sollen die authentifizierten Benutzer mit Schreibrechten angelegt werden.
Das generelle Problem besteht jedoch darin, dass die Clients sich keine Einstellungen aus der Computerkonfiguration ziehen. Die Benutzereinstellungen klappen alle problemlos.
Ein Beispiel hierfür wäre ein Startskript, angelegt unter der Computerkonfiguration in der GPO. Auch diese Einstellungen gehen nicht an die Clients.
verstehe nicht ganz, was Du damit meinst. Bei einigen Ordnern unter C:\Programme sollen die authentifizierten Benutzer mit Schreibrechten angelegt werden.
Das generelle Problem besteht jedoch darin, dass die Clients sich keine Einstellungen aus der Computerkonfiguration ziehen. Die Benutzereinstellungen klappen alle problemlos.
Ein Beispiel hierfür wäre ein Startskript, angelegt unter der Computerkonfiguration in der GPO. Auch diese Einstellungen gehen nicht an die Clients.
Moin
da bin ich auch ein wenig erstaunt. Vielleicht hat Timo ja gerade ein Nickerchen gemacht und den Beitrag aufwachenderweise im Halbschlaf gelesen und geschrieben ?
Ich gehe mal ganz einfach davon aus, dass sich das Computerobjekt nicht in Reichweite des Greuppenrichtlinienobjektes befindet. Anders gefragt: In welcher OU befrindet sich der Computer ?
So gesehen hat Timo also auch nicht ganz unrecht mit seinem Stichwort (würde ich auch niemals denken
) - du musst die Richtlinie in den Bereich des Computers bringen und dann die Loopbackverarbeitung aktivieren, damit auch der Benutzerteil der Richtlinie übernommen wird.
Gruß
Hubert
da bin ich auch ein wenig erstaunt. Vielleicht hat Timo ja gerade ein Nickerchen gemacht und den Beitrag aufwachenderweise im Halbschlaf gelesen und geschrieben ?
Ich gehe mal ganz einfach davon aus, dass sich das Computerobjekt nicht in Reichweite des Greuppenrichtlinienobjektes befindet. Anders gefragt: In welcher OU befrindet sich der Computer ?
So gesehen hat Timo also auch nicht ganz unrecht mit seinem Stichwort (würde ich auch niemals denken
) - du musst die Richtlinie in den Bereich des Computers bringen und dann die Loopbackverarbeitung aktivieren, damit auch der Benutzerteil der Richtlinie übernommen wird.Gruß
Hubert
Moin,
Halb ertappt....
Yupp - du bist auch noch im Halbschlaf
*duck*
Gruß
Zitat von @Hubert.N:
Moin
da bin ich auch ein wenig erstaunt. Vielleicht hat Timo ja gerade ein Nickerchen gemacht und den Beitrag aufwachenderweise im
Halbschlaf gelesen und geschrieben ?
Moin
da bin ich auch ein wenig erstaunt. Vielleicht hat Timo ja gerade ein Nickerchen gemacht und den Beitrag aufwachenderweise im
Halbschlaf gelesen und geschrieben ?
Halb ertappt....
Ich gehe mal ganz einfach davon aus, dass sich das Computerobjekt nicht in Reichweite des Greuppenrichtlinienobjektes befindet.
Yupp - du bist auch noch im Halbschlaf
*duck*- Und dann mach bitte nicht den Fehler in die GPO irgendwelche User im Klartext reinzumalen, das bringt dir über kurz oder lang massiven Stress...
"Berechtigungen Ordner Clients"
Ist doch ein (naja fast) guter Name für eine Gruppe, da packst du die User rein und nur die Gruppe in das GPO, sonst .....Gruß
hmm - stehe ich hier aufm Schlauch ?
Also für mich sieht das doch so aus, als ob der Computer die Richtlinie nicht übernimmt ?! Und nur weil ich eine Computerrichtlinie einstelle, bedeutet dass doch noch lange icht, dass sie auch übernommen wird
COMPUTEREINSTELLUNGEN
(...)
Angewendete Gruppenrichtlinienobjekte
Default Domain Policy
Richtlinien der lokalen Gruppe
(...)
Angewendete Gruppenrichtlinienobjekte
Default Domain Policy
Richtlinien der lokalen Gruppe
BENUTZEREINSTELLUNGEN
(...)
Angewendete Gruppenrichtlinienobjekte
Berechtigungen Ordner Clients
Default Domain Policy
(...)
Angewendete Gruppenrichtlinienobjekte
Berechtigungen Ordner Clients
Default Domain Policy
Also für mich sieht das doch so aus, als ob der Computer die Richtlinie nicht übernimmt ?! Und nur weil ich eine Computerrichtlinie einstelle, bedeutet dass doch noch lange icht, dass sie auch übernommen wird
Zitat von @Hubert.N:
Also für mich sieht das doch so aus, als ob der Computer die Richtlinie nicht übernimmt ?! Und nur weil ich eine
Computerrichtlinie einstelle, bedeutet dass doch noch lange icht, dass sie auch übernommen wird
Also für mich sieht das doch so aus, als ob der Computer die Richtlinie nicht übernimmt ?! Und nur weil ich eine
Computerrichtlinie einstelle, bedeutet dass doch noch lange icht, dass sie auch übernommen wird
Genau das ist mein Problem. Die GPO "Berechtigungen Ordner Clients" (ich gebe zu, der Name ist originell ! ) beinhaltet Computer- und Benutzereinstellungen. Aber NUR die Benutzereinstellungen werden auf den Clients übernommen, nicht aber die Computereinstellungen, egal was ich dort definiere (Berechtigungen, Skripts, andere Einstellungen). Darum stelle ich mir die Frage, warum nur die Benutzereinstellungen und nicht die Computereinstellungen übernommen werden.
Wie genau aktiviere ich die Loopback-Funktion?
naaaaabend zusammen....
Ich weiß ja auch nicht aber-....
Trotzdem - indem speziellen Fall würde ich das ganz Andreaskreuz machen, denn eine GPO und speziell eine mit Loopback läuft und läuft und läuft immer und immer und immer wieder, bei jeder Anmeldung - eher nix für Pappas Sohn, der gerne das letzte Tüpfelchen aus dem i kitzelt und die Anmeldung ASAP für die eh schon nörgelnden User gerne hat und auf lahm umgestrickte Kisten nicht mag....
Startupscript
Ich weiß ja auch nicht aber-....
Zitat von @D33kay:
Ich will mit Hilfe einer GPO die NTFS-Berechtigungen auf diverse Unterordner von C:\Programme auf den Clients verändern.
Ich will mit Hilfe einer GPO die NTFS-Berechtigungen auf diverse Unterordner von C:\Programme auf den Clients verändern.
- Ist eher der falsche Weg, aber dazu später...
Hierzu habe ich mir eine eigene GPO erstellt.
Unter Computerkonfiguration...
Ein gpresult bringt folgendes, Computer- und Benutzerkonfiguration in der GPO aktiv (Name der GPO rot und fett markiert):
COMPUTEREINSTELLUNGEN
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Default Domain Policy
Richtlinien der lokalen Gruppe
Unter Computerkonfiguration...
Ein gpresult bringt folgendes, Computer- und Benutzerkonfiguration in der GPO aktiv (Name der GPO rot und fett markiert):
COMPUTEREINSTELLUNGEN
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Default Domain Policy
Richtlinien der lokalen Gruppe
Hier sehe ich keine GPO Berechtigungen Ordner Clients
- Hier schon...
- Also ein klassischer Fall für den Loopbackverarbeitungsmodus oder das verlinken einer GPO sowohl in der Computer OU, als auch in der Benutzer OU.
BENUTZEREINSTELLUNGEN
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Berechtigungen Ordner Clients**
Default Domain Policy
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Berechtigungen Ordner Clients**
Default Domain Policy
Was mache ich falsch?#
Wie genau aktiviere ich die Loopback-Funktion?
Wie genau aktiviere ich die Loopback-Funktion?
- ganz ehrlich - nachdem ich dir das Stichwort geliefert habe und wir nun ungefragt nach deiner Domaincontroller Version rätseln, wäre eigentlich das anwerfen einer Suchmaschine x mit Daten x und y kein Thema?
Trotzdem - indem speziellen Fall würde ich das ganz Andreaskreuz machen, denn eine GPO und speziell eine mit Loopback läuft und läuft und läuft immer und immer und immer wieder, bei jeder Anmeldung - eher nix für Pappas Sohn, der gerne das letzte Tüpfelchen aus dem i kitzelt und die Anmeldung ASAP für die eh schon nörgelnden User gerne hat und auf lahm umgestrickte Kisten nicht mag....
Startupscript
if exist %programfiles\programfolderx\rightyright.ini goto end
xcalcs %programfiles\programfolderx /T /E /C /G TestUser:RWED /y
:end
xcalcs %programfiles\programfolderx /T /E /C /G TestUser:RWED /y
:end
:eof
N8
N8
Es handelt sich hierbei um einen W2K3 Server Standard Edition.
Habe jetzt die Loopbackverarbeitung aktiviert. Die GPO sieht jetzt wie folgt aus:
Computerkonfiguration (Aktiviert) -> Windows-Einstellungen -> Sicherheitseinstellungen -> Dateisystem -> %ProgramFiles%\Test
Berechtigungen: domäne\Authentifizierte Benutzer - Ändern
Computerkonfiguration (Aktiviert) -> Administrative Vorlagen -> System/Gruppenrichtlinien
Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie Aktiviert, Modus Ersetzen
Wenn ich auf dem Client jetzt ein GPUPDATE mache, kommt folgende Statusmeldung:
Die Aktualisierung der Userrichtlinie wurde abgeschlossen.
Die Aktualisierung der Computerrichtlinie wurde abgeschlossen.
Dennoch werden die Ordnerberechtigungen auf dem Client nicht übernommen! Das Ganze habe ich dann noch mit Startskript auf Computerebene aufprobiert, ebenfalls ohne erfolg. Das Skript wird nicht ausgeführt.
Würde gerne ohne Startskript arbeiten, da die User keine lokalen Adminrechte besitzen, um die NTFS Berechtigungen zu verändern. Dazu wird bei calcs jede Datei angefasst und Berechtigungen bei jedem Start neu gesetzt, was unter umständen jedes mal relativ lange dauern könnte, oder irre ich?
Mein Hauptproblem besteht jedoch darin, dass die Computerkonfiguration anscheinend nicht auf dem Client zur Anwendung kommt.
Habe jetzt die Loopbackverarbeitung aktiviert. Die GPO sieht jetzt wie folgt aus:
Computerkonfiguration (Aktiviert) -> Windows-Einstellungen -> Sicherheitseinstellungen -> Dateisystem -> %ProgramFiles%\Test
Berechtigungen: domäne\Authentifizierte Benutzer - Ändern
Computerkonfiguration (Aktiviert) -> Administrative Vorlagen -> System/Gruppenrichtlinien
Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie Aktiviert, Modus Ersetzen
Wenn ich auf dem Client jetzt ein GPUPDATE mache, kommt folgende Statusmeldung:
Die Aktualisierung der Userrichtlinie wurde abgeschlossen.
Die Aktualisierung der Computerrichtlinie wurde abgeschlossen.
Dennoch werden die Ordnerberechtigungen auf dem Client nicht übernommen! Das Ganze habe ich dann noch mit Startskript auf Computerebene aufprobiert, ebenfalls ohne erfolg. Das Skript wird nicht ausgeführt.
Würde gerne ohne Startskript arbeiten, da die User keine lokalen Adminrechte besitzen, um die NTFS Berechtigungen zu verändern. Dazu wird bei calcs jede Datei angefasst und Berechtigungen bei jedem Start neu gesetzt, was unter umständen jedes mal relativ lange dauern könnte, oder irre ich?
Mein Hauptproblem besteht jedoch darin, dass die Computerkonfiguration anscheinend nicht auf dem Client zur Anwendung kommt.
Thema gelöst!
Hätte die GPO mit der OU verknüpfen müssen, in dem sich das Computerkonto befindet und dieses Konto befindet sich im Container Computer auf der höchsten Ebene...
Hätte die GPO mit der OU verknüpfen müssen, in dem sich das Computerkonto befindet und dieses Konto befindet sich im Container Computer auf der höchsten Ebene...
ein wenig lesen hätte diese Erkenntnis gleich gebracht:
Zitat von @Hubert.N:
Ich gehe mal ganz einfach davon aus, dass sich das Computerobjekt nicht in Reichweite des Greuppenrichtlinienobjektes befindet.
Ich gehe mal ganz einfach davon aus, dass sich das Computerobjekt nicht in Reichweite des Greuppenrichtlinienobjektes befindet.
