assassin
Goto Top

Desktop und manche Programme "Flackern" bei GPO Aktualisierung

Hallo zusammen, ich wollt einfach mal fragen, ob das normal ist dass der Desktop/Symbole mehrmals flackern sowie auch manche Programme wie SAP , wenn der PC gerade neue GPOs zieht (was er wohl alle 15 Minuten macht?
Das ist wie wenn man auf dem Desktop mehrmals ein Refresh (F5) macht - nur das es eben in einigen Programmen auch passiert, was recht nervig ist, weil die Programme in der zeit wo die am "Flackern" sind - nicht auf eingaben reagieren. Dauert zwar nur so rund 3-5 sekunden, aber dennoch nervig.
Betrifft alle Clients.
Es gibt rund 30 GPOs, manche nur auf COmputerebene, manche eben auf Benutzerebene.

Server/Domäne: MS Server 2019
Clients: Windows 10 und Windows 11

Im Ereignisprotokoll des Clients sind diesbezüglich keine Fehler

Wie kann man das Verhalten unterbinden?

Content-ID: 669287

Url: https://administrator.de/contentid/669287

Ausgedruckt am: 24.11.2024 um 03:11 Uhr

jsysde
jsysde 06.11.2024 um 12:00:00 Uhr
Goto Top
Moin.

Spontan und anhand der "dünnen" Informationslage:
GPO-Settings, "Aktualisieren" und "Ersetzen" - wenn du z.B. Desktop-Shortcuts per GPO verteilst und das auf "Ersetzen" konfiguriert hast, werden die Shortcuts gelöscht und neu erstellt. Das würde ein "Flackern" des Desktops bewirken (können). Dito für Netzlaufwerke, Drucker, ... - "Ersetzen" löscht und erstellt neu. Wenn also eine Software über ein gemapptes Netzlaufwerk gestartet wird und du dem Client dieses Laufwerk "unter dem Hintern wegziehst", lässt sich die Anwendung kurzzeitig nicht bedienen (schlimmstenfalls beendet sie sich mit einer Fehlermeldung).

Wie gesagt, nur eine spontane Idee, so "aus der Hüfte".

Cheers,
jsysde
DerWoWusste
DerWoWusste 06.11.2024 um 13:29:00 Uhr
Goto Top
Das INtervall, wann Sie das tun, ist per default 90 Minuten mit einer halben Stunde plus oder Minus (zufallsgeneriert zwischen 60 und 90 Minuten). Sollte dich also keineswegs alle 15 Minuten stören - bring das doch mal in Erfahrung, ob das Intervall verkürzt wurde.

Was @jsysde anmerkt, dass dies bei bestimmten GPOs und GPPs passiert, stimmt. Du solltest darauf achten, dass gerade bei den GPPs, die Shortcuts setzen oder Dateien kopieren nach Möglichkeit eingestellt wird "nur einmal anwenden".
Assassin
Assassin 11.11.2024 aktualisiert um 10:50:13 Uhr
Goto Top
Habe jetzt mal in einer Testumgebung etwas rumspielen können und herausgefunden, durch welche Gruppenrichtlinien-Elemente ein Screenrefresh erfolgt:
- wenn via GPO Registry werte geschrieben bzw aktualisiert werden sollen
- wenn Dateien Kopiert werden sollen
- bei "Öffnen mit" Einstellungen (z.B. .nfo Dateien immer mit dem Text-Editor öffnen)
- wenn Netzlaufwerke verbunden/aktualisiert werden
- wenn Ordneroptionen angepasst werden
- Wenn ein Benutzer einer lokalen Benutzergruppe hinzugefügt wird

dabei ist es egal ob das Flag "nur einmalig anwenden" gesetzt ist oder nicht

die frage ist halt - wie bekomme ich es hin, dass die Richtlinien einmalig gezogen werden wenn sich ein Benutzer erstmalig an einem PC anmeldet?

Ich könnte vieles mit einem LoginScript machen sodass es nur einmalig direkt bei der Anmeldung gemacht wird, aber dachte sowas nutzt man heutzutage nicht mehr?
DerWoWusste
DerWoWusste 11.11.2024 aktualisiert um 11:12:15 Uhr
Goto Top
dabei ist es egal ob das Flag "nur einmalig anwenden" gesetzt ist oder nicht
Bist Du sicher, dass du das auch korrekt getestet hast? Da die Policy bereits beim zweiten mal nicht mehr angewendet wird, darf auch kein Refresh passieren (hast Du natürlich weitere Elemente, die du evtl. gar nicht auf dem Schirm hast, die ebenfalls einen Refresh produzieren, dann bringt das natürlich nichts - es muss für alle Elemente auf "nur einmal anwenden" stehen).

Loginskripte nutzt man also heute nicht mehr...? Wer erzählt denn sowas? Wenn zuverlässig bereits beim Logon immer eine Netzwerkverbindung besteht, dann spricht nichts gegen deren Nutzung.
Assassin
Assassin 11.11.2024 aktualisiert um 11:55:10 Uhr
Goto Top
Ich habe alle GPOs identifiziert welche so ein Refresh auslösen. Ich kann das auch gut gegen testen indem ich die jeweilige GPO einfach komplett deaktiviere - dann gibt es keinen Screenrefresh mehr (sind mehrere GPOs die ich dann deaktivieren muss, für jede Einstellung gibt es eine separate GPO).

Ich kann es jetzt nur mal beobachten wie es sich verhält wenn ein durch das system generiertes GPUpdate initiiert wird (ist doch aller 90 min eingestellt).
Wenn ich manuell ein gpupdate mache, gibt es dennoch ein Screenrefresh, obwohl die betroffenen GPOs die das auslösen in der ausnahmeliste in der Registry stehen ("HKCU\Software\Microsoft\Group Policy\Client\RunOnce" und "HKLM\Software\Microsoft\Group Policy\Client\RunOnce" )
Entweder ignoriert Windows beim manuellen gpupdate das RunOnce flag, oder die GPOs werden gelesen, aber nicht angewandt - aber verursachen dennoch einen Screenrefresh xD
Zumindest via gpresult sehe ich, dass auch die Richtlinien angewandt wurden beim manuellen gpupdate, wo es einen RunOnce eintrag in der registry gibt...
DerWoWusste
DerWoWusste 11.11.2024 um 12:50:12 Uhr
Goto Top
Ach so so, du hast manuell getestet... face-smile
Ja, das ist tatsächlich immer mit einem refresh verbunden. Keine Sorge, wenn durch den Background-refresh ausgelöst, dürfte das nicht passieren.
Assassin
Assassin 11.11.2024 aktualisiert um 15:46:43 Uhr
Goto Top
negativ, macht er nach 90 Minuten genauso wie beim manuellen gpupdate - es gibt einen screenrefresh - halt leider nicht nur einen, sondern aufgrund der Anzahl an Policy's die wir haben - 14x das ganze. Das dauert ja wie gesagt nicht lange, aber es ist nervig das ständige Bildschirm-Aktualisieren, vorallem wenn man gerade was schreibt...
Gruppenrichtlinien hat er sich alle gezogen - auch die, die er hätte garnicht ziehen dürfen .

Verstehe ich absolut nicht dieses verhalten. die ID der User-GPO steht unter HKEY_CURRENT_USER\SOFTWARE\Microsoft\Group Policy\Client\RunOnce, und trotzdem wendet er diese GPO jedesmal aufs neue an (Netzlaufwerke Aktualisieren).
Die anderen genauso welche alle in dem CurrentUser RunOnce und Computer RunOnce steht. Kann er das nicht lesen was da drin steht? obwohl der Rechner das ja selber eingeschrieben hat...

*edit*
was ich mich gerade frage - es gibt eine GPO um die Netzlaufwerke zu verbinden (Benutzerkonfiguration-Einstellungen-Windows-Einstellungen-Laufwerkzuordnungen) darin habe ich mehrere Netzlaufwerke die anhand der Zeilgruppenadressierung zugewiesen werden.
Da es aber nur eine einzelne GPO ist, gibt es ja aber auch nur eine GPO-ID - ich kann doch aber bei jedem Netzlaufwerk festlegen - das nur einmalig anwenden, und beim anderen den haken weg gelassen - wie trennt das system dann diese einstellungen?


Achso, er schreibt nicht alle als "Einmalig anwenden" gekennzeichnete GPOs in die Registry beim RunOnce rein face-sad
DerWoWusste
DerWoWusste 11.11.2024 aktualisiert um 18:16:07 Uhr
Goto Top
Du solltest Deine GPOs Stück für Stück abrüsten und den Background-Refresh-Zyklus des Testsystems mal stark verkürzen (2 Minuten), um dahinter zu kommen, was es ist. Ich meine mich zu erinnern, dass auch die Einstellung "ersetzen" (replace statt create) bei den Netzlaufwerken zu diesem Refreshproblem führt.
er schreibt nicht alle als "Einmalig anwenden" gekennzeichnete GPOs in die Registry beim RunOnce rein
Sondern? nur 3 von 100? Oder wie? Ich habe da eine ellenlange Liste drin, da wir diese Option exzessiv benutzen und habe nie unerwartete Explorter-Restarts wegen GPOs.