5
Eine Ghost-GPO, die nicht in diese OU gehört
Moin zusammen,
der Server 2022 war mal in einer OU, in der eine Gruppenrichtlinie eine Nachricht beim Anmelden angezeigt hat. Der Server wurde in eine andere OU verschoben, in der die Gruppenrichtlinie nicht existiert. Die Nachricht kommt jedoch trotzdem. Erst, wenn ich eine Gruppenrichtlinie in die neue OU setze, die eine leere Nachricht definiert, wird die alte Nachricht nicht mehr angezeigt. Deaktiviere ich die neue GPO, ist die alte Nachricht wieder zu sehen.
Die OU's sind nicht vererbt, also keine Unter-OU in einer OU. Der Fehler klingt jedoch stark nach einer Vererbung.
Wie bekomme ich die alte GPO vom Server weg? Klar, ich könnte die neue GPO einfach in der OU lassen, aber ich möchte es halt doch verstehen und evtl bereinigen.
Danke euch and keep rockin'
Der Mike
der Server 2022 war mal in einer OU, in der eine Gruppenrichtlinie eine Nachricht beim Anmelden angezeigt hat. Der Server wurde in eine andere OU verschoben, in der die Gruppenrichtlinie nicht existiert. Die Nachricht kommt jedoch trotzdem. Erst, wenn ich eine Gruppenrichtlinie in die neue OU setze, die eine leere Nachricht definiert, wird die alte Nachricht nicht mehr angezeigt. Deaktiviere ich die neue GPO, ist die alte Nachricht wieder zu sehen.
Die OU's sind nicht vererbt, also keine Unter-OU in einer OU. Der Fehler klingt jedoch stark nach einer Vererbung.
Wie bekomme ich die alte GPO vom Server weg? Klar, ich könnte die neue GPO einfach in der OU lassen, aber ich möchte es halt doch verstehen und evtl bereinigen.
Danke euch and keep rockin'
Der Mike
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 22823427975
Url: https://administrator.de/contentid/22823427975
Printed on: April 27, 2024 at 13:04 o'clock
5 Comments
Latest comment
Moin,
ohne den Inhalt deiner GPO konkret zu kennen.
Bei einer Vielzahl der per GPO verteilten Einstellungen sorgt ein Entfernen ebendieser nicht automatisch dazu, dass die Einstellung am Zielobjekt (hier dein Server) auch entfernt wird.
Beispiel RegKeys:
habe ich per GPO einen (oder mehere) RegKey(s) gesetzt und entferne/ lösche die OU wieder, bleiben die Keys dennoch am Server/ Client erhalten.
Erst, wenn ich in einer neuen GPO diese Keys lösche, sind die auch am Computer-Objekt wieder weg...
ohne den Inhalt deiner GPO konkret zu kennen.
Bei einer Vielzahl der per GPO verteilten Einstellungen sorgt ein Entfernen ebendieser nicht automatisch dazu, dass die Einstellung am Zielobjekt (hier dein Server) auch entfernt wird.
Beispiel RegKeys:
habe ich per GPO einen (oder mehere) RegKey(s) gesetzt und entferne/ lösche die OU wieder, bleiben die Keys dennoch am Server/ Client erhalten.
Erst, wenn ich in einer neuen GPO diese Keys lösche, sind die auch am Computer-Objekt wieder weg...
1
Die GPO heisst:
Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien/ Sicherheitsoptionen -> Interaktive Anmeldung -> Nachricht für Benutzer, die sich anmelden wollen
ich habe in der Zwischenzeit noch ein paar Tests gemacht:
Im Falle von Server2016 wird die Nachricht nicht mehr angezeigt
Im Falle von Server 2022 wird sie angezeigt.
Es ist kein Einzelfall, auch ein zweiter 2022 zeigt sie immer noch an.
Danke schon mal
Der Mike
Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien/ Sicherheitsoptionen -> Interaktive Anmeldung -> Nachricht für Benutzer, die sich anmelden wollen
ich habe in der Zwischenzeit noch ein paar Tests gemacht:
Im Falle von Server2016 wird die Nachricht nicht mehr angezeigt
Im Falle von Server 2022 wird sie angezeigt.
Es ist kein Einzelfall, auch ein zweiter 2022 zeigt sie immer noch an.
Danke schon mal
Der Mike
Hi.
Im "Fehlerzustand" am betroffenen Server auf einem elevated prompt ausführen:
Ausführen und in der Ausgabe den GPO-Namen ablesen, der dieses setzt.
Edit: wenn es sich wirklich anders verhält auf 2022, dann hieße das, dass ein Bug besteht, denn diese GPO ist "selbst-löschend" = non-tattooing.
Im "Fehlerzustand" am betroffenen Server auf einem elevated prompt ausführen:
gpresult /h %temp%\results.html & %temp%\results.htmlEdit: wenn es sich wirklich anders verhält auf 2022, dann hieße das, dass ein Bug besteht, denn diese GPO ist "selbst-löschend" = non-tattooing.
Im gpresult ist die alte GPO nicht aufgelistet. Ich hatte noch den Verdacht, dass sie nicht angezeigt wird, wenn sie durch die neue GPO überschrieben wird. Deswegen habe ich den Test wiederholt, nachdem ich die neue GPO deaktiviert habe. Die alte GPO ist nicht gelistet, aber die Nachricht kommt 
OK, dann überschreibe ich sie einfach per neuer GPO
OK, dann überschreibe ich sie einfach per neuer GPO
Klingt dubios, und zwar:
Alle GPOs benutzen den selben Registry key. Wenn die neue GPO nicht aktiv ist, dann zieht die alte - sagst Du. Somit müsste in jedem Fall die alte ebenso als angewendete GPO gelistet werden, auch wenn Sie natürlich nur dann die "winning GPO" ist, wenn die neue unlinked ist.
Schau noch einmal rein.
Alle GPOs benutzen den selben Registry key. Wenn die neue GPO nicht aktiv ist, dann zieht die alte - sagst Du. Somit müsste in jedem Fall die alte ebenso als angewendete GPO gelistet werden, auch wenn Sie natürlich nur dann die "winning GPO" ist, wenn die neue unlinked ist.
Schau noch einmal rein.