Eine Ghost-GPO, die nicht in diese OU gehört
Moin zusammen,
der Server 2022 war mal in einer OU, in der eine Gruppenrichtlinie eine Nachricht beim Anmelden angezeigt hat. Der Server wurde in eine andere OU verschoben, in der die Gruppenrichtlinie nicht existiert. Die Nachricht kommt jedoch trotzdem. Erst, wenn ich eine Gruppenrichtlinie in die neue OU setze, die eine leere Nachricht definiert, wird die alte Nachricht nicht mehr angezeigt. Deaktiviere ich die neue GPO, ist die alte Nachricht wieder zu sehen.
Die OU's sind nicht vererbt, also keine Unter-OU in einer OU. Der Fehler klingt jedoch stark nach einer Vererbung.
Wie bekomme ich die alte GPO vom Server weg? Klar, ich könnte die neue GPO einfach in der OU lassen, aber ich möchte es halt doch verstehen und evtl bereinigen.
Danke euch and keep rockin'
Der Mike
der Server 2022 war mal in einer OU, in der eine Gruppenrichtlinie eine Nachricht beim Anmelden angezeigt hat. Der Server wurde in eine andere OU verschoben, in der die Gruppenrichtlinie nicht existiert. Die Nachricht kommt jedoch trotzdem. Erst, wenn ich eine Gruppenrichtlinie in die neue OU setze, die eine leere Nachricht definiert, wird die alte Nachricht nicht mehr angezeigt. Deaktiviere ich die neue GPO, ist die alte Nachricht wieder zu sehen.
Die OU's sind nicht vererbt, also keine Unter-OU in einer OU. Der Fehler klingt jedoch stark nach einer Vererbung.
Wie bekomme ich die alte GPO vom Server weg? Klar, ich könnte die neue GPO einfach in der OU lassen, aber ich möchte es halt doch verstehen und evtl bereinigen.
Danke euch and keep rockin'
Der Mike
Please also mark the comments that contributed to the solution of the article
Content-ID: 22823427975
Url: https://administrator.de/contentid/22823427975
Printed on: October 9, 2024 at 17:10 o'clock
5 Comments
Latest comment
Moin,
ohne den Inhalt deiner GPO konkret zu kennen.
Bei einer Vielzahl der per GPO verteilten Einstellungen sorgt ein Entfernen ebendieser nicht automatisch dazu, dass die Einstellung am Zielobjekt (hier dein Server) auch entfernt wird.
Beispiel RegKeys:
habe ich per GPO einen (oder mehere) RegKey(s) gesetzt und entferne/ lösche die OU wieder, bleiben die Keys dennoch am Server/ Client erhalten.
Erst, wenn ich in einer neuen GPO diese Keys lösche, sind die auch am Computer-Objekt wieder weg...
ohne den Inhalt deiner GPO konkret zu kennen.
Bei einer Vielzahl der per GPO verteilten Einstellungen sorgt ein Entfernen ebendieser nicht automatisch dazu, dass die Einstellung am Zielobjekt (hier dein Server) auch entfernt wird.
Beispiel RegKeys:
habe ich per GPO einen (oder mehere) RegKey(s) gesetzt und entferne/ lösche die OU wieder, bleiben die Keys dennoch am Server/ Client erhalten.
Erst, wenn ich in einer neuen GPO diese Keys lösche, sind die auch am Computer-Objekt wieder weg...
Hi.
Im "Fehlerzustand" am betroffenen Server auf einem elevated prompt ausführen:
Ausführen und in der Ausgabe den GPO-Namen ablesen, der dieses setzt.
Edit: wenn es sich wirklich anders verhält auf 2022, dann hieße das, dass ein Bug besteht, denn diese GPO ist "selbst-löschend" = non-tattooing.
Im "Fehlerzustand" am betroffenen Server auf einem elevated prompt ausführen:
gpresult /h %temp%\results.html & %temp%\results.html
Edit: wenn es sich wirklich anders verhält auf 2022, dann hieße das, dass ein Bug besteht, denn diese GPO ist "selbst-löschend" = non-tattooing.
Klingt dubios, und zwar:
Alle GPOs benutzen den selben Registry key. Wenn die neue GPO nicht aktiv ist, dann zieht die alte - sagst Du. Somit müsste in jedem Fall die alte ebenso als angewendete GPO gelistet werden, auch wenn Sie natürlich nur dann die "winning GPO" ist, wenn die neue unlinked ist.
Schau noch einmal rein.
Alle GPOs benutzen den selben Registry key. Wenn die neue GPO nicht aktiv ist, dann zieht die alte - sagst Du. Somit müsste in jedem Fall die alte ebenso als angewendete GPO gelistet werden, auch wenn Sie natürlich nur dann die "winning GPO" ist, wenn die neue unlinked ist.
Schau noch einmal rein.