nordicmike
Goto Top

Eine Ghost-GPO, die nicht in diese OU gehört

Moin zusammen,

der Server 2022 war mal in einer OU, in der eine Gruppenrichtlinie eine Nachricht beim Anmelden angezeigt hat. Der Server wurde in eine andere OU verschoben, in der die Gruppenrichtlinie nicht existiert. Die Nachricht kommt jedoch trotzdem. Erst, wenn ich eine Gruppenrichtlinie in die neue OU setze, die eine leere Nachricht definiert, wird die alte Nachricht nicht mehr angezeigt. Deaktiviere ich die neue GPO, ist die alte Nachricht wieder zu sehen.

Die OU's sind nicht vererbt, also keine Unter-OU in einer OU. Der Fehler klingt jedoch stark nach einer Vererbung.

Wie bekomme ich die alte GPO vom Server weg? Klar, ich könnte die neue GPO einfach in der OU lassen, aber ich möchte es halt doch verstehen und evtl bereinigen.

Danke euch and keep rockin'

Der Mike

Content-ID: 22823427975

Url: https://administrator.de/contentid/22823427975

Printed on: October 9, 2024 at 17:10 o'clock

em-pie
Solution em-pie Feb 05, 2024 at 08:13:12 (UTC)
Goto Top
Moin,

ohne den Inhalt deiner GPO konkret zu kennen.
Bei einer Vielzahl der per GPO verteilten Einstellungen sorgt ein Entfernen ebendieser nicht automatisch dazu, dass die Einstellung am Zielobjekt (hier dein Server) auch entfernt wird.

Beispiel RegKeys:
habe ich per GPO einen (oder mehere) RegKey(s) gesetzt und entferne/ lösche die OU wieder, bleiben die Keys dennoch am Server/ Client erhalten.
Erst, wenn ich in einer neuen GPO diese Keys lösche, sind die auch am Computer-Objekt wieder weg...
NordicMike
NordicMike Feb 05, 2024 at 08:40:00 (UTC)
Goto Top
Die GPO heisst:

Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien/ Sicherheitsoptionen -> Interaktive Anmeldung -> Nachricht für Benutzer, die sich anmelden wollen

ich habe in der Zwischenzeit noch ein paar Tests gemacht:
Im Falle von Server2016 wird die Nachricht nicht mehr angezeigt
Im Falle von Server 2022 wird sie angezeigt.
Es ist kein Einzelfall, auch ein zweiter 2022 zeigt sie immer noch an.

Danke schon mal

Der Mike
DerWoWusste
Solution DerWoWusste Feb 05, 2024 updated at 09:15:24 (UTC)
Goto Top
Hi.

Im "Fehlerzustand" am betroffenen Server auf einem elevated prompt ausführen:
gpresult /h %temp%\results.html & %temp%\results.html
Ausführen und in der Ausgabe den GPO-Namen ablesen, der dieses setzt.

Edit: wenn es sich wirklich anders verhält auf 2022, dann hieße das, dass ein Bug besteht, denn diese GPO ist "selbst-löschend" = non-tattooing.
NordicMike
NordicMike Feb 05, 2024 at 10:11:00 (UTC)
Goto Top
Im gpresult ist die alte GPO nicht aufgelistet. Ich hatte noch den Verdacht, dass sie nicht angezeigt wird, wenn sie durch die neue GPO überschrieben wird. Deswegen habe ich den Test wiederholt, nachdem ich die neue GPO deaktiviert habe. Die alte GPO ist nicht gelistet, aber die Nachricht kommt face-smile

OK, dann überschreibe ich sie einfach per neuer GPO face-smile
DerWoWusste
DerWoWusste Feb 05, 2024 at 10:49:34 (UTC)
Goto Top
Klingt dubios, und zwar:
Alle GPOs benutzen den selben Registry key. Wenn die neue GPO nicht aktiv ist, dann zieht die alte - sagst Du. Somit müsste in jedem Fall die alte ebenso als angewendete GPO gelistet werden, auch wenn Sie natürlich nur dann die "winning GPO" ist, wenn die neue unlinked ist.

Schau noch einmal rein.