10
GPO Benutzer- und Computerrichtlinie gleichzeitig anwenden
Hallo,
vielen Dank schon mal für eure Hilfe.
Folgendes Problem:
Ich habe in der Schule 120 Clients (Win 10) an einem Windows 2019 Server hängen und benutze hier Gruppenrichtlinien.
Die Clients sind absolut identisch sowohl hard- als auch software. Image, welches per Acronis verteilt wird.
User sind in einer OUs und die Geräte jeweils in OUs. Den Ous sind die Richtlinienobjekte zugeordnet.
1. Computerrichtlinien für die Druckerzuweisung, Startlayout, OneDrive (aus) usw.
2. Benutzerrichtlinen für sonstiges wie z. B. Edge, Startmenü, bestimmte Netzfreigabe Laufwerke zuordnen usw.
Bestimmte Richtlinien beziehen sich also auf den Client (z. B. der richtige Drucker, Startmenülayout usw.) und bestimmte auf den angemeldeten User.
Die Eigenheit ist, dass in der OU Geräte (z. B. Raum1) nicht nur Computerrichtlinienobjekte zugeordnet sind, sondern auch Benutzerrichtlinienobjekte. Diese werden jedoch nur ausgeführt mit "Loopback" (zusammenführen).
Dies hat nur funktioniert eigentlich auch ganz gut.
Ich habe nun in EINEM Computerraum das Problem, dass das Abmelden teilweise 20 Minuten dauert. Ich konnte dies über die Ereignisanzeige usw. auf Loopback zurückführen.
Wenn Loopback deaktiviert ist die Abmeldung dieser Geräte richtig flott, Jedoch werdenn dann an diesen Geräten keine Benutzerrichtlinien (die mit der Geräte OU verknüpft sind) mehr verarbeitet sondern nur die, welche mit dem angemeldeten Benutzer (Benutzer OU) verknüpft sind.
Kann mir hier jemand helfen?
vielen Dank schon mal für eure Hilfe.
Folgendes Problem:
Ich habe in der Schule 120 Clients (Win 10) an einem Windows 2019 Server hängen und benutze hier Gruppenrichtlinien.
Die Clients sind absolut identisch sowohl hard- als auch software. Image, welches per Acronis verteilt wird.
User sind in einer OUs und die Geräte jeweils in OUs. Den Ous sind die Richtlinienobjekte zugeordnet.
1. Computerrichtlinien für die Druckerzuweisung, Startlayout, OneDrive (aus) usw.
2. Benutzerrichtlinen für sonstiges wie z. B. Edge, Startmenü, bestimmte Netzfreigabe Laufwerke zuordnen usw.
Bestimmte Richtlinien beziehen sich also auf den Client (z. B. der richtige Drucker, Startmenülayout usw.) und bestimmte auf den angemeldeten User.
Die Eigenheit ist, dass in der OU Geräte (z. B. Raum1) nicht nur Computerrichtlinienobjekte zugeordnet sind, sondern auch Benutzerrichtlinienobjekte. Diese werden jedoch nur ausgeführt mit "Loopback" (zusammenführen).
Dies hat nur funktioniert eigentlich auch ganz gut.
Ich habe nun in EINEM Computerraum das Problem, dass das Abmelden teilweise 20 Minuten dauert. Ich konnte dies über die Ereignisanzeige usw. auf Loopback zurückführen.
Wenn Loopback deaktiviert ist die Abmeldung dieser Geräte richtig flott, Jedoch werdenn dann an diesen Geräten keine Benutzerrichtlinien (die mit der Geräte OU verknüpft sind) mehr verarbeitet sondern nur die, welche mit dem angemeldeten Benutzer (Benutzer OU) verknüpft sind.
Kann mir hier jemand helfen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 637210
Url: https://administrator.de/contentid/637210
Ausgedruckt am: 15.11.2024 um 07:11 Uhr
10 Kommentare
Neuester Kommentar
Hi
Ich vermute du meinst 20 min zum anmelden ?
Ist dies bei jeder Anmeldung / oder doch Abmeldung so lange oder nur bei der ersten?
Loopback hat doch nur auf die Anmeldung Auswirkung ?
Dein Netzwerk hat 1 Gbit ? Der Server ist performant ?
DNS Auflösung funktioniert richtig?
Klingt für mich als ob der Raum Netzwerkprobleme hat?
Hast du VLANs? Wenn ja ist das VLAN für den Raum richtig konfiguriert auch am DHCP?
Hast du IPv6 aktiviert?
Verwendest du roaming Profiles? Wenn Ja mit oder ohne Ordnerumleitung ?
Hast du an den Roaming Profiles bei den Standardmäßig ausgeschlossenen Ordnern etwas verbogen um das Startmenü bzw. die gepinnten Apps mit zu nehmen?
Hast du Softwareverteilung in den GPOs "verbaut"?
Was hast du alles in den Benutzerkonfigs gesetzt?
Denke du musst mehr infos liefern.
Mit freundlichen Grüßen Nemesis
Ich vermute du meinst 20 min zum anmelden ?
Ist dies bei jeder Anmeldung / oder doch Abmeldung so lange oder nur bei der ersten?
Loopback hat doch nur auf die Anmeldung Auswirkung ?
Dein Netzwerk hat 1 Gbit ? Der Server ist performant ?
DNS Auflösung funktioniert richtig?
Klingt für mich als ob der Raum Netzwerkprobleme hat?
Hast du VLANs? Wenn ja ist das VLAN für den Raum richtig konfiguriert auch am DHCP?
Hast du IPv6 aktiviert?
Verwendest du roaming Profiles? Wenn Ja mit oder ohne Ordnerumleitung ?
Hast du an den Roaming Profiles bei den Standardmäßig ausgeschlossenen Ordnern etwas verbogen um das Startmenü bzw. die gepinnten Apps mit zu nehmen?
Hast du Softwareverteilung in den GPOs "verbaut"?
Was hast du alles in den Benutzerkonfigs gesetzt?
Denke du musst mehr infos liefern.
Mit freundlichen Grüßen Nemesis
Hallo,
herzlichen Dank für Deine Nachricht.
Aktuell habe ich es bei der Abmeldung festgestellt. Es trat aber auch in anderen Räumen schon bei der Anmeldung auf. Da war ich aber der Ansicht, dass dies mit einem außerpanmäßigen Server-Neustart zu tun hatte. Wir haben öfter Spannungsschwankungen und keine USV, dann startet sich der Server neu.
Der Server ist Neu und sehr leistungsfähig, daran kann es nicht liegen. Der Microsoft 2019 Server ist virtualisiert auf einer Hyper-V.
Ich hab leider mit Loopback wenig Erfahrung. Es war für mich nur wichtig, dass Benutzer- und Computerrichtlinien gleiczeitig angewendet werden, das tat es nur mit Loopback.
Netzwerk ist durchwegs 1 GB. Vom Server vebunden zum 1Gb Switch mit Glasfaser. Von dort aus (ca. 10 Meter mit Cat 6). Nur 4 Netzwerkkabel kamen später hinzu und sind keine Verlegekabel.
VLAN im DHCP konfiguriert? Bin ich leider überfordert. Was muss man dort einstellen? Im DHCP sind Reservierungen mit den Mac-Adressen die dann aufgelöst werden.
Profile sind auf den Rechnern lokal, die Userverzeichnisse auf dem Server.
Das Startmenü-Layout ist eine GPO, die eine XML lädt.
Die Softwareverteilung bzw. das Image wird über Acroinis auf jeden Rechner übertragen, also außerhalb von GPOs über PXE.
In den Benutzerkonifgs sind der Bildschimhintergrund, eine Laufwerkszuordung (Schulordner) gesetzt, alle anderen Sachen wie z. B. Drucker für den Raum, One Drive aus, Startlayout, Explorrer Einstellungen usw. sind über Computerrichtlinien gesetzt. Diese werden ohne loopback (zusammenführen) leider nicht angewendet, sondern nur die Richtlinien des angemeldeten Benutzers.
Vielen Dank
herzlichen Dank für Deine Nachricht.
Aktuell habe ich es bei der Abmeldung festgestellt. Es trat aber auch in anderen Räumen schon bei der Anmeldung auf. Da war ich aber der Ansicht, dass dies mit einem außerpanmäßigen Server-Neustart zu tun hatte. Wir haben öfter Spannungsschwankungen und keine USV, dann startet sich der Server neu.
Der Server ist Neu und sehr leistungsfähig, daran kann es nicht liegen. Der Microsoft 2019 Server ist virtualisiert auf einer Hyper-V.
Ich hab leider mit Loopback wenig Erfahrung. Es war für mich nur wichtig, dass Benutzer- und Computerrichtlinien gleiczeitig angewendet werden, das tat es nur mit Loopback.
Netzwerk ist durchwegs 1 GB. Vom Server vebunden zum 1Gb Switch mit Glasfaser. Von dort aus (ca. 10 Meter mit Cat 6). Nur 4 Netzwerkkabel kamen später hinzu und sind keine Verlegekabel.
VLAN im DHCP konfiguriert? Bin ich leider überfordert. Was muss man dort einstellen? Im DHCP sind Reservierungen mit den Mac-Adressen die dann aufgelöst werden.
Profile sind auf den Rechnern lokal, die Userverzeichnisse auf dem Server.
Das Startmenü-Layout ist eine GPO, die eine XML lädt.
Die Softwareverteilung bzw. das Image wird über Acroinis auf jeden Rechner übertragen, also außerhalb von GPOs über PXE.
In den Benutzerkonifgs sind der Bildschimhintergrund, eine Laufwerkszuordung (Schulordner) gesetzt, alle anderen Sachen wie z. B. Drucker für den Raum, One Drive aus, Startlayout, Explorrer Einstellungen usw. sind über Computerrichtlinien gesetzt. Diese werden ohne loopback (zusammenführen) leider nicht angewendet, sondern nur die Richtlinien des angemeldeten Benutzers.
Vielen Dank
Hi
Ich denke du hast das Prinzip von GPOs und deren Anwendung auf OUs nicht ganz verstanden.
Ich gehe davon aus, dass du deine Benutzer in einer OU hast
Und deinen Computer in einer anderen OU.
Du wendest die Benutzer und Computer GPOs aber nur auf die OU der Computer an.
Daher brauchst du loopback.
Wenn du aber die Benutzer GPOs auf die OU deiner Benutzer (bitte nicht auf die im default Users und Builtin anwenden...)
Anwendest, werden für alle Benutzer der OU auf allen Computer wo diese sich anmelden können angewendet.
Hast du einen Terminalserver, wo es Sinn macht loopback zu verwenden oder einen anderen Grund? Wie bist du auf loopback gestoßen?
Mit freundlichen Grüßen Nemesis
PS: Kauf eine USV !!!!!!!! Da ist schneller alles kaputt als du schauen kannst
Ich denke du hast das Prinzip von GPOs und deren Anwendung auf OUs nicht ganz verstanden.
Ich gehe davon aus, dass du deine Benutzer in einer OU hast
Und deinen Computer in einer anderen OU.
Du wendest die Benutzer und Computer GPOs aber nur auf die OU der Computer an.
Daher brauchst du loopback.
Wenn du aber die Benutzer GPOs auf die OU deiner Benutzer (bitte nicht auf die im default Users und Builtin anwenden...)
Anwendest, werden für alle Benutzer der OU auf allen Computer wo diese sich anmelden können angewendet.
Hast du einen Terminalserver, wo es Sinn macht loopback zu verwenden oder einen anderen Grund? Wie bist du auf loopback gestoßen?
Mit freundlichen Grüßen Nemesis
PS: Kauf eine USV !!!!!!!! Da ist schneller alles kaputt als du schauen kannst
Hallo nEmEsIs,
vielen Dank schon mal für Deine Hilfe.
Du hast schon recht: ich bin kein Profi.
Ich habe z. B. eine OU Lehrer, die bekommt Benutzerrichtlinien wie z. b. die Lehrerordnerfreigabe, usw. also bezogen auf den User, egal an welcher Maschine er sich anmeldet.
Dann habe ich die OU Rechner, die bekommt Benutzer- und Computerrichtlinien da manche GPOs nicht in beiden zu finden sind wie z. B. rechte Maustaste im Startmenü deaktivieren.
In dieser Rechner-OU ist auch Loopback mit "zusammenführen".
Ich habe es erst ohne Loopback probiert und da hat er dann immer die Computerrichtlinien nicht angewendet. Im Internet habe ich dann von loopback gelesen und es hat funktioniert. Nur eben manchmal die den Latzenzen beim An- und jetzt vor allem beim Abmelden.
Kann es sein, das das Problem darin besteht, dass in der Rechner-OU Benutzerrichtlinien enthalten sind und nicht nur Computerrichtlinien?
Vielen Dank schon mal.
vielen Dank schon mal für Deine Hilfe.
Du hast schon recht: ich bin kein Profi.
Ich habe z. B. eine OU Lehrer, die bekommt Benutzerrichtlinien wie z. b. die Lehrerordnerfreigabe, usw. also bezogen auf den User, egal an welcher Maschine er sich anmeldet.
Dann habe ich die OU Rechner, die bekommt Benutzer- und Computerrichtlinien da manche GPOs nicht in beiden zu finden sind wie z. B. rechte Maustaste im Startmenü deaktivieren.
In dieser Rechner-OU ist auch Loopback mit "zusammenführen".
Ich habe es erst ohne Loopback probiert und da hat er dann immer die Computerrichtlinien nicht angewendet. Im Internet habe ich dann von loopback gelesen und es hat funktioniert. Nur eben manchmal die den Latzenzen beim An- und jetzt vor allem beim Abmelden.
Kann es sein, das das Problem darin besteht, dass in der Rechner-OU Benutzerrichtlinien enthalten sind und nicht nur Computerrichtlinien?
Vielen Dank schon mal.
Hi
Kann es sein, das das Problem darin besteht, dass in der Rechner-OU Benutzerrichtlinien enthalten sind und nicht nur Computerrichtlinien? --> Nein das hat damit nix zu tun.
Da du aber schreibst, dass du keine Roaming Profiles verwendest und beim abmelden ja somit nix zurück geschrieben wird und es aus meiner Sicht auch nicht am loopback liegen kann bin ich raus. Denke es liegt vll an irgendwas in deinem Client Image ist aber aus der Ferne schwer zu sagen.
Denke aber, so wie du das alles beschreibst, solltest du dich entweder tiefer / besser einarbeiten oder aber ein Systemhaus nehmen, welches dir bei der Einrichtung hilft.
Denke hier im Forum gibt es genug Profis die gegen Entgelt dir bei deinem Problem helfen.
Mit freundlichen Grüßen Nemesis
Kann es sein, das das Problem darin besteht, dass in der Rechner-OU Benutzerrichtlinien enthalten sind und nicht nur Computerrichtlinien? --> Nein das hat damit nix zu tun.
Da du aber schreibst, dass du keine Roaming Profiles verwendest und beim abmelden ja somit nix zurück geschrieben wird und es aus meiner Sicht auch nicht am loopback liegen kann bin ich raus. Denke es liegt vll an irgendwas in deinem Client Image ist aber aus der Ferne schwer zu sagen.
Denke aber, so wie du das alles beschreibst, solltest du dich entweder tiefer / besser einarbeiten oder aber ein Systemhaus nehmen, welches dir bei der Einrichtung hilft.
Denke hier im Forum gibt es genug Profis die gegen Entgelt dir bei deinem Problem helfen.
Mit freundlichen Grüßen Nemesis
Hallo Netzworker9,
ich habe mir das ganze jetzt mehrfach durchgelesen und mir sträuben sich immer noch die Nackenhaare. Du scheinst offenbar einige Grundlagen nicht zu beherrschen oder sie nicht verstanden zu haben. Daher versuche ich hier einmal kurz in einigen Punkten das wesentliche zusammenzuschreiben:
1. Lege OUs an. Mindestens 3: Server, User Clients
2. Was für User gilt kommt in GPOs unter User.
3. Was für den Rechner gilt (unabhängig vom User) kommt unter Client
4. Wenn du Benutzereinstellungen vergibst, die in einer GPO stehen, die in der Client-OU steht, wird dies nicht ausgeführt
5. Loopback brauchst du nur bei gleichzeitiger Anmeldung am Client und TS. Hast du nicht, also weg damit.
6. Beachte dass du (zum Test) die GPOs immer als authentifizierter User ausführst. Wenn du vom vor eingestellten Auth-User weg willst, dann vergewissere dich, dass du ihn manuell in der Delegierung mit Leserechten hinzufügst. Wenn der auth-User in der Delegierung keine Leserechte hat, funktioniert die GPO nicht.
7. Arbeite IMMER mit Gruppen. Selbst wenn die Gruppe nur aus einem Client oder einem MA besteht.
8. Nutze die Gruppenrichtlinienmodellierung um die anzuzeigen welche GPOs angewandt oder nicht angewandt werden.
9. Wenn du weitere Hilfe brauchst, dann gib uns Bilder. GPOs sind so vielschichtig und voller Möglichkeiten, dass es ohne Bilder ein Ratespiel wird.
10. Besorg dir eine USV
11. Auch wenn der Server Neu und sehr leistungsfähig ist, kann dein Problem theoretisch sehr wohl daran liegen, nämlich dann wenn die Konfiguration der virtuellen Maschine(n) dafür sorgt, dass keine CPU zur Verfügung steht.
Gruß
Doskias
ich habe mir das ganze jetzt mehrfach durchgelesen und mir sträuben sich immer noch die Nackenhaare. Du scheinst offenbar einige Grundlagen nicht zu beherrschen oder sie nicht verstanden zu haben. Daher versuche ich hier einmal kurz in einigen Punkten das wesentliche zusammenzuschreiben:
1. Lege OUs an. Mindestens 3: Server, User Clients
2. Was für User gilt kommt in GPOs unter User.
3. Was für den Rechner gilt (unabhängig vom User) kommt unter Client
4. Wenn du Benutzereinstellungen vergibst, die in einer GPO stehen, die in der Client-OU steht, wird dies nicht ausgeführt
5. Loopback brauchst du nur bei gleichzeitiger Anmeldung am Client und TS. Hast du nicht, also weg damit.
6. Beachte dass du (zum Test) die GPOs immer als authentifizierter User ausführst. Wenn du vom vor eingestellten Auth-User weg willst, dann vergewissere dich, dass du ihn manuell in der Delegierung mit Leserechten hinzufügst. Wenn der auth-User in der Delegierung keine Leserechte hat, funktioniert die GPO nicht.
7. Arbeite IMMER mit Gruppen. Selbst wenn die Gruppe nur aus einem Client oder einem MA besteht.
8. Nutze die Gruppenrichtlinienmodellierung um die anzuzeigen welche GPOs angewandt oder nicht angewandt werden.
9. Wenn du weitere Hilfe brauchst, dann gib uns Bilder. GPOs sind so vielschichtig und voller Möglichkeiten, dass es ohne Bilder ein Ratespiel wird.
10. Besorg dir eine USV
11. Auch wenn der Server Neu und sehr leistungsfähig ist, kann dein Problem theoretisch sehr wohl daran liegen, nämlich dann wenn die Konfiguration der virtuellen Maschine(n) dafür sorgt, dass keine CPU zur Verfügung steht.
Gruß
Doskias
Zitat von @nEmEsIs:
Hi
Kann es sein, das das Problem darin besteht, dass in der Rechner-OU Benutzerrichtlinien enthalten sind und nicht nur Computerrichtlinien? --> Nein das hat damit nix zu tun.
Hi
Kann es sein, das das Problem darin besteht, dass in der Rechner-OU Benutzerrichtlinien enthalten sind und nicht nur Computerrichtlinien? --> Nein das hat damit nix zu tun.
Äh was? Wenn die User GPO gem. Best Pratice auf "Nur Benutzereinstellungen verwenden" steht wird diese schlicht nicht angewendet. Ich persönlich halte mich daran und trenne die GPOs immer in User & Computer GPOs auf. User GPOs ziehen in den User OUs (am besten Abteilungen nehmen) und Computer GPOs in den Computer OUs (hier auch wieder Abteilungen rein). Manche struktieren das ganze auch nach Gebäude Teilen, aber davon halte ich nicht so viel.
Update: Der Hintergrund warum man z.B. nicht verwendete GPO Teile deaktiviert ist einfach, damit die Verarbeitung flotter geht. Quasie GPO Tuning.
Hi
Wo steht das, dass dies best practice sei?
Gerade bei loopback kann dies Sinn machen. Es hat auch kaum / keinen Performance Vorteil, weil in der XML im SYSVOL nix steht was er z.b. am Computer verarbeiten könnte wenn nix konfiguriert ist.
Einziger Vorteil versehentlich gesetzte Konfigurationen sind damit deaktiviert.
Hier nachzulesen:
https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/ ...
Mit freundlichen Grüßen Nemesis
Wo steht das, dass dies best practice sei?
Gerade bei loopback kann dies Sinn machen. Es hat auch kaum / keinen Performance Vorteil, weil in der XML im SYSVOL nix steht was er z.b. am Computer verarbeiten könnte wenn nix konfiguriert ist.
Einziger Vorteil versehentlich gesetzte Konfigurationen sind damit deaktiviert.
Hier nachzulesen:
https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/ ...
Mit freundlichen Grüßen Nemesis
1
Herzlichen Dank für die zahlreichen Hilfen.
Danke Doskias für die genauen Punkte. Ich hab' alles so gemacht:
- Loopback raus
- Benutzerrichtlinien zu den User OUs
- computerrichltinien zu den Client OUs
Alles funktioniert jetzt wunderbar. Vielen, vielen Dank.!
Danke nochmal.
Danke Doskias für die genauen Punkte. Ich hab' alles so gemacht:
- Loopback raus
- Benutzerrichtlinien zu den User OUs
- computerrichltinien zu den Client OUs
Alles funktioniert jetzt wunderbar. Vielen, vielen Dank.!
Danke nochmal.
Zitat von @nEmEsIs:
Hi
Hier nachzulesen:
https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/ ...
Mit freundlichen Grüßen Nemesis
Hi
Hier nachzulesen:
https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/ ...
Mit freundlichen Grüßen Nemesis
Ups:
The choice is yours to make, but please stop proliferating the notion that disabling User/Computer sections within a GPO improves performance.
Das liest man halt wirklich auf vielen Seiten. Z.B. hier: https://activedirectorypro.com/group-policy-best-practices/ bei Punkt 9.
Nun gut dann ordne ich das eher unter: "Mach es oder lass es" ein
Thx
