petere
Goto Top

GPO greifen bei manchen Nutzern nicht

Hallo,

seit zwei Wochen, wohl nach dem letzten Patchlauf, beachtet einer unserer Windows 2012R2 Remotedesktopserver Teile der GPOs nicht mehr, diese sind:

- Infobereich ausblenden (aktiv)
- Startmenü > Ausführen ausblenden (aktiv)
- Startmenü > Kommandozeile ausblenden (aktiv)

Weder die GPO noch der Server wurden verändert. Auch sind die Benutzer der GPO zugeordnet. Weder gpupdate /force noch ein Neustart des Systems hat geholfen. Die Domäne arbeitet auf einer Windows 2012 Basis. Das Problem liegt auf der Hand: User können unkontrolliert Befehle auf der Maschine ausführen.

Irgend eine Idee, was ich dagegen tun könnte?
Viele Grüße und Danke!
Peter

Content-ID: 288111

Url: https://administrator.de/forum/gpo-greifen-bei-manchen-nutzern-nicht-288111.html

Ausgedruckt am: 25.12.2024 um 01:12 Uhr

emeriks
emeriks 11.11.2015 um 21:32:05 Uhr
Goto Top
Hi,
Irgend eine Idee, was ich dagegen tun könnte?
cool bleiben ... face-wink

Erstmal im Benutzerkontext mit "gpresult /h" und oder "rsop.msc" genau feststellen, ob und was angewendet wird.

E.
petere
petere 16.11.2015 um 21:05:20 Uhr
Goto Top
Hallo,
komisch, die Richtlinien werden korrekt angewandt, der Infobereich wird aber nicht ausgeblendet. Manche User innerhalb derselben OU weden aber korrekt behandelt. Einziger Hinweis in der Report.html ...

Während der letzten Gruppenrichtlinie Aktualisierung am 16.11.2015 20:56:10 Eine schnelle Verbindung wurde entdeckt

Viele Grüße,
Peter
emeriks
emeriks 16.11.2015 um 21:36:30 Uhr
Goto Top
Während der letzten Gruppenrichtlinie Aktualisierung am 16.11.2015 20:56:10 Eine schnelle Verbindung wurde entdeckt
Das sollte er auf einem TS bei allen Benutzern melden. Wenn nicht, dann hat sich entweder jemand angemeldet, der zu einer Domäne gehört, deren DC's an einem anderen WAN-Standort stehen, oder Du hast ein Problem im LAN, welches dazu führt, dass das LAN phasenweise lahm wird.

Bei einem TS-Konstrukt gehe ich davon aus, dass der TS alle Dienste, welche er benötigt, also auch min. einen DC, an seinem WAN-Standort hat.
petere
petere 17.11.2015 um 07:17:41 Uhr
Goto Top
Hallo,
ja, ich habe nur einen Standort und ja, es ist auch ein TS. Komisch ist folgendes Verhalten: Logge ich mich über einen betroffenen User ein und führe dort gpupdate /force aus, ist nach der Ab- und Anmeldung die GPO wieder integer. Führe ich, was eigentlich auch reichen sollte, gpupdate /force im Kontext des Administrators aus, hilft das nicht.
emeriks
emeriks 17.11.2015 um 08:44:10 Uhr
Goto Top
Führe ich, was eigentlich auch reichen sollte, gpupdate /force im Kontext des Administrators aus, hilft das nicht.
Für wen reichen und wem helfen?
Der Admin kann nur GPO's für sich selbst aktualisieren, nicht für andere Benutzer. Und für den Computer natürlich.
petere
petere 17.11.2015 um 13:46:33 Uhr
Goto Top
Wenn der Computer ein Problem bei der Auflösung der GPO hat, führe ich normalerweise einmal im Kontext des Computeradmins gpupdate/force aus und damit sind alle Richtlinien für alle Benutzer und den Computer wieder aktuell.

Wie könnte ich das Problem auf LAN-Seite ausschließen? Es scheint Zufall zu sein, wann die GPO greifen und wann nicht. Es kann sein, das bei dreimaliger Anmeldung in 2 von 3 Fällen keine GPO angewendet werden.
emeriks
emeriks 17.11.2015 um 14:32:06 Uhr
Goto Top
Wenn der Computer ein Problem bei der Auflösung der GPO hat, führe ich normalerweise einmal im Kontext des Computeradmins gpupdate/force aus und damit sind alle Richtlinien für alle Benutzer und den Computer wieder aktuell.
Entschuldige bitte, aber das ist Quatsch! Wenn ein Benutzer gpupdate auslöst, dann werden die GPO's des Computers und/oder jene für diesen Benutzer. Nicht aber für andere Benutzer. Auch nicht, wenn diese parallel angemeldet sind.

Immer dann, wenn die Einstellung mal nicht gezogen wird, solltest Du im Benutzerkontext das RSOP anzeigen lassen und auswerten. Ohne vorher nochmal gpupdate auszuführen. Nur dann kannst Du sehen, ob alle GPO's angewendet wurden.

Weiterhin: GPO anwenden ist nicht gleich Einstellung wirkt. Wenn sich Einstellungen gegenseitig überschreiben, dann kann eine angewendete GPO trotzdem unwirksam bleiben.