7
GPO greifen bei manchen Nutzern nicht
Hallo,
seit zwei Wochen, wohl nach dem letzten Patchlauf, beachtet einer unserer Windows 2012R2 Remotedesktopserver Teile der GPOs nicht mehr, diese sind:
- Infobereich ausblenden (aktiv)
- Startmenü > Ausführen ausblenden (aktiv)
- Startmenü > Kommandozeile ausblenden (aktiv)
Weder die GPO noch der Server wurden verändert. Auch sind die Benutzer der GPO zugeordnet. Weder gpupdate /force noch ein Neustart des Systems hat geholfen. Die Domäne arbeitet auf einer Windows 2012 Basis. Das Problem liegt auf der Hand: User können unkontrolliert Befehle auf der Maschine ausführen.
Irgend eine Idee, was ich dagegen tun könnte?
Viele Grüße und Danke!
Peter
seit zwei Wochen, wohl nach dem letzten Patchlauf, beachtet einer unserer Windows 2012R2 Remotedesktopserver Teile der GPOs nicht mehr, diese sind:
- Infobereich ausblenden (aktiv)
- Startmenü > Ausführen ausblenden (aktiv)
- Startmenü > Kommandozeile ausblenden (aktiv)
Weder die GPO noch der Server wurden verändert. Auch sind die Benutzer der GPO zugeordnet. Weder gpupdate /force noch ein Neustart des Systems hat geholfen. Die Domäne arbeitet auf einer Windows 2012 Basis. Das Problem liegt auf der Hand: User können unkontrolliert Befehle auf der Maschine ausführen.
Irgend eine Idee, was ich dagegen tun könnte?
Viele Grüße und Danke!
Peter
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 288111
Url: https://administrator.de/contentid/288111
Ausgedruckt am: 22.11.2024 um 20:11 Uhr
7 Kommentare
Neuester Kommentar
Hi,
Erstmal im Benutzerkontext mit "gpresult /h" und oder "rsop.msc" genau feststellen, ob und was angewendet wird.
E.
Irgend eine Idee, was ich dagegen tun könnte?
cool bleiben ... Erstmal im Benutzerkontext mit "gpresult /h" und oder "rsop.msc" genau feststellen, ob und was angewendet wird.
E.
Hallo,
komisch, die Richtlinien werden korrekt angewandt, der Infobereich wird aber nicht ausgeblendet. Manche User innerhalb derselben OU weden aber korrekt behandelt. Einziger Hinweis in der Report.html ...
Während der letzten Gruppenrichtlinie Aktualisierung am 16.11.2015 20:56:10 Eine schnelle Verbindung wurde entdeckt
Viele Grüße,
Peter
komisch, die Richtlinien werden korrekt angewandt, der Infobereich wird aber nicht ausgeblendet. Manche User innerhalb derselben OU weden aber korrekt behandelt. Einziger Hinweis in der Report.html ...
Während der letzten Gruppenrichtlinie Aktualisierung am 16.11.2015 20:56:10 Eine schnelle Verbindung wurde entdeckt
Viele Grüße,
Peter
Während der letzten Gruppenrichtlinie Aktualisierung am 16.11.2015 20:56:10 Eine schnelle Verbindung wurde entdeckt
Das sollte er auf einem TS bei allen Benutzern melden. Wenn nicht, dann hat sich entweder jemand angemeldet, der zu einer Domäne gehört, deren DC's an einem anderen WAN-Standort stehen, oder Du hast ein Problem im LAN, welches dazu führt, dass das LAN phasenweise lahm wird.Bei einem TS-Konstrukt gehe ich davon aus, dass der TS alle Dienste, welche er benötigt, also auch min. einen DC, an seinem WAN-Standort hat.
Hallo,
ja, ich habe nur einen Standort und ja, es ist auch ein TS. Komisch ist folgendes Verhalten: Logge ich mich über einen betroffenen User ein und führe dort gpupdate /force aus, ist nach der Ab- und Anmeldung die GPO wieder integer. Führe ich, was eigentlich auch reichen sollte, gpupdate /force im Kontext des Administrators aus, hilft das nicht.
ja, ich habe nur einen Standort und ja, es ist auch ein TS. Komisch ist folgendes Verhalten: Logge ich mich über einen betroffenen User ein und führe dort gpupdate /force aus, ist nach der Ab- und Anmeldung die GPO wieder integer. Führe ich, was eigentlich auch reichen sollte, gpupdate /force im Kontext des Administrators aus, hilft das nicht.
Führe ich, was eigentlich auch reichen sollte, gpupdate /force im Kontext des Administrators aus, hilft das nicht.
Für wen reichen und wem helfen?Der Admin kann nur GPO's für sich selbst aktualisieren, nicht für andere Benutzer. Und für den Computer natürlich.
Wenn der Computer ein Problem bei der Auflösung der GPO hat, führe ich normalerweise einmal im Kontext des Computeradmins gpupdate/force aus und damit sind alle Richtlinien für alle Benutzer und den Computer wieder aktuell.
Wie könnte ich das Problem auf LAN-Seite ausschließen? Es scheint Zufall zu sein, wann die GPO greifen und wann nicht. Es kann sein, das bei dreimaliger Anmeldung in 2 von 3 Fällen keine GPO angewendet werden.
Wie könnte ich das Problem auf LAN-Seite ausschließen? Es scheint Zufall zu sein, wann die GPO greifen und wann nicht. Es kann sein, das bei dreimaliger Anmeldung in 2 von 3 Fällen keine GPO angewendet werden.
Wenn der Computer ein Problem bei der Auflösung der GPO hat, führe ich normalerweise einmal im Kontext des Computeradmins gpupdate/force aus und damit sind alle Richtlinien für alle Benutzer und den Computer wieder aktuell.
Entschuldige bitte, aber das ist Quatsch! Wenn ein Benutzer gpupdate auslöst, dann werden die GPO's des Computers und/oder jene für diesen Benutzer. Nicht aber für andere Benutzer. Auch nicht, wenn diese parallel angemeldet sind.Immer dann, wenn die Einstellung mal nicht gezogen wird, solltest Du im Benutzerkontext das RSOP anzeigen lassen und auswerten. Ohne vorher nochmal gpupdate auszuführen. Nur dann kannst Du sehen, ob alle GPO's angewendet wurden.
Weiterhin: GPO anwenden ist nicht gleich Einstellung wirkt. Wenn sich Einstellungen gegenseitig überschreiben, dann kann eine angewendete GPO trotzdem unwirksam bleiben.
1
