GPO greifen nicht immer

ratzekahl1
Goto Top
Hallo zusammen,
ich habe ein etwas kurioses Problem:
Ein Laptop ist genau wieder user Mitgtlied in der Domäne. Er bekommt wie alle anderen auch via GPO ua ein Laufwerk zugewiesen.
Das Laufwerk wird angezeigt, aber er hat nur auf 1 der Ordner Zugriff.
Der Witz ist, dass er das Problem nur hat, wenn er direkt im Büro ist.Wählt er sich von Zuhause ein, gibt es keine Probleme.
Ok, so dachte ich, dann ist es ein Netzwerkproblem. Anderen User an dem Laptop angemeldet, gleiche OU. Funktioniert. Kabel und Dose gewechselt, Problem bleibt.
Dachte erst irgendwo ein IP-Adressen-Konflikt, aber das kann nicht, weil der andere sich an dem Gerät anmelden kann und das Laufwerk sieht. Internet ist überings wie gehabt da.
Dann war die Idee, das Profil hat ne Macke. Kann aber auch nicht, da es von Zuhause via VPN geht. Laptop aus der Domäne geworfen und wieder aufgenommen. User neu angelegt. Problem bleibt.
Der andere Mitarbeiter im selben Büro, mit dem selben Laptop-Typ hat keine Probleme. Dann das Problemgerät noch an die Dose angeschlossen, wo es keine Probleme gibt.
Das Problem bleibt. Any idea?

mfG
ratzekahl

Content-Key: 2236927069

Url: https://administrator.de/contentid/2236927069

Ausgedruckt am: 07.07.2022 um 09:07 Uhr

Mitglied: Doskias
Doskias 21.03.2022 aktualisiert um 09:45:24 Uhr
Goto Top
Moin Ratekahl,

ich hoffe, du gehst deine Probleme zielgerichteter an als dein Posting hier face-smile
Ein Laptop ist genau wieder user Mitgtlied in der Domäne. Er bekommt wie alle anderen auch via GPO ua ein Laufwerk zugewiesen.
Das Laufwerk wird angezeigt, aber er hat nur auf 1 der Ordner Zugriff.
Ich habe das jetzt mehrfach gelesen, bin mir aber grade immer noch nicht sicher, wo das Problem liegt. Das was ich verstehe ist, dass er per GPO ein Laufwerk zugewiesen bekommt, was funktioniert, er im Laufwerk aber nur einen Ordner sieht. Nun weiß ich nicht genau, wieso du der Ansicht bist, dass eine GPO dafür verantwortlich ist. Die GPO wird ja ausgeführt, sonst würde er ja das Laufwerk nicht bekommen. Wenn im per GPO gemappten Laufwerk Ordner fehlen (vermutlich ABE aktiviert), dann scheinen ihm Rechte auf die Ordner zu fehlen, was nicht bei der GPO liegt.

Zitat von @ratzekahl1:
Der Witz ist, dass er das Problem nur hat, wenn er direkt im Büro ist. Wählt er sich von Zuhause ein, gibt es keine Probleme.
Wie wählt er sich ein? Klingt für mich fast so, als würde hier nach der GPO noch ein Skript laufen, was von Zuhause aus nicht geladen werden kann, vermutlich weil die VPN-Verbindung noch nicht aufgebaut ist und das Skript dann nicht startet. Im OFfice funktioniert das Skript und überschreibt die GPO.

Ok, so dachte ich, dann ist es ein Netzwerkproblem. Anderen User an dem Laptop angemeldet, gleiche OU. Funktioniert. Kabel und Dose gewechselt, Problem bleibt.
Wieso sollte es am Netzwerk liegen, wenn eine GPO nicht korrekt ausgeführt wird?

Dachte erst irgendwo ein IP-Adressen-Konflikt, aber das kann nicht, weil der andere sich an dem Gerät anmelden kann und das Laufwerk sieht.
Ich denke er sieht das Laufwerk auch, aber nur einen Ordner im Laufwerk.

Internet ist überings wie gehabt da.
Was hat das Internet damit zu tun, wenn dein Rechner (deiner Vermutung nach) nicht korrekt mit dem DC kommuniziert?

Dann war die Idee, das Profil hat ne Macke. Kann aber auch nicht, da es von Zuhause via VPN geht. Laptop aus der Domäne geworfen und wieder aufgenommen. User neu angelegt. Problem bleibt.
Klar bleibt das Problem, wenn du einfach drauf los arbeitest ohne richtig zu analysieren. Komme ich gleich zu.

Der andere Mitarbeiter im selben Büro, mit dem selben Laptop-Typ hat keine Probleme. Dann das Problemgerät noch an die Dose angeschlossen, wo es keine Probleme gibt.
Das Problem bleibt. Any idea?
Was ist, wenn der Problemuser sich an dem Laptop des anderen Kollegen anmeldet?

Und jetzt allgemein: Es gibt zwei Grundlegende Dinge, wenn eine GPO nicht funktioniert:
1. GPRESULT zeigt dir an ob die GPO abgerufen wurde
2. Windows Protokolle zeigen dir ob bei der Verarbeitung (Wenn sie per GPRESULT) irgendwo ein Fehler aufgetreten ist.
Solange du nicht beides geprüft hast, kannst du nicht wissen ob es wirklich an der GPO liegt und wir raten hier nur rum.

Also Schritt bitte beide Schritte durchführen und dann das Ergebnis posten.

Gruß
Doskias
Mitglied: ratzekahl1
ratzekahl1 21.03.2022 um 10:25:37 Uhr
Goto Top
Hi Doskias,
Puffert Windows nicht die Laufwerke, damit bei zeitweiligem Netzwerkverlust, die Daten nich abrufbar sind?
Ich meine das wären 90 Tage.

Das heißt, der Gedankengang war, dass es nur so aussieht als wenn die GPO greift, der User aber einfach mit den gepufferten Daten arbeitet.

Das Problem ist, dass der User sich anmeldet und hat sein Laufwerk X. Auf X sind 127 Ordner drauf. Der User sieht 3 und kann nur auf 3 zugreifen. Die Rechte sind der Gruppe zugewiesen. Auch da habe ich den User rausgeworfen und wieder aufgenommen. Warum sollte Müller die Rechte haben und Schmidt nicht?
Die Einwahl von Zuahse erfolgt via VPN Client.

Keinerlei Scripte.
Meldet er sich am anderen Gerät an, bleibt das Problem. Ich bin heute nicht vor Ort, sobald ich mehr weiß melde ich mich.
Vielen Dank erstmal für die Anregungen
ratzekahl
Mitglied: Doskias
Doskias 21.03.2022 um 11:16:36 Uhr
Goto Top
Zitat von @ratzekahl1:
Hi Doskias,
Puffert Windows nicht die Laufwerke, damit bei zeitweiligem Netzwerkverlust, die Daten nich abrufbar sind?
Ich meine das wären 90 Tage.
Du kannst Daten offline verfügbar machen, aber das würdest du dann ja sehen, ob du auf Offline oder Online daten zugreifst.

Das heißt, der Gedankengang war, dass es nur so aussieht als wenn die GPO greift, der User aber einfach mit den gepufferten Daten arbeitet.
Das würde dann ja bedeuten, dass der User nicht im Netzwerk ist. Dann würdest du ja noch weitere Fehler bekommen, wie Beispielsweise temporäres Profil, etc.

Das Problem ist, dass der User sich anmeldet und hat sein Laufwerk X. Auf X sind 127 Ordner drauf. Der User sieht 3 und kann nur auf 3 zugreifen.
und genau das w#re die ABE, die die 124 Ordner ausblendet, wenn der Anwender keine Berechtigung für diese 124 Ordner hat.

Die Rechte sind der Gruppe zugewiesen. Auch da habe ich den User rausgeworfen und wieder aufgenommen.
Was soll das bringen? Die verfällst hier in Aktionismus, der nicht zielführend ist. Wenn du den User aus der Gruppe nimmst, dann wird er vermutlich keinen Ordner mehr sehen (wenn die ABE dafür verantwortlich ist.) Das Entfernen und Aufnehmen in die Gruppe ändert nichts, weil der AD stets mit der SID arbeitet. Wenn die identisch ist, ändert sich nichts. Ich gehe davon aus, dass du dich entsprechend zum Testen auch oft genug an- und abgemeldet hast.

Warum sollte Müller die Rechte haben und Schmidt nicht?
Weil Müller in anderen Gruppen ist, wodurch er Zugriff auf die anderen 124 Ordner erhält, was bei Schmidt nicht der Fall ist.

Meldet er sich am anderen Gerät an, bleibt das Problem. Ich bin heute nicht vor Ort, sobald ich mehr weiß melde ich mich.
Dann hast du damit ja schonmal ausgeschlossen, dass es am Gerät liegt.

Gruß
Doskias
Mitglied: ratzekahl1
ratzekahl1 21.03.2022 um 12:40:24 Uhr
Goto Top
Hm,
Müller und Schmidt sind eigendlich nur DOmänen Benutzer, und 365 User, Aber beide mit denselben Berechtigungen. Wenn doch also abe das Problem ist, müssten doch noch mehr user keinen Zugriff haben.

Und zum Thema Offline verfügbar. Das meinte ich nicht. Wenn die Domäne nicht verfügbar ist, kann ich mich doch trotzdem an der Domäne anmelden. Wenn der Kontakt wieder da ist, wird synchronisiert.
Das Profil ist lokal, wegen Internet langsam. Roaming Profiles bei 14 Mitarbeitern und 5 MBIT/s Upload.
Mitglied: Hubert.N
Hubert.N 21.03.2022 um 13:28:18 Uhr
Goto Top
Zitat von @ratzekahl1:
Und zum Thema Offline verfügbar. Das meinte ich nicht. Wenn die Domäne nicht verfügbar ist, kann ich mich doch trotzdem an der Domäne anmelden.
das meinte @Doskias sicher auch nicht...

Deaktiviere doch mal zumindest zum Testen am Client die Offlinedateien und schaue dann weiter, wie es sich dann in der Praxis verhält.

Gruß
Mitglied: Doskias
Doskias 21.03.2022 um 13:56:55 Uhr
Goto Top
Und hallo Nochmal
Zitat von @ratzekahl1:
Müller und Schmidt sind eigendlich nur DOmänen Benutzer, und 365 User, Aber beide mit denselben Berechtigungen. Wenn doch also abe das Problem ist, müssten doch noch mehr user keinen Zugriff haben.
Erstens: Eigentlich face-wink
Zweitens: Sie sind im AD in Exakt den gleichen Gruppen? Dann sollten sie auch die gleichen Order sehen.
Drittens: ABE verursacht keine Probleme. ABE blendet nur die Ordner aus, auf die kein zugriff besteht. ABE ist keine Sicherheitsfunktion.
Viertens: theoretisch können sie im AD in den gleichen Gruppen sein und über Freigabeoptionen anders behandelt werden. Prüfe einfach mal an einem Ordner auf dem Fileserver was die effektive Berechtigung sagt.

Und zum Thema Offline verfügbar. Das meinte ich nicht. Wenn die Domäne nicht verfügbar ist, kann ich mich doch trotzdem an der Domäne anmelden.
Nein: Wenn eine Domäne nicht verfügbar ist, kannst du dich nicht an der Domäne anmelden, weil sie ja nicht da ist. Du kannst dich mit den Login-Informationen der Domäne die im Cache sind anmelden, aber nicht an der Domäne. Grade bei solchen Problemen ist es wichtig auf die richtige Ausdrucksweise zu achten.

Wenn der Kontakt wieder da ist, wird synchronisiert.
Richtig, aber GPOs werden dann nicht sofort und nur bedingt angewandt.
Mitglied: Drohnald
Drohnald 21.03.2022 um 16:16:48 Uhr
Goto Top
Hi,

Drittens: ABE verursacht keine Probleme. ABE blendet nur die Ordner aus, auf die kein zugriff besteht. ABE ist keine Sicherheitsfunktion.

Wir hatten vor kurzem einen Kunden bei dem genau ein User das Problem hatte, dass sein persönlicher Ordner immer wieder verschwunden war, scheinbar ohne Grund und nicht zu provozieren. Allerdings war das kein Dauerzustand sondern schwankte sehr stark.
Das AD dort war über lange Zeit gewachsen, ebenso auch GPOs etc.

Testweise wurde ABE deaktiviert und siehe da: Seitdem keine Probleme mehr.
Leider wollte der Kunde keine weitere Analyse, die Ursache ist also bisher unbekannt.
Wenn ihr aber 127 Ordner habt und User üblicherweise nur 10 davon sehen sollten ist das nichts was man "mal schnell" testen kann.

Gruß
Drohnald
Mitglied: ratzekahl1
ratzekahl1 22.03.2022 um 08:51:44 Uhr
Goto Top
Guten Morgen,
erst einmal vielen Dank für deine Mühe.
Was mir noch eingefallen ist zum Thema Gruppen und Berechtigungen:
Wenn der User sich von Zuhause via VPN einwählt, sieht er alle Ordner und hat auch Zugriff...

Die Gruppen sind ja die selben. Nur das Netzwerk ist etwas anders, also übern Umweg.
Deshalb die Überlegung, dass es am Netzwerk liegt. Aber das ist ja auch ausgeschlossen, da andere User normal arbeiten können.
Eine Idee ist noch, dass das Profil im EImer ist.
Mitglied: Doskias
Doskias 22.03.2022 um 12:25:35 Uhr
Goto Top
Man kann GPOs auch via Zielgruppenadressierung vom Netzwerk abhängig machen. Das kann dann bei unterschiedlichen IP-Kreisen, die du ja zwischen HomeOffice und Büro hast, zu unterschiedlichen Anwendungen kommen. Aber das ist alles nur kann und sollte. Das einzige was uns weiterbringt ist ein zielgerichteter Blick auf die Protokolle und zwar von dem Rechner bzw. der Anmeldung bei der deiner Meinung nach etwas nicht stimmt. Im System-Protokoll solltest du Warnungen oder Fehler der Quelle GroupPolicy finden, wenn bei der Verarbeitung einer GPO ein Fehler auftritt, selbst wenn so via GPRESULT als ausgeführt angezeigt wird.

Gruß
Doskias
Mitglied: ratzekahl1
ratzekahl1 24.03.2022 um 08:20:29 Uhr
Goto Top
Hallo Doskias,
aktuell scheint es gelöst zu sein. Was habe ich getan? Mich einfach malmit einem User aus derselben Gruppe angemeldet. Gpresult vorher brachte keinerlei Fehler. Updates nocheinmal alle eingespielt.
Danach nochmal als der Problemuser angemeldet und siehe da die Ordner sind alle da und im Zugriff.
Das ganze noch 7 oder 8 x wiederholt. Inklusiv Neustart usw.

Keine Probleme.
EDV Klassiker. E nde d er V ernunft.
Mitglied: Doskias
Lösung Doskias 24.03.2022 um 08:31:49 Uhr
Goto Top
Moin
Zitat von @ratzekahl1:
Hallo Doskias,
aktuell scheint es gelöst zu sein. Was habe ich getan? Mich einfach malmit einem User aus derselben Gruppe angemeldet. Gpresult vorher brachte keinerlei Fehler.
Wenn GPResult keine Fehler hat, kann dennoch ein Fehler in den Protokollen vorliegen. Beispiel:

Du hast eine GPO, die ein Skript vom Netzwerk starten soll. Der User hat aber kein Zugriff auf das Netzlaufwerk, da ihm die Berechtigungen fehlen. Ergebnis:
GPResult wird dir sagen, dass die GPO erfolgreich geladen wurde. Die Windows Logs werden dir sagen, dass das Skript nicht gestartet wurde, weil der Zugriff nicht möglich war.

EDV Klassiker. E nde d er V ernunft.
Zählt nicht für Admin, außer bei Druckern face-smile

Gruß
Doskias