honeybee
Aug 22, 2022
view1551
view8
0
Goto Top

GPO greift einfach nicht :-(

GermansolvedQuestionWindows ServerMicrosoft
Hallo,

ich habe ein ziemlich nerviges Problem und weiß nicht mehr, woran es sonst liegen könnte... face-sad

Ich habe ein neues GPO mit Sicherheitsfilterung und ohne WMI-Filterung erstellt, welches einfach nicht greift. Folgende Punkte habe ich probiert:

  • neues, leeres GPO ohne Einstellungen und mit angepasster Sicherheitsfilterung erstellen -> klappt nicht
  • neues, leeres GPO ohne Einstellungen und mit Default-Sicherheitsfilterung (= Authentifizierte Benutzer) erstellen -> klappt nicht
  • GPO ganz oben unterhalb der Domäne verknüpfen bzw. in der Priorität ganz oben setzen-> klappt nicht
  • Gruppentyp der Gruppe (für die Sicherheitsfilterung) von universal zu global ändern -> klappt nicht
  • komplett neue Gruppe (für die Sicherheitsfilterung) namens "Test" mit Default-Einstellungen anlegen -> klappt nicht
  • "gpupdate" auf zwei verschiedenen Clients mehrmals und dann "gpresult" ausführen -> GPO wird nicht angezeigt, weder als angewendet noch als abgelehnt und das Ergebnis von "gpupdate" war ohne Fehler
  • "Gruppenrichtlinienergebnisse ausführen" -> GPO wird nicht angezeigt, weder als angewendet noch als abgelehnt
  • Netzwerkeinstellungen, insbesondere DNS, prüfen -> keine Auffälligkeiten

screenshot

Auf dem Server befinden sich ca. 100 GPOs und bei denen hat es funktioniert. Warum es bei diesem einen nicht klappt, weiß ich nicht. Kann es sein, dass es eine begrenzte Anzahl von GPOs gibt, die man nicht überschreiten "darf", damit sie funktionieren? Ob der Gruppentyp "global" oder "universal" ist, ist eigentlich auch egal, oder?
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 3722583438

Url: https://administrator.de/contentid/3722583438

Printed on: April 25, 2024 at 11:04 o'clock

8 Comments
Latest comment
Goto Top
Member: Looser27
Looser27 Aug 22, 2022 at 14:10:45 (UTC)
Goto Top
Moin,

hast Du unter Delegierung den "AuthenticatedUser" lesend eingetragen?

Gruß

Looser
Member: Doskias
Doskias Aug 22, 2022 at 14:22:57 (UTC)
Goto Top
Moin,

Zitat von @honeybee:
ich habe ein ziemlich nerviges Problem und weiß nicht mehr, woran es sonst liegen könnte... face-sad
Wir auch nicht, wenn du uns nicht alle wichtigen Infos schreibst. Was fehlt ist. Versuchst du Computer- oder Benutzereinstellungen zu verteilen?

Auf dem Server befinden sich ca. 100 GPOs und bei denen hat es funktioniert. Warum es bei diesem einen nicht klappt, weiß ich nicht. Kann es sein, dass es eine begrenzte Anzahl von GPOs gibt, die man nicht überschreiten "darf", damit sie funktionieren? Ob der Gruppentyp "global" oder "universal" ist, ist eigentlich auch egal, oder?
Ist die Gruppe heute erst angelegt worden? Wenn ja, dann einen Tag warten. Es gibt soweit ich weiß kein Limit für die Anzahl an GPOs, wobei bei 100 GPOs ggf. schon mit Verzögerung bei der Ausführung zu rechnen ist.

Gruß
Doskias
Member: psannz
psannz Aug 22, 2022 at 15:33:10 (UTC)
Goto Top
Sers,

was sagt denn die Gruppenrichtlinienmodellierung?

Grüße,
Philip
Member: honeybee
honeybee Aug 22, 2022 updated at 15:47:43 (UTC)
Goto Top
hast Du unter Delegierung den "AuthenticatedUser" lesend eingetragen?
Ja.

Versuchst du Computer- oder Benutzereinstellungen zu verteilen?
Benutzereinstellungen

Ist die Gruppe heute erst angelegt worden?
Ja.

Wenn ja, dann einen Tag warten. Es gibt soweit ich weiß kein Limit für die Anzahl an GPOs, wobei bei 100 GPOs ggf. schon mit Verzögerung bei der Ausführung zu rechnen ist.
Gibt es dazu eine Quelle?

was sagt denn die Gruppenrichtlinienmodellierung?
Das GPO wird laut Gruppenrichtlinienmodellierung angewandt, aber nicht laut Gruppenrichtlinienergebnisse.
Member: surreal1
surreal1 Aug 22, 2022 updated at 15:52:15 (UTC)
Goto Top
Erstellt eine Test OU, schieb eine Test VM rein und setz die OU in den Gruppenrichtlinien als "nicht von übergeordnet übernehmen". Pack den Client und die einzelne GPO rein und schau ob die GPO übernommen wird.
Member: Doskias
Doskias Aug 23, 2022 at 06:47:07 (UTC)
Goto Top
Zitat von @honeybee:

Wenn ja, dann einen Tag warten. Es gibt soweit ich weiß kein Limit für die Anzahl an GPOs, wobei bei 100 GPOs ggf. schon mit Verzögerung bei der Ausführung zu rechnen ist.
Gibt es dazu eine Quelle?

Eine Quelle wozu? Das es bei 100 GPOs ggf. zu Verzögerungen kommen kann, oder dass du einen Tag warten musst/sollst?

Bitte die Frage genau definieren: Die Antwort:

Warum 100 GPOs zu Verzögerungen führen können, sollte von der Logik ehr klar sein. Dafür gibt es genug Quellen, falls es dir nicht selbst gelingt, den Grund zu erkennen face-wink

Zu dem auf den nächsten Tag warten bei neuen Gruppen: Ja dazu gibt es Quellen. Zum einen ist es eine Erfahrung, die ich seit ungefähr 15 Jahren mache. Ich weiß nicht mehr genau wieso das so ist, aber ich habe das vor einigen Jahren (etwa 7 oder 8) einmal durch Zufall gefunden, warum dem so ist. Ich hab mir das wieso leider nicht gemerkt, nur das es so ist. Ich werde versuchen das noch einmal wiederzufinden und dann ggf. nachreichen.

Ansonsten:
Funktioniert es denn heute? face-wink

Gruß
Doskias
Member: honeybee
Solution honeybee Aug 23, 2022 at 21:13:46 (UTC)
Goto Top
Ja. face-smile Ich habe rausgefunden, dass, selbst wenn ein GPO nur Benutzereinstellungen beinhaltet, man trotzdem die Gruppe „Domänencomputer“ in der Sicherheitsfilterung hinzufügen muss, weil die Clients Leserechte brauchen. Das hat gefehlt. Jetzt geht alles wieder.
Member: Doskias
Doskias Aug 24, 2022 at 08:06:08 (UTC)
Goto Top
Moin

Zitat von @Looser27:
hast Du unter Delegierung den "AuthenticatedUser" lesend eingetragen?

hattest du AuthenticatedUser denn in der Delegierung eingetragen, nachdem du ihn in dem Sicherheitsfilter gelöscht hast?

Gruß
Doskias
GermansolvedQuestionWindows ServerMicrosoft
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 5 CommentsjstrickerWireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 Comments