honeybee
22.08.2022
view1946
view8
0
Goto Top

GPO greift einfach nicht :-(

gelöstFrageMicrosoftWindows Server
Hallo,

ich habe ein ziemlich nerviges Problem und weiß nicht mehr, woran es sonst liegen könnte... face-sad

Ich habe ein neues GPO mit Sicherheitsfilterung und ohne WMI-Filterung erstellt, welches einfach nicht greift. Folgende Punkte habe ich probiert:

  • neues, leeres GPO ohne Einstellungen und mit angepasster Sicherheitsfilterung erstellen -> klappt nicht
  • neues, leeres GPO ohne Einstellungen und mit Default-Sicherheitsfilterung (= Authentifizierte Benutzer) erstellen -> klappt nicht
  • GPO ganz oben unterhalb der Domäne verknüpfen bzw. in der Priorität ganz oben setzen-> klappt nicht
  • Gruppentyp der Gruppe (für die Sicherheitsfilterung) von universal zu global ändern -> klappt nicht
  • komplett neue Gruppe (für die Sicherheitsfilterung) namens "Test" mit Default-Einstellungen anlegen -> klappt nicht
  • "gpupdate" auf zwei verschiedenen Clients mehrmals und dann "gpresult" ausführen -> GPO wird nicht angezeigt, weder als angewendet noch als abgelehnt und das Ergebnis von "gpupdate" war ohne Fehler
  • "Gruppenrichtlinienergebnisse ausführen" -> GPO wird nicht angezeigt, weder als angewendet noch als abgelehnt
  • Netzwerkeinstellungen, insbesondere DNS, prüfen -> keine Auffälligkeiten

screenshot

Auf dem Server befinden sich ca. 100 GPOs und bei denen hat es funktioniert. Warum es bei diesem einen nicht klappt, weiß ich nicht. Kann es sein, dass es eine begrenzte Anzahl von GPOs gibt, die man nicht überschreiten "darf", damit sie funktionieren? Ob der Gruppentyp "global" oder "universal" ist, ist eigentlich auch egal, oder?
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 3722583438

Url: https://administrator.de/contentid/3722583438

Ausgedruckt am: 21.11.2024 um 21:11 Uhr

8 Kommentare
Neuester Kommentar
Goto Top
Looser27
Looser27 22.08.2022 um 16:10:45 Uhr
Goto Top
Moin,

hast Du unter Delegierung den "AuthenticatedUser" lesend eingetragen?

Gruß

Looser
Doskias
Doskias 22.08.2022 um 16:22:57 Uhr
Goto Top
Moin,

Zitat von @honeybee:
ich habe ein ziemlich nerviges Problem und weiß nicht mehr, woran es sonst liegen könnte... face-sad
Wir auch nicht, wenn du uns nicht alle wichtigen Infos schreibst. Was fehlt ist. Versuchst du Computer- oder Benutzereinstellungen zu verteilen?

Auf dem Server befinden sich ca. 100 GPOs und bei denen hat es funktioniert. Warum es bei diesem einen nicht klappt, weiß ich nicht. Kann es sein, dass es eine begrenzte Anzahl von GPOs gibt, die man nicht überschreiten "darf", damit sie funktionieren? Ob der Gruppentyp "global" oder "universal" ist, ist eigentlich auch egal, oder?
Ist die Gruppe heute erst angelegt worden? Wenn ja, dann einen Tag warten. Es gibt soweit ich weiß kein Limit für die Anzahl an GPOs, wobei bei 100 GPOs ggf. schon mit Verzögerung bei der Ausführung zu rechnen ist.

Gruß
Doskias
psannz
psannz 22.08.2022 um 17:33:10 Uhr
Goto Top
Sers,

was sagt denn die Gruppenrichtlinienmodellierung?

Grüße,
Philip
honeybee
honeybee 22.08.2022 aktualisiert um 17:47:43 Uhr
Goto Top
hast Du unter Delegierung den "AuthenticatedUser" lesend eingetragen?
Ja.

Versuchst du Computer- oder Benutzereinstellungen zu verteilen?
Benutzereinstellungen

Ist die Gruppe heute erst angelegt worden?
Ja.

Wenn ja, dann einen Tag warten. Es gibt soweit ich weiß kein Limit für die Anzahl an GPOs, wobei bei 100 GPOs ggf. schon mit Verzögerung bei der Ausführung zu rechnen ist.
Gibt es dazu eine Quelle?

was sagt denn die Gruppenrichtlinienmodellierung?
Das GPO wird laut Gruppenrichtlinienmodellierung angewandt, aber nicht laut Gruppenrichtlinienergebnisse.
surreal1
surreal1 22.08.2022 aktualisiert um 17:52:15 Uhr
Goto Top
Erstellt eine Test OU, schieb eine Test VM rein und setz die OU in den Gruppenrichtlinien als "nicht von übergeordnet übernehmen". Pack den Client und die einzelne GPO rein und schau ob die GPO übernommen wird.
Doskias
Doskias 23.08.2022 um 08:47:07 Uhr
Goto Top
Zitat von @honeybee:

Wenn ja, dann einen Tag warten. Es gibt soweit ich weiß kein Limit für die Anzahl an GPOs, wobei bei 100 GPOs ggf. schon mit Verzögerung bei der Ausführung zu rechnen ist.
Gibt es dazu eine Quelle?

Eine Quelle wozu? Das es bei 100 GPOs ggf. zu Verzögerungen kommen kann, oder dass du einen Tag warten musst/sollst?

Bitte die Frage genau definieren: Die Antwort:

Warum 100 GPOs zu Verzögerungen führen können, sollte von der Logik ehr klar sein. Dafür gibt es genug Quellen, falls es dir nicht selbst gelingt, den Grund zu erkennen face-wink

Zu dem auf den nächsten Tag warten bei neuen Gruppen: Ja dazu gibt es Quellen. Zum einen ist es eine Erfahrung, die ich seit ungefähr 15 Jahren mache. Ich weiß nicht mehr genau wieso das so ist, aber ich habe das vor einigen Jahren (etwa 7 oder 8) einmal durch Zufall gefunden, warum dem so ist. Ich hab mir das wieso leider nicht gemerkt, nur das es so ist. Ich werde versuchen das noch einmal wiederzufinden und dann ggf. nachreichen.

Ansonsten:
Funktioniert es denn heute? face-wink

Gruß
Doskias
honeybee
Lösung honeybee 23.08.2022 um 23:13:46 Uhr
Goto Top
Ja. face-smile Ich habe rausgefunden, dass, selbst wenn ein GPO nur Benutzereinstellungen beinhaltet, man trotzdem die Gruppe „Domänencomputer“ in der Sicherheitsfilterung hinzufügen muss, weil die Clients Leserechte brauchen. Das hat gefehlt. Jetzt geht alles wieder.
Doskias
Doskias 24.08.2022 um 10:06:08 Uhr
Goto Top
Moin

Zitat von @Looser27:
hast Du unter Delegierung den "AuthenticatedUser" lesend eingetragen?

hattest du AuthenticatedUser denn in der Delegierung eingetragen, nachdem du ihn in dem Sicherheitsfilter gelöscht hast?

Gruß
Doskias
gelöstFrageMicrosoftWindows Server
Mehr von honeybeehoneybeePowershell: Daten aus CSV auslesenhoneybee - 4 KommentarehoneybeeM2-SSD sicher entsorgenhoneybee - 26 KommentarehoneybeeVollständige Anzeige der Powershell-Ausgabehoneybee - 6 KommentarehoneybeeOUs in einen Array für die Suche packenhoneybee - 2 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 23 KommentarecseLaufwege erfassen in großer Hallecse - 20 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareYan2021Nachricht an mehrere PCs im Netzwerk sendenYan2021 - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 14 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 Kommentare