jensxx1975
Goto Top

GPO Verknüpfung Fehler bei der Verteilung

Hallo!

Zur Umgebung: Domäne mit Sicherheitsgruppen (DC auf SBS2011, also 2008R2).

Ich verteile Netzlaufwerke und Drucker per GPO auf Basis der Zugehörigkeit der User zu der jeweiligen Sicherheitsgruppen. Funktioniert tadellos.

Passend zu den Netzlaufwerken verteile ich noch Verknüpfung nach o.g. Schema.

Aber: Die Verknüpfungen erhalten ALLE User der Domäne.

Ich habe mir die Konfiguration mehrfach angesehen, finde aber keinen Fehler.

Hat jemand einen Tipp was die Ursache sein könnte?

Danke!


Gruß Jens

Content-ID: 415891

Url: https://administrator.de/forum/gpo-verknuepfung-fehler-bei-der-verteilung-415891.html

Ausgedruckt am: 22.12.2024 um 20:12 Uhr

emeriks
emeriks 11.02.2019 um 08:56:40 Uhr
Goto Top
Hi,
Zitat von @Jensxx1975:
Ich habe mir die Konfiguration mehrfach angesehen, finde aber keinen Fehler.
Welcher Fehler?
Aber: Die Verknüpfungen erhalten ALLE User der Domäne.
Das etwa?
Basis der Zugehörigkeit der User zu der jeweiligen Sicherheitsgruppen
GPO darüber gefiltert oder ITL ?

E.
Jensxx1975
Jensxx1975 11.02.2019 um 09:15:09 Uhr
Goto Top
Hallo!
Fehler ist, das alle User des AD die Verknüpfungen erhalten.

ITL

Gruß
Jens
emeriks
emeriks 11.02.2019 um 09:25:07 Uhr
Goto Top
Hast Du das schonmal mit einem neuen (Test-) Benutzer geprüft oder mit einem, bei welchem Du vorher das Profil gelöscht hast oder doch mindestens dessen Desktop. Oder einfach diese verknüpfung löschen. Wird sie dann beim nächsten GPupdate prompt wieder erstellt?

Verknüpfung in GPO
  1. an erster Stelle Löschen lassen (alle Benutzer, ohne ITL)
  2. an zweiter Stelle neu erstellen lassen (ITL, nur betreffende Gruppe)
(man kann da die Reihenfolge bestimmen)
Jensxx1975
Jensxx1975 11.02.2019 um 10:11:26 Uhr
Goto Top
Was ich bisher versucht habe:
1. Vernküpfung per Hand löschen: Verknüpfung nach gpupdate wieder da
2. Verknüpfung per GPO löschen: Verknüpfung wird gelöscht. Hier habe ich die bestehenden GPO einfach von "Aktualisieren" auf "Löschen" umgestellt. Stelle ich die GPO von "Löschen" wieder zurück auf "Aktualisieren" erscheint die Verknüpfungn wieder (obwohl der User laut ITL die Verknüpfung nicht erhalten sollte).

Testuser oder Profil löschen halte ich auf den ersten Blick für nicht zielführend, da das Problem bei allen User des AD auftritt und sich Probleme bei den GPOs auf eben diese eine GPO beschränken. Die restlichen GPOs (für Drucker, Netzlaufwerke etc.) sind nach dem gleich Schema aufgebaut und laufen. Ich vermute eher einen Denkfehler bei der Konfiguration. Daher anbei mal Bilder.

Gruß JENS
gpo2
gpo3
gpo1
emeriks
emeriks 11.02.2019 um 10:44:02 Uhr
Goto Top
Und, dass der betreffende Benutzer nicht Mitglied einer dieser beiden Gruppen ist - auch nicht verschachtelt, dafür kannst Du Deine Birne verwetten? Im GPRESULT siehst Du, zu welchen Gruppen ein Benutzer gezählt wurde, als die GPO's angewendet wurden.
Jensxx1975
Jensxx1975 11.02.2019 um 11:42:46 Uhr
Goto Top
Nein, User ist nicht Mitglied in einer der beiden Gruppen. Und in den Gruppen sind nur User, keine weiteren Gruppen. Kann ich also ausschließen.

Aber: In der GPO für die "Verknüfungen" sind insgesamt fünf oder sechs verschiedene Verknüpfungen angelegt (mit abweichender ITL). D.h. viele User ziehen die GPO, aber nicht jedem User werden alle in der GPO enthaltenen Verküpfungen zugewiesen (zumindet wenn die ITL richtig greift).

Wende ich bei anderen GPOs (Drucker, Netzlaufwerke) identisch an, ohne Probleme.

Danke!


Gruß JENS
emeriks
emeriks 11.02.2019 um 13:15:50 Uhr
Goto Top
Nein, User ist nicht Mitglied in einer der beiden Gruppen. Und in den Gruppen sind nur User, keine weiteren Gruppen. Kann ich also ausschließen.
Und er war es auch nicht vorher? Ich will darauf hinaus, falls doch, ob der Benutzer sich dann ggf. schon min. einmal neu angemeldet hat.
Jensxx1975
Jensxx1975 11.02.2019 um 13:44:45 Uhr
Goto Top
Nein, der Benutzer war nicht Mitglied der Gruppe. Ich bin auch schon einige Tage an dem Thema dran. Mehrere An/Abmeldungen, Reboots, gpupdates habe ich hinter mir. Wenn in der Konfiguration (siehe Bilder) kein Fehler vorliegt muss ggf. etwas tiefer graben.


Gruß JENS
emeriks
Lösung emeriks 11.02.2019 um 13:56:32 Uhr
Goto Top
Pragmatischer Ansatz als Test
Neue GPO erstellen
dort nur diese Verknüpfung erstellen lassen für die betreffende Gruppe
Jensxx1975
Jensxx1975 12.02.2019 um 14:19:17 Uhr
Goto Top
Ist wieder in der Reihe, der zweite DC hat nicht mehr sauber repliziert. Das habe ich behoben und jetzt geht auch die GPO "Verknüpfung".