16
GPO werden nicht übernommen
Schönen guten Tag zusammen,
Ich hab mich vor einigen Tagen mit einem Windows Server auseinander gesetzt. Mein Ziel war es, eine Umgebung aufzubauen in dem eine PIV-Anmeldung angestoßen wird.
Das ganze lief auch soweit auch ganz gut, wenn ich alle User in der Domain damit erwischen möchte. Mir kam die Idee, nur gewisse Abteilungen (Gruppen) aufzufordern sich mit einer Smartcard anzumelden. Da ich mir vorstellen könnte, das eine Firma das ganze an einer Abteilung Testen möchte. Bevor sie eine Smartcard-Anmeldung im ganzen Betrieb ausrollen möchte.
Kurz gesagt, es war keine gute Idee...
Jetzt habe ich folgendes Problem:
Wenn ich eine GPO erstelle und diese mit der Gewünschten OU Abteilung verknüpfe werden die Gruppenrichtlinien leider nicht übernommen.
Ich habe folgendes ausprobiert oder geprüft:
Die Authentifizierende Benutzer darf die GPO lesen.
Habe die Gruppe hinzugefügt die erreichen möchte und habe ihr das Recht: Lesen gegeben.
Ich habe meine gewünschte Gruppe in die Sicherheitsfilterung mit einbezogen.
GPO wurde auch im ganzen Standort angewandt und nicht übernommen.
Loopback auf ersetzten gesetzt.
GPO gelöscht und neu erstellt.
gpresult /r zeigt mir zwar die richtige GPO an, aber keine Einstellungen wurden übernommen.
Leider bin ich sehr neu in diesem Gebiet... daher bin ich schnell am ende mit meinem Latein :D
Ich hoffe jemand kann mir weiter helfen.
LG
Bruce
Ich hab mich vor einigen Tagen mit einem Windows Server auseinander gesetzt. Mein Ziel war es, eine Umgebung aufzubauen in dem eine PIV-Anmeldung angestoßen wird.
Das ganze lief auch soweit auch ganz gut, wenn ich alle User in der Domain damit erwischen möchte. Mir kam die Idee, nur gewisse Abteilungen (Gruppen) aufzufordern sich mit einer Smartcard anzumelden. Da ich mir vorstellen könnte, das eine Firma das ganze an einer Abteilung Testen möchte. Bevor sie eine Smartcard-Anmeldung im ganzen Betrieb ausrollen möchte.
Kurz gesagt, es war keine gute Idee...
Jetzt habe ich folgendes Problem:
Wenn ich eine GPO erstelle und diese mit der Gewünschten OU Abteilung verknüpfe werden die Gruppenrichtlinien leider nicht übernommen.
Ich habe folgendes ausprobiert oder geprüft:
Die Authentifizierende Benutzer darf die GPO lesen.
Habe die Gruppe hinzugefügt die erreichen möchte und habe ihr das Recht: Lesen gegeben.
Ich habe meine gewünschte Gruppe in die Sicherheitsfilterung mit einbezogen.
GPO wurde auch im ganzen Standort angewandt und nicht übernommen.
Loopback auf ersetzten gesetzt.
GPO gelöscht und neu erstellt.
gpresult /r zeigt mir zwar die richtige GPO an, aber keine Einstellungen wurden übernommen.
Leider bin ich sehr neu in diesem Gebiet... daher bin ich schnell am ende mit meinem Latein :D
Ich hoffe jemand kann mir weiter helfen.
LG
Bruce
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1205095567
Url: https://administrator.de/contentid/1205095567
Ausgedruckt am: 22.11.2024 um 07:11 Uhr
16 Kommentare
Neuester Kommentar
In Anbetracht der Brisanz des Themas, solltest du diese Aufgabe den zuständigen Administratoren überlassen.
Tach,
ggf dauert es etwas, bis eine Gruppenrichtlinie durch ist.
Auf den lokalen Plätzen ist das zu beschleunigen als Admin in der CMD:
gpupdate /force
Kreuzberger
ggf dauert es etwas, bis eine Gruppenrichtlinie durch ist.
Auf den lokalen Plätzen ist das zu beschleunigen als Admin in der CMD:
gpupdate /force
Kreuzberger
Guten Tag Kreuzberg,
Vielen Dank für deine Antwort.
Leider wird sie gar nicht umgesetzt.
gpupdate /force wurde angewandt und zusätzliche neu Starts.
Lg
Vielen Dank für deine Antwort.
Leider wird sie gar nicht umgesetzt.
gpupdate /force wurde angewandt und zusätzliche neu Starts.
Lg
Moin,
Also als erstes wäre es wichtig zu wissen, ob die Einstellungen Computer- oder Benutzerbasiert sind.
Dann hängt es davon ab, ob in deiner OU, in der die GPO hängt, die Benutzer oder Computer untergebracht sind.
Und zum Schluss: führe mal ein
Gruß
em-pie
Also als erstes wäre es wichtig zu wissen, ob die Einstellungen Computer- oder Benutzerbasiert sind.
Dann hängt es davon ab, ob in deiner OU, in der die GPO hängt, die Benutzer oder Computer untergebracht sind.
Und zum Schluss: führe mal ein
gpresult /r aus und prüfe, ob deine GPO dort ankommt.Gruß
em-pie
Moin,
Ich habe folgende Gruppen Richtlinien:
Computerkonf.-> Windows-Einstellungen->lokale Richtlinien->Sicherheitsoptionen:
- interaktive Anmeldung: Windows Hello für Business oder Smartcard Anmeldung.
- interaktive Anmeldung: verhalten bei Entfernung der Smartcard
Computerkonf.-> Windows-Einstellungen->richtlinien für öffentliche Schlüssel:
- Zertifikatdienstclient: Auto. Regestrierung
- Zertifikatdienstclient: Zertifikat….
Benutzerkonf.-> Windows-Einstellungen->richtlinien für öffentliche Schlüssel:
- Zertifikatdienstclient: Auto. Regestrierung
- Zertifikatdienstclient: Zertifikat….
Meine Struktur sieht so aus:
- OU-Berlin
- - Büro
- - Computer
- - Buchhaltung
- - Marketing
- - User
- - Test
Wenn ich die GPO mit der Ou-Berlin verknüpfe, dann müsste dies an alle User angewandt werden. Das geschieht leider nicht. Wenn ich aber bei einem Client Rechner gpresult /r ausführe, dann wird mir zwar die GPO angezeigt aber leider nicht durchgesetzt.
Wenn ich die GPO mit meinem Server verknüpfe, dann funktioniert die GPO auch.. aber mein Ziel war es, die GPO an die Test Abteilung anzuwenden.
Die angesprochenen User befinden sich auch im Container Test.. aber leider zieht die GPO nicht mehr, sobald ich sie mit der OU-Berlin verknüpfe…
Lg
Ich habe folgende Gruppen Richtlinien:
Computerkonf.-> Windows-Einstellungen->lokale Richtlinien->Sicherheitsoptionen:
- interaktive Anmeldung: Windows Hello für Business oder Smartcard Anmeldung.
- interaktive Anmeldung: verhalten bei Entfernung der Smartcard
Computerkonf.-> Windows-Einstellungen->richtlinien für öffentliche Schlüssel:
- Zertifikatdienstclient: Auto. Regestrierung
- Zertifikatdienstclient: Zertifikat….
Benutzerkonf.-> Windows-Einstellungen->richtlinien für öffentliche Schlüssel:
- Zertifikatdienstclient: Auto. Regestrierung
- Zertifikatdienstclient: Zertifikat….
Meine Struktur sieht so aus:
- OU-Berlin
- - Büro
- - Computer
- - Buchhaltung
- - Marketing
- - User
- - Test
Wenn ich die GPO mit der Ou-Berlin verknüpfe, dann müsste dies an alle User angewandt werden. Das geschieht leider nicht. Wenn ich aber bei einem Client Rechner gpresult /r ausführe, dann wird mir zwar die GPO angezeigt aber leider nicht durchgesetzt.
Wenn ich die GPO mit meinem Server verknüpfe, dann funktioniert die GPO auch.. aber mein Ziel war es, die GPO an die Test Abteilung anzuwenden.
Die angesprochenen User befinden sich auch im Container Test.. aber leider zieht die GPO nicht mehr, sobald ich sie mit der OU-Berlin verknüpfe…
Lg
Vererbungen sind aber nicht unterbunden worden, oder (blaues ! an der betroffenen OU)
Dein Server als auch der Testuser sind BEIDE in der Gruppe Test?
Kannst du mal einen Screenshot machen und hier einstellen.
ggf. Teile von identifizierbaren Merkmalen unkenntlich machen...
Gruß
em-pie
Dein Server als auch der Testuser sind BEIDE in der Gruppe Test?
Kannst du mal einen Screenshot machen und hier einstellen.
ggf. Teile von identifizierbaren Merkmalen unkenntlich machen...
Gruß
em-pie
Moin,
Vererbung wurde auch schon deaktiviert...hat leider auch nicht geholfen.
Vererbung wurde auch schon deaktiviert...hat leider auch nicht geholfen.
und WO steckt dein Computerobjekt?
unter OU-Berlin/Computer oder unter Computers
und erkläre zusätzlich bitte auch noch einmal diese Aussage genauer:
und das
unter OU-Berlin/Computer oder unter Computers
und erkläre zusätzlich bitte auch noch einmal diese Aussage genauer:
Wenn ich die GPO mit meinem Server verknüpfe, dann funktioniert die GPO auch..
und das
aber mein Ziel war es, die GPO an die Test Abteilung anzuwenden.
funktioniert nur, wenn in der OU OU-Berlin/TEst die Testbenutzer UND Testcomputer enthalten sind, da du innerhalb einer GPO beide Bereiche konfigurierstJa, der Rechner befindet sich in OU-Berlin/Computer
und erkläre zusätzlich bitte auch noch einmal diese Aussage genauer:
Wenn ich die GPO mit meinem Server verknüpfe, dann funktioniert die GPO auch..
Wenn ich die GPO mit test.local verknüpfe, dann werden die Gruppenrichtlinien übernommen.
Aber wenn ich sie jetzt nur bei OU-Berlin verknüpfe wird nichts übernommen. Obwohl die GPO auch hier auf alle treffen sollte. (Smartcard-Anmeldung)
Mein Ziel ist es ja, nur eine Abteilung aufzufordern sich mit einer Smartcard anzumelden.
und das
aber mein Ziel war es, die GPO an die Test Abteilung anzuwenden.
funktioniert nur, wenn in der OUOU-Berlin/TEst// die Testbenutzer UND Testcomputer enthalten sind, da du innerhalb einer GPO beide Bereiche konfigurierstDie User sind in /OU-Berlin/Test enthalten. Nur die Rechner nicht. Das heißt ich muss noch die Computer mit rein Werfen und dann müsste es klappen?
dann ist hier der Fehler 1: In dieser Gruppe sind zwar die PCs, aber nicht die Benutzer
folglich bekommen die Rechner die erforderlichen Einstellungen nicht ab, wenn du die GPO an OU-Berlin/Test heftest
Wenn ich die GPO mit test.local verknüpfe, dann werden die Gruppenrichtlinien übernommen.
Aber wenn ich sie jetzt nur bei OU-Berlin verknüpfe wird nichts übernommen. Obwohl die GPO auch hier auf alle treffen sollte. (Smartcard-Anmeldung)
Das kann nicht stimmen, du hast die Vererbung für die OU OU-Berlin verboten!
Korrekt. Ist doch auch logisch!? DIe Rechner wissen ja nicht von der GPO, hängen die ja in einem anderen Ast.
Allerdings hätte alles funktionieren müssen, wenn die GPO (so wie auf deinem Screen zu sehen) direkt an OU-Berlin hängt.
Und ein gpresult / r liefert die Ergebnisse per Computer UND User.
Poste also einmal das Ergebnis.
Ach und noch etwas: wenn du computerbasierte Änderungen durchführst, müssen, je nach EInstellung, die Computer anschließend rebootet werden. Nicht immer reicht ein gpupdate /force aus.
folglich bekommen die Rechner die erforderlichen Einstellungen nicht ab, wenn du die GPO an OU-Berlin/Test heftest
und erkläre zusätzlich bitte auch noch einmal diese Aussage genauer:
Wenn ich die GPO mit meinem Server verknüpfe, dann funktioniert die GPO auch..
Wenn ich die GPO mit test.local verknüpfe, dann werden die Gruppenrichtlinien übernommen.
Aber wenn ich sie jetzt nur bei OU-Berlin verknüpfe wird nichts übernommen. Obwohl die GPO auch hier auf alle treffen sollte. (Smartcard-Anmeldung)
Mein Ziel ist es ja, nur eine Abteilung aufzufordern sich mit einer Smartcard anzumelden.
und das
Die User sind in /OU-Berlin/Test enthalten. Nur die Rechner nicht. Das heißt ich muss noch die Computer mit rein Werfen und dann müsste es klappen?aber mein Ziel war es, die GPO an die Test Abteilung anzuwenden.
funktioniert nur, wenn in der OU OU-Berlin/TEst die Testbenutzer UND Testcomputer enthalten sind, da du innerhalb einer GPO beide Bereiche konfigurierstAllerdings hätte alles funktionieren müssen, wenn die GPO (so wie auf deinem Screen zu sehen) direkt an OU-Berlin hängt.
Und ein gpresult / r liefert die Ergebnisse per Computer UND User.
Poste also einmal das Ergebnis.
gpresult /r >>%USERNAME%\Desktop\gpresult.txtAch und noch etwas: wenn du computerbasierte Änderungen durchführst, müssen, je nach EInstellung, die Computer anschließend rebootet werden. Nicht immer reicht ein gpupdate /force aus.
Moin,
Gruß,
Dani
Nicht immer reicht ein gpupdate /force aus.
zu Mal dies kein Heilmittel ist: https://www.gruppenrichtlinien.de/artikel/gpupdate-vs-gpupdate-forceGruß,
Dani
Zitat von @Dani:
Nicht immer reicht ein gpupdate /force aus.
zu Mal dies kein Heilmittel ist: https://www.gruppenrichtlinien.de/artikel/gpupdate-vs-gpupdate-forceWieder etwas gelernt. Danke
Vermutlich hat es sich aber schon fest in die Finger eingebrannt -.-
Moin me-pie,
Ich wollte mich erstmal herzlich bedanken, dass du Dir die Zeit nimmst und mir hilfst!
Sry, das ich mich jetzt erst melde. Ich hatte die Tage viel im die Ohren.
Auf jeden Fall hat es mittlerweile geklappt. Der Rechner war nicht mehr richtig in der AD registriert. Somit musste ich ihn neue in die Domäne aufnehmen.
Jetzt hätte ich noch eine Frage und zwar:
Wenn sich jetzt andere User aus der Abteilung -> an den Rechner anmelden, dann werden die GPO angewandt die in der Test Abteilung hinterlegt ist.
Ist es möglich, das User von einer anderen Abteilung sich nicht mit der Smartcard anmelden müsse ?
Lg
Ich wollte mich erstmal herzlich bedanken, dass du Dir die Zeit nimmst und mir hilfst!
Sry, das ich mich jetzt erst melde. Ich hatte die Tage viel im die Ohren.
Auf jeden Fall hat es mittlerweile geklappt. Der Rechner war nicht mehr richtig in der AD registriert. Somit musste ich ihn neue in die Domäne aufnehmen.
Jetzt hätte ich noch eine Frage und zwar:
Wenn sich jetzt andere User aus der Abteilung -> an den Rechner anmelden, dann werden die GPO angewandt die in der Test Abteilung hinterlegt ist.
Ist es möglich, das User von einer anderen Abteilung sich nicht mit der Smartcard anmelden müsse ?
Lg
Moin,
Gruß,
Dani
Ist es möglich, das User von einer anderen Abteilung sich nicht mit der Smartcard anmelden müsse ?
wenn es die obengenannten Richtlinien der Computerkonfiguration auch für die Benutzerkonfiguration geben sollte, ist das möglich. Ansonsten sehe ich schwarz.Gruß,
Dani
Moin,
Gut, die gibts natürlich nur unter Computerkonfiguration.
Vielen Dank für deine Antwort Dani.
Lg
Gut, die gibts natürlich nur unter Computerkonfiguration.
Vielen Dank für deine Antwort Dani.
Lg
Zur logischen Betrachtung deines Vorhabens
Du möchtest ja benutzerbezogen Regeln, ob ein User die Smartcard-Anmeldung nutzen muss, oder nicht, unabhängig des Standortes des Systems.
Die Abfrage kommt ja, BEVOR der User sich anmeldet - also kann die Einstellung ja nicht benutzerbezogen vor der Anmeldung laufen.
Man könnte höchstens schauen, ob es eine Lösung gibt, die die Anmeldedaten weiterreicht, irgendein Dienst die Anmeldemethode prüft und die verpflichtende Methode dann zurück meldet.
Macht aber auch keinen Sinn...
Man könnte aber die schauen, dass man beides zulässt. EIn USer ohne SC kann sich ja in Ermangelung eines Chips nicht anmelden, wird also die Daten per Hand erfassen. Und derjenige welcher, der einen Chip hat, wird ihn nutzen. Und falls er die Karte mal nicht dabei hat, kann er sich dennoch anmelden (sofern er die Zugangsdaten noch kennt ^^)
Du möchtest ja benutzerbezogen Regeln, ob ein User die Smartcard-Anmeldung nutzen muss, oder nicht, unabhängig des Standortes des Systems.
Die Abfrage kommt ja, BEVOR der User sich anmeldet - also kann die Einstellung ja nicht benutzerbezogen vor der Anmeldung laufen.
Man könnte höchstens schauen, ob es eine Lösung gibt, die die Anmeldedaten weiterreicht, irgendein Dienst die Anmeldemethode prüft und die verpflichtende Methode dann zurück meldet.
Macht aber auch keinen Sinn...
Man könnte aber die schauen, dass man beides zulässt. EIn USer ohne SC kann sich ja in Ermangelung eines Chips nicht anmelden, wird also die Daten per Hand erfassen. Und derjenige welcher, der einen Chip hat, wird ihn nutzen. Und falls er die Karte mal nicht dabei hat, kann er sich dennoch anmelden (sofern er die Zugangsdaten noch kennt ^^)
