brucewilless
Goto Top

GPO werden nicht übernommen

Schönen guten Tag zusammen,

Ich hab mich vor einigen Tagen mit einem Windows Server auseinander gesetzt. Mein Ziel war es, eine Umgebung aufzubauen in dem eine PIV-Anmeldung angestoßen wird.
Das ganze lief auch soweit auch ganz gut, wenn ich alle User in der Domain damit erwischen möchte. Mir kam die Idee, nur gewisse Abteilungen (Gruppen) aufzufordern sich mit einer Smartcard anzumelden. Da ich mir vorstellen könnte, das eine Firma das ganze an einer Abteilung Testen möchte. Bevor sie eine Smartcard-Anmeldung im ganzen Betrieb ausrollen möchte.
Kurz gesagt, es war keine gute Idee...

Jetzt habe ich folgendes Problem:

Wenn ich eine GPO erstelle und diese mit der Gewünschten OU Abteilung verknüpfe werden die Gruppenrichtlinien leider nicht übernommen.
Ich habe folgendes ausprobiert oder geprüft:

Die Authentifizierende Benutzer darf die GPO lesen.
Habe die Gruppe hinzugefügt die erreichen möchte und habe ihr das Recht: Lesen gegeben.
Ich habe meine gewünschte Gruppe in die Sicherheitsfilterung mit einbezogen.
GPO wurde auch im ganzen Standort angewandt und nicht übernommen.
Loopback auf ersetzten gesetzt.
GPO gelöscht und neu erstellt.
gpresult /r zeigt mir zwar die richtige GPO an, aber keine Einstellungen wurden übernommen.


Leider bin ich sehr neu in diesem Gebiet... daher bin ich schnell am ende mit meinem Latein :D
Ich hoffe jemand kann mir weiter helfen.

LG
Bruce

Content-ID: 1205095567

Url: https://administrator.de/forum/gpo-werden-nicht-uebernommen-1205095567.html

Ausgedruckt am: 23.12.2024 um 00:12 Uhr

148656
148656 28.08.2021 um 14:31:15 Uhr
Goto Top
In Anbetracht der Brisanz des Themas, solltest du diese Aufgabe den zuständigen Administratoren überlassen.
unbenannt
kreuzberger
kreuzberger 28.08.2021 um 14:51:58 Uhr
Goto Top
Tach,

ggf dauert es etwas, bis eine Gruppenrichtlinie durch ist.

Auf den lokalen Plätzen ist das zu beschleunigen als Admin in der CMD:

gpupdate /force


Kreuzberger
BruceWilless
BruceWilless 28.08.2021 aktualisiert um 16:30:13 Uhr
Goto Top
Guten Tag Kreuzberg,

Vielen Dank für deine Antwort.


Leider wird sie gar nicht umgesetzt.
gpupdate /force wurde angewandt und zusätzliche neu Starts.

Lg
em-pie
em-pie 28.08.2021 um 22:56:02 Uhr
Goto Top
Moin,

Also als erstes wäre es wichtig zu wissen, ob die Einstellungen Computer- oder Benutzerbasiert sind.
Dann hängt es davon ab, ob in deiner OU, in der die GPO hängt, die Benutzer oder Computer untergebracht sind.

Und zum Schluss: führe mal ein gpresult /r aus und prüfe, ob deine GPO dort ankommt.

Gruß
em-pie
BruceWilless
BruceWilless 29.08.2021 um 12:11:07 Uhr
Goto Top
Moin,

Ich habe folgende Gruppen Richtlinien:

Computerkonf.-> Windows-Einstellungen->lokale Richtlinien->Sicherheitsoptionen:

- interaktive Anmeldung: Windows Hello für Business oder Smartcard Anmeldung.

- interaktive Anmeldung: verhalten bei Entfernung der Smartcard


Computerkonf.-> Windows-Einstellungen->richtlinien für öffentliche Schlüssel:

- Zertifikatdienstclient: Auto. Regestrierung

- Zertifikatdienstclient: Zertifikat….

Benutzerkonf.-> Windows-Einstellungen->richtlinien für öffentliche Schlüssel:

- Zertifikatdienstclient: Auto. Regestrierung

- Zertifikatdienstclient: Zertifikat….

Meine Struktur sieht so aus:

- OU-Berlin
- - Büro
- - Computer
- - Buchhaltung
- - Marketing
- - User
- - Test

Wenn ich die GPO mit der Ou-Berlin verknüpfe, dann müsste dies an alle User angewandt werden. Das geschieht leider nicht. Wenn ich aber bei einem Client Rechner gpresult /r ausführe, dann wird mir zwar die GPO angezeigt aber leider nicht durchgesetzt.
Wenn ich die GPO mit meinem Server verknüpfe, dann funktioniert die GPO auch.. aber mein Ziel war es, die GPO an die Test Abteilung anzuwenden.

Die angesprochenen User befinden sich auch im Container Test.. aber leider zieht die GPO nicht mehr, sobald ich sie mit der OU-Berlin verknüpfe…

Lg
em-pie
em-pie 29.08.2021 um 12:15:49 Uhr
Goto Top
Vererbungen sind aber nicht unterbunden worden, oder (blaues ! an der betroffenen OU)
Dein Server als auch der Testuser sind BEIDE in der Gruppe Test?

Kannst du mal einen Screenshot machen und hier einstellen.
ggf. Teile von identifizierbaren Merkmalen unkenntlich machen...

Gruß
em-pie
BruceWilless
BruceWilless 29.08.2021 um 13:26:10 Uhr
Goto Top
Moin,

Vererbung wurde auch schon deaktiviert...hat leider auch nicht geholfen.
screenshot 2021-08-29 130650
screenshot 2021-08-29 131230
screenshot 2021-08-29 131158
screenshot 2021-08-29 130503
em-pie
em-pie 29.08.2021 um 13:32:04 Uhr
Goto Top
und WO steckt dein Computerobjekt?
unter OU-Berlin/Computer oder unter Computers

und erkläre zusätzlich bitte auch noch einmal diese Aussage genauer:
Wenn ich die GPO mit meinem Server verknüpfe, dann funktioniert die GPO auch..

und das
aber mein Ziel war es, die GPO an die Test Abteilung anzuwenden.
funktioniert nur, wenn in der OU OU-Berlin/TEst die Testbenutzer UND Testcomputer enthalten sind, da du innerhalb einer GPO beide Bereiche konfigurierst
BruceWilless
BruceWilless 29.08.2021 um 13:47:29 Uhr
Goto Top
Zitat von @em-pie:

und WO steckt dein Computerobjekt?
unter OU-Berlin/Computer oder unter Computers

Ja, der Rechner befindet sich in OU-Berlin/Computer


und erkläre zusätzlich bitte auch noch einmal diese Aussage genauer:
Wenn ich die GPO mit meinem Server verknüpfe, dann funktioniert die GPO auch..

Wenn ich die GPO mit test.local verknüpfe, dann werden die Gruppenrichtlinien übernommen.
Aber wenn ich sie jetzt nur bei OU-Berlin verknüpfe wird nichts übernommen. Obwohl die GPO auch hier auf alle treffen sollte. (Smartcard-Anmeldung)
Mein Ziel ist es ja, nur eine Abteilung aufzufordern sich mit einer Smartcard anzumelden.


und das
aber mein Ziel war es, die GPO an die Test Abteilung anzuwenden.
funktioniert nur, wenn in der OU
OU-Berlin/TEst// die Testbenutzer UND Testcomputer enthalten sind, da du innerhalb einer GPO beide Bereiche konfigurierst

Die User sind in /OU-Berlin/Test enthalten. Nur die Rechner nicht. Das heißt ich muss noch die Computer mit rein Werfen und dann müsste es klappen?
em-pie
Lösung em-pie 29.08.2021, aktualisiert am 31.08.2021 um 21:02:27 Uhr
Goto Top
Zitat von @BruceWilless:

Zitat von @em-pie:

und WO steckt dein Computerobjekt?
unter OU-Berlin/Computer oder unter Computers

Ja, der Rechner befindet sich in OU-Berlin/Computer
dann ist hier der Fehler 1: In dieser Gruppe sind zwar die PCs, aber nicht die Benutzer
folglich bekommen die Rechner die erforderlichen Einstellungen nicht ab, wenn du die GPO an OU-Berlin/Test heftest

und erkläre zusätzlich bitte auch noch einmal diese Aussage genauer:
Wenn ich die GPO mit meinem Server verknüpfe, dann funktioniert die GPO auch..

Wenn ich die GPO mit test.local verknüpfe, dann werden die Gruppenrichtlinien übernommen.
Aber wenn ich sie jetzt nur bei OU-Berlin verknüpfe wird nichts übernommen. Obwohl die GPO auch hier auf alle treffen sollte. (Smartcard-Anmeldung)
Das kann nicht stimmen, du hast die Vererbung für die OU OU-Berlin verboten!
Mein Ziel ist es ja, nur eine Abteilung aufzufordern sich mit einer Smartcard anzumelden.

und das
aber mein Ziel war es, die GPO an die Test Abteilung anzuwenden.
funktioniert nur, wenn in der OU OU-Berlin/TEst die Testbenutzer UND Testcomputer enthalten sind, da du innerhalb einer GPO beide Bereiche konfigurierst
Die User sind in /OU-Berlin/Test enthalten. Nur die Rechner nicht. Das heißt ich muss noch die Computer mit rein Werfen und dann müsste es klappen?
Korrekt. Ist doch auch logisch!? DIe Rechner wissen ja nicht von der GPO, hängen die ja in einem anderen Ast.
Allerdings hätte alles funktionieren müssen, wenn die GPO (so wie auf deinem Screen zu sehen) direkt an OU-Berlin hängt.

Und ein gpresult / r liefert die Ergebnisse per Computer UND User.
Poste also einmal das Ergebnis.
 gpresult /r >>%USERNAME%\Desktop\gpresult.txt


Ach und noch etwas: wenn du computerbasierte Änderungen durchführst, müssen, je nach EInstellung, die Computer anschließend rebootet werden. Nicht immer reicht ein gpupdate /force aus.
Dani
Dani 31.08.2021 um 11:14:16 Uhr
Goto Top
Moin,
Nicht immer reicht ein gpupdate /force aus.
zu Mal dies kein Heilmittel ist: https://www.gruppenrichtlinien.de/artikel/gpupdate-vs-gpupdate-force


Gruß,
Dani
em-pie
em-pie 31.08.2021 um 11:20:32 Uhr
Goto Top
Zitat von @Dani:
Nicht immer reicht ein gpupdate /force aus.
zu Mal dies kein Heilmittel ist: https://www.gruppenrichtlinien.de/artikel/gpupdate-vs-gpupdate-force

Wieder etwas gelernt. Danke face-smile
Vermutlich hat es sich aber schon fest in die Finger eingebrannt -.-
BruceWilless
BruceWilless 31.08.2021 um 18:48:17 Uhr
Goto Top
Moin me-pie,

Ich wollte mich erstmal herzlich bedanken, dass du Dir die Zeit nimmst und mir hilfst!

Sry, das ich mich jetzt erst melde. Ich hatte die Tage viel im die Ohren.

Auf jeden Fall hat es mittlerweile geklappt. Der Rechner war nicht mehr richtig in der AD registriert. Somit musste ich ihn neue in die Domäne aufnehmen.

Jetzt hätte ich noch eine Frage und zwar:

Wenn sich jetzt andere User aus der Abteilung -> an den Rechner anmelden, dann werden die GPO angewandt die in der Test Abteilung hinterlegt ist.
Ist es möglich, das User von einer anderen Abteilung sich nicht mit der Smartcard anmelden müsse ?

Lg
Dani
Lösung Dani 31.08.2021 um 19:15:47 Uhr
Goto Top
Moin,
Ist es möglich, das User von einer anderen Abteilung sich nicht mit der Smartcard anmelden müsse ?
wenn es die obengenannten Richtlinien der Computerkonfiguration auch für die Benutzerkonfiguration geben sollte, ist das möglich. Ansonsten sehe ich schwarz.


Gruß,
Dani
BruceWilless
BruceWilless 31.08.2021 um 19:20:23 Uhr
Goto Top
Moin,

Gut, die gibts natürlich nur unter Computerkonfiguration.


Vielen Dank für deine Antwort Dani.

Lg
em-pie
em-pie 31.08.2021 um 21:09:48 Uhr
Goto Top
Zur logischen Betrachtung deines Vorhabens

Du möchtest ja benutzerbezogen Regeln, ob ein User die Smartcard-Anmeldung nutzen muss, oder nicht, unabhängig des Standortes des Systems.
Die Abfrage kommt ja, BEVOR der User sich anmeldet - also kann die Einstellung ja nicht benutzerbezogen vor der Anmeldung laufen.

Man könnte höchstens schauen, ob es eine Lösung gibt, die die Anmeldedaten weiterreicht, irgendein Dienst die Anmeldemethode prüft und die verpflichtende Methode dann zurück meldet.
Macht aber auch keinen Sinn...


Man könnte aber die schauen, dass man beides zulässt. EIn USer ohne SC kann sich ja in Ermangelung eines Chips nicht anmelden, wird also die Daten per Hand erfassen. Und derjenige welcher, der einen Chip hat, wird ihn nutzen. Und falls er die Karte mal nicht dabei hat, kann er sich dennoch anmelden (sofern er die Zugangsdaten noch kennt ^^)