GPO werden nicht übernommen
Schönen guten Tag zusammen,
Ich hab mich vor einigen Tagen mit einem Windows Server auseinander gesetzt. Mein Ziel war es, eine Umgebung aufzubauen in dem eine PIV-Anmeldung angestoßen wird.
Das ganze lief auch soweit auch ganz gut, wenn ich alle User in der Domain damit erwischen möchte. Mir kam die Idee, nur gewisse Abteilungen (Gruppen) aufzufordern sich mit einer Smartcard anzumelden. Da ich mir vorstellen könnte, das eine Firma das ganze an einer Abteilung Testen möchte. Bevor sie eine Smartcard-Anmeldung im ganzen Betrieb ausrollen möchte.
Kurz gesagt, es war keine gute Idee...
Jetzt habe ich folgendes Problem:
Wenn ich eine GPO erstelle und diese mit der Gewünschten OU Abteilung verknüpfe werden die Gruppenrichtlinien leider nicht übernommen.
Ich habe folgendes ausprobiert oder geprüft:
Die Authentifizierende Benutzer darf die GPO lesen.
Habe die Gruppe hinzugefügt die erreichen möchte und habe ihr das Recht: Lesen gegeben.
Ich habe meine gewünschte Gruppe in die Sicherheitsfilterung mit einbezogen.
GPO wurde auch im ganzen Standort angewandt und nicht übernommen.
Loopback auf ersetzten gesetzt.
GPO gelöscht und neu erstellt.
gpresult /r zeigt mir zwar die richtige GPO an, aber keine Einstellungen wurden übernommen.
Leider bin ich sehr neu in diesem Gebiet... daher bin ich schnell am ende mit meinem Latein :D
Ich hoffe jemand kann mir weiter helfen.
LG
Bruce
Ich hab mich vor einigen Tagen mit einem Windows Server auseinander gesetzt. Mein Ziel war es, eine Umgebung aufzubauen in dem eine PIV-Anmeldung angestoßen wird.
Das ganze lief auch soweit auch ganz gut, wenn ich alle User in der Domain damit erwischen möchte. Mir kam die Idee, nur gewisse Abteilungen (Gruppen) aufzufordern sich mit einer Smartcard anzumelden. Da ich mir vorstellen könnte, das eine Firma das ganze an einer Abteilung Testen möchte. Bevor sie eine Smartcard-Anmeldung im ganzen Betrieb ausrollen möchte.
Kurz gesagt, es war keine gute Idee...
Jetzt habe ich folgendes Problem:
Wenn ich eine GPO erstelle und diese mit der Gewünschten OU Abteilung verknüpfe werden die Gruppenrichtlinien leider nicht übernommen.
Ich habe folgendes ausprobiert oder geprüft:
Die Authentifizierende Benutzer darf die GPO lesen.
Habe die Gruppe hinzugefügt die erreichen möchte und habe ihr das Recht: Lesen gegeben.
Ich habe meine gewünschte Gruppe in die Sicherheitsfilterung mit einbezogen.
GPO wurde auch im ganzen Standort angewandt und nicht übernommen.
Loopback auf ersetzten gesetzt.
GPO gelöscht und neu erstellt.
gpresult /r zeigt mir zwar die richtige GPO an, aber keine Einstellungen wurden übernommen.
Leider bin ich sehr neu in diesem Gebiet... daher bin ich schnell am ende mit meinem Latein :D
Ich hoffe jemand kann mir weiter helfen.
LG
Bruce
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1205095567
Url: https://administrator.de/forum/gpo-werden-nicht-uebernommen-1205095567.html
Ausgedruckt am: 23.12.2024 um 00:12 Uhr
16 Kommentare
Neuester Kommentar
Moin,
Also als erstes wäre es wichtig zu wissen, ob die Einstellungen Computer- oder Benutzerbasiert sind.
Dann hängt es davon ab, ob in deiner OU, in der die GPO hängt, die Benutzer oder Computer untergebracht sind.
Und zum Schluss: führe mal ein
Gruß
em-pie
Also als erstes wäre es wichtig zu wissen, ob die Einstellungen Computer- oder Benutzerbasiert sind.
Dann hängt es davon ab, ob in deiner OU, in der die GPO hängt, die Benutzer oder Computer untergebracht sind.
Und zum Schluss: führe mal ein
gpresult /r
aus und prüfe, ob deine GPO dort ankommt.Gruß
em-pie
und WO steckt dein Computerobjekt?
unter OU-Berlin/Computer oder unter Computers
und erkläre zusätzlich bitte auch noch einmal diese Aussage genauer:
und das
unter OU-Berlin/Computer oder unter Computers
und erkläre zusätzlich bitte auch noch einmal diese Aussage genauer:
Wenn ich die GPO mit meinem Server verknüpfe, dann funktioniert die GPO auch..
und das
aber mein Ziel war es, die GPO an die Test Abteilung anzuwenden.
funktioniert nur, wenn in der OU OU-Berlin/TEst die Testbenutzer UND Testcomputer enthalten sind, da du innerhalb einer GPO beide Bereiche konfigurierst
dann ist hier der Fehler 1: In dieser Gruppe sind zwar die PCs, aber nicht die Benutzer
folglich bekommen die Rechner die erforderlichen Einstellungen nicht ab, wenn du die GPO an OU-Berlin/Test heftest
Wenn ich die GPO mit test.local verknüpfe, dann werden die Gruppenrichtlinien übernommen.
Aber wenn ich sie jetzt nur bei OU-Berlin verknüpfe wird nichts übernommen. Obwohl die GPO auch hier auf alle treffen sollte. (Smartcard-Anmeldung)
Das kann nicht stimmen, du hast die Vererbung für die OU OU-Berlin verboten!
Korrekt. Ist doch auch logisch!? DIe Rechner wissen ja nicht von der GPO, hängen die ja in einem anderen Ast.
Allerdings hätte alles funktionieren müssen, wenn die GPO (so wie auf deinem Screen zu sehen) direkt an OU-Berlin hängt.
Und ein gpresult / r liefert die Ergebnisse per Computer UND User.
Poste also einmal das Ergebnis.
Ach und noch etwas: wenn du computerbasierte Änderungen durchführst, müssen, je nach EInstellung, die Computer anschließend rebootet werden. Nicht immer reicht ein gpupdate /force aus.
folglich bekommen die Rechner die erforderlichen Einstellungen nicht ab, wenn du die GPO an OU-Berlin/Test heftest
und erkläre zusätzlich bitte auch noch einmal diese Aussage genauer:
Wenn ich die GPO mit meinem Server verknüpfe, dann funktioniert die GPO auch..
Wenn ich die GPO mit test.local verknüpfe, dann werden die Gruppenrichtlinien übernommen.
Aber wenn ich sie jetzt nur bei OU-Berlin verknüpfe wird nichts übernommen. Obwohl die GPO auch hier auf alle treffen sollte. (Smartcard-Anmeldung)
Mein Ziel ist es ja, nur eine Abteilung aufzufordern sich mit einer Smartcard anzumelden.
und das
Die User sind in /OU-Berlin/Test enthalten. Nur die Rechner nicht. Das heißt ich muss noch die Computer mit rein Werfen und dann müsste es klappen?aber mein Ziel war es, die GPO an die Test Abteilung anzuwenden.
funktioniert nur, wenn in der OU OU-Berlin/TEst die Testbenutzer UND Testcomputer enthalten sind, da du innerhalb einer GPO beide Bereiche konfigurierstAllerdings hätte alles funktionieren müssen, wenn die GPO (so wie auf deinem Screen zu sehen) direkt an OU-Berlin hängt.
Und ein gpresult / r liefert die Ergebnisse per Computer UND User.
Poste also einmal das Ergebnis.
gpresult /r >>%USERNAME%\Desktop\gpresult.txt
Ach und noch etwas: wenn du computerbasierte Änderungen durchführst, müssen, je nach EInstellung, die Computer anschließend rebootet werden. Nicht immer reicht ein gpupdate /force aus.
Moin,
Gruß,
Dani
Nicht immer reicht ein gpupdate /force aus.
zu Mal dies kein Heilmittel ist: https://www.gruppenrichtlinien.de/artikel/gpupdate-vs-gpupdate-forceGruß,
Dani
Zitat von @Dani:
Nicht immer reicht ein gpupdate /force aus.
zu Mal dies kein Heilmittel ist: https://www.gruppenrichtlinien.de/artikel/gpupdate-vs-gpupdate-forceWieder etwas gelernt. Danke
Vermutlich hat es sich aber schon fest in die Finger eingebrannt -.-
Zur logischen Betrachtung deines Vorhabens
Du möchtest ja benutzerbezogen Regeln, ob ein User die Smartcard-Anmeldung nutzen muss, oder nicht, unabhängig des Standortes des Systems.
Die Abfrage kommt ja, BEVOR der User sich anmeldet - also kann die Einstellung ja nicht benutzerbezogen vor der Anmeldung laufen.
Man könnte höchstens schauen, ob es eine Lösung gibt, die die Anmeldedaten weiterreicht, irgendein Dienst die Anmeldemethode prüft und die verpflichtende Methode dann zurück meldet.
Macht aber auch keinen Sinn...
Man könnte aber die schauen, dass man beides zulässt. EIn USer ohne SC kann sich ja in Ermangelung eines Chips nicht anmelden, wird also die Daten per Hand erfassen. Und derjenige welcher, der einen Chip hat, wird ihn nutzen. Und falls er die Karte mal nicht dabei hat, kann er sich dennoch anmelden (sofern er die Zugangsdaten noch kennt ^^)
Du möchtest ja benutzerbezogen Regeln, ob ein User die Smartcard-Anmeldung nutzen muss, oder nicht, unabhängig des Standortes des Systems.
Die Abfrage kommt ja, BEVOR der User sich anmeldet - also kann die Einstellung ja nicht benutzerbezogen vor der Anmeldung laufen.
Man könnte höchstens schauen, ob es eine Lösung gibt, die die Anmeldedaten weiterreicht, irgendein Dienst die Anmeldemethode prüft und die verpflichtende Methode dann zurück meldet.
Macht aber auch keinen Sinn...
Man könnte aber die schauen, dass man beides zulässt. EIn USer ohne SC kann sich ja in Ermangelung eines Chips nicht anmelden, wird also die Daten per Hand erfassen. Und derjenige welcher, der einen Chip hat, wird ihn nutzen. Und falls er die Karte mal nicht dabei hat, kann er sich dennoch anmelden (sofern er die Zugangsdaten noch kennt ^^)