skrypz
Goto Top

GPO wird in der Domäne nicht übernommen

Hallo Community,

wenn ich eine GPO erstelle in der z.B. die angehefteten Symbole der Taskleiste entfernt werden sollen wird diese nicht übernommen.

Ich habe eine Domäne keine Arbeitsgruppe
mein Benutzer ist max.musterman. Dieser ist Mitglied in der Globalen Gruppe G_A_Test
G_A_Test ist wiederum Mitglied von G_B_Oberflächenkonfiguration (Globale Gruppe).
Meine GPO ist mit G_B_Oberflächenkonfiguration verknüpft.

Kann mir hier jemand weiterhelfen?

Liebe Grüße

Content-ID: 553680

Url: https://administrator.de/contentid/553680

Ausgedruckt am: 14.11.2024 um 23:11 Uhr

sabines
sabines 02.03.2020 aktualisiert um 11:41:14 Uhr
Goto Top
Moin,

zu erst bitte prüfen, ob die Gruppe diese GPO lesen darf, ggfs. in den Berechtigungen einrichten.
https://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfun ...

Dann prüfen ob die GPO überhaupt verarbeitet wird, gpresult /r o.ä.

Gruss
NordicMike
NordicMike 02.03.2020 um 11:41:14 Uhr
Goto Top
Hi,

Um welche GPO handelt es sich dabei genau?
SlainteMhath
SlainteMhath 02.03.2020 aktualisiert um 11:41:51 Uhr
Goto Top
Moin,

Meine GPO ist mit G_B_Oberflächenkonfiguration verknüpft.
Bedeutet? Hast du das über Item level targeting gemacht oder über einen Security Filter?
Die OU des Users "bekommt" die GPO auch?
Schonmal "gpresult" als der User laufen lassen? Ergebins?

lg,
Slainte
emeriks
emeriks 02.03.2020 um 11:44:34 Uhr
Goto Top
Zitat von @SlainteMhath:
Die OU des Users "bekommt" die GPO auch?
Am Rande: "Users" ist keine OU, nur ein Container.
erikro
erikro 02.03.2020 um 12:18:20 Uhr
Goto Top
Moin,

Dieser ist Mitglied in der Globalen Gruppe G_A_Test
G_A_Test ist wiederum Mitglied von G_B_Oberflächenkonfiguration (Globale Gruppe).
Meine GPO ist mit G_B_Oberflächenkonfiguration verknüpft.

Und in welcher OU ist der User? Auf welche OU wirkt die GPO? Was sagt gpresult?

Zitat von @emeriks:

Zitat von @SlainteMhath:
Die OU des Users "bekommt" die GPO auch?
Am Rande: "Users" ist keine OU, nur ein Container.

Auch am Rande: Das steht: Die OU des Users. Und nicht die OU Users. face-wink

Liebe Grüße

Erik
Skrypz
Skrypz 02.03.2020 um 13:10:22 Uhr
Goto Top
Zitat von @sabines:

Moin,

zu erst bitte prüfen, ob die Gruppe diese GPO lesen darf, ggfs. in den Berechtigungen einrichten.
https://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfun ...

Dann prüfen ob die GPO überhaupt verarbeitet wird, gpresult /r o.ä.

Gruss

Ich hatte tatsächlich den Authentifizierten Benutzer gelöscht. Allerdings wird es auch nach dem hinzufügen nicht besser.
gpresult hab ich ausgeführt und auch hier wird die GPO erst garnicht erwähnt.
Skrypz
Skrypz 02.03.2020 um 13:11:02 Uhr
Goto Top
Zitat von @NordicMike:

Hi,

Um welche GPO handelt es sich dabei genau?

Angeheftete Programme aus Taskleiste entfernen Aktiviert.
Es werden aber allgemein kein GPO´s übernommen
Skrypz
Skrypz 02.03.2020 um 13:16:22 Uhr
Goto Top
Zitat von @SlainteMhath:

Moin,

Meine GPO ist mit G_B_Oberflächenkonfiguration verknüpft.
Bedeutet? Hast du das über Item level targeting gemacht oder über einen Security Filter?
Die OU des Users "bekommt" die GPO auch?
Schonmal "gpresult" als der User laufen lassen? Ergebins?

lg,
Slainte

Ich hab das ganze über die Security Filter gemacht. Dort ist der Authentifizierte Benutzer und eben die oben genannte Globale Gruppe G_B_Oberflächenkonfiguration.
Skrypz
Skrypz 02.03.2020 um 13:19:59 Uhr
Goto Top
Zitat von @erikro:

Moin,

Dieser ist Mitglied in der Globalen Gruppe G_A_Test
G_A_Test ist wiederum Mitglied von G_B_Oberflächenkonfiguration (Globale Gruppe).
Meine GPO ist mit G_B_Oberflächenkonfiguration verknüpft.

Und in welcher OU ist der User? Auf welche OU wirkt die GPO? Was sagt gpresult?

Zitat von @emeriks:

Zitat von @SlainteMhath:
Die OU des Users "bekommt" die GPO auch?
Am Rande: "Users" ist keine OU, nur ein Container.

Auch am Rande: Das steht: Die OU des Users. Und nicht die OU Users. face-wink

Liebe Grüße

Erik

Der User ist in Organisation im Unterordner Benutzer. Allerdings hab ich mit der OU nichts gemacht. Wenn ich die Benutzer mit verschiedenen Berechtigungen haben möchte muss ich dann die OU´s nach Abteilungen erstellen anstatt Gruppen?
emeriks
emeriks 02.03.2020 um 13:56:09 Uhr
Goto Top
Zitat von @erikro:
Auch am Rande: Das steht: Die OU des Users. Und nicht die OU Users. face-wink
Uups! face-smile
emeriks
emeriks 02.03.2020 aktualisiert um 14:00:57 Uhr
Goto Top
Auf welche OU wirkt die GPO?
Ich glaube, @erikro will wissen (ich auch face-wink ), an welcher OU diese GPO verlinkt ist. Und in welcher OU das Benutzerobjekt gespeichert ist. Und wenn das nicht dieselbe OU ist, wir diese OU dann in Bezug sind, ob und wie verschachtelt. Gibt es Vererbungsblockierungen. usw.

Edit:
Was liefert denn
gprseult /h pfad-zur-ausgabe.htlm

In dieser HTLM steht dann u.a., welche GPO überhaupt angewendet wurde und welche nicht.
erikro
erikro 02.03.2020 um 14:37:04 Uhr
Goto Top
Zitat von @Skrypz:
Der User ist in Organisation im Unterordner Benutzer. Allerdings hab ich mit der OU nichts gemacht. Wenn ich die Benutzer mit verschiedenen Berechtigungen haben möchte muss ich dann die OU´s nach Abteilungen erstellen anstatt Gruppen?

Für welche OU hast Du denn die GPO definiert? Und nochmal: Was gibt gpresult aus?
Skrypz
Skrypz 02.03.2020 um 14:46:07 Uhr
Goto Top
GPO ist verknüpft mit der OU Benutzer und Gruppen.
In der GPO ist im Sicherheitsfilter die Globale Gruppe G_B_Oberflächenkonfiguration angeben und nicht die Authentifizierten Benutzer da ich nicht möchte das alle Benutzer die selben GPO´s bekommen.
Diese liegt unter Benutzer und Gruppen -> Globale Gruppen.
Die Abteilungsgruppe G_A_Test liegt unter Benutzer und Gruppen -> Globale Gruppen und ist Mitglied in der G_B_Oberflächenkonfiguration.
Der Benutzer max.musterman liegt unter Benutzer und Gruppen -> Benutzer und ist Mitglied bei G_A_Test

Danke schonmal ;)
gpo
gruppen und benutzer
emeriks
emeriks 02.03.2020 um 14:49:30 Uhr
Goto Top
OK.
Und jetzt noch die Ausgabe von GPRESULT.
Du schaffst es!
Skrypz
Skrypz 02.03.2020 um 14:50:12 Uhr
Goto Top
Das gpresult gibt folgendes aus:

das Gruppenrichtlinienopjekt BN_B_Oberflächenkonfiguration wird abgelehnt da der Zugriff nicht möglich ist. bzw. Leer oder deaktiviert.
Sicherheitsfilter NT-Autorität\Authentifizierte Benutzer
Skrypz
Skrypz 02.03.2020 um 14:50:36 Uhr
Goto Top
Zitat von @emeriks:

OK.
Und jetzt noch die Ausgabe von GPRESULT.
Du schaffst es!

Sorry mein Kopf raucht schon :D
SlainteMhath
SlainteMhath 02.03.2020 um 14:53:45 Uhr
Goto Top
Du musst mindestens die "Domänen-Computer" in den Sicherheitsfilter mit aufnehmen, da sonst die GPO nicht gelesen werden kann!
Skrypz
Skrypz 02.03.2020 um 14:55:58 Uhr
Goto Top
Wir die GPO denn dann nicht an alle Domänen-Computer verteilt?
emeriks
emeriks 02.03.2020 aktualisiert um 15:07:06 Uhr
Goto Top
Unter "Delegierung" die "Authentifizierte Benutzer" mit Lese-Recht hinzufügen. Aber das sollte spätestens ab Win2012R2/Win8.1 automatisch erfolgen.
erikro
erikro 02.03.2020 um 15:11:08 Uhr
Goto Top
Moin,

da Du offenbar am Anfang der Beschäftigung mit GPOs stehst, würde ich Dir raten, das Ganze ein wenig einfacher ohne Sicherheitsfilter zu gestalten.

Du erstellst eine OU "Mit_Oberflaechenkonfig" (oder wie auch immer Du sie nennen willst). In die kommen die User, für die die GPO gelten soll. Dann erstellst Du Deine GPO neu für diese OU (die alte tritt mal in die Tonne) und machst Deine Einstellungen. Dann sollten sie auch für die User, die in der OU sind, gelten. Das Gleiche gilt auch für Computer, die spezielle GPOs brauchen. Einfach in eine eigene OU und dann dort die Einstellungen vornehmen.

hth

Erik
SlainteMhath
SlainteMhath 03.03.2020 um 08:21:32 Uhr
Goto Top
Wir die GPO denn dann nicht an alle Domänen-Computer verteilt?
Wenn sie keine Rechte darauf haben, dann nicht.