15
GPO wird nicht angewendet (mal wieder so ein Thema)
Hallo,
Ich bin neu hier und hoffe jemand kann mich auf den rechten und erleuchteten Pfad bringen... Ich verzweilfle nämlich gerade etwas
.
Ich möchte eine Datei von NETLOGON auf dem DC (wir haben nur einen) auf unsere Clientrechner kopieren. Dazu habe ich ein GPO erstellt, die Pfade eingetragen (von... nach) und mit der OU verlinkt in der die Rechner liegen. Ich habe Authentifizierte Benutzer in die Sicherheitsfilterliste eingetragen. Unter Delegierung => Erweitert ist der Haken auch gesetzt, dass sie das GPO anwenden dürfen.
Die Datei wird nicht kopiert bzw. das GPO nicht angewendet. Ich habe auf den Clients mal getestet, ob die Pfade (z.B. \\unser-dc\netlogon\ ) gelesen werden können. Ich kann mit Userberechtigung die Datei so kopieren, wie ich es in dem GPO angegeben habe. Ich habe die Clients bzw. einen Testrechner auch schön neu gestartet um das GPO zu testen, es will nichts ankommen. Achso, ich habe das GPO im Computerabschnitt konfiguriert. Sobald ich aber etwas im Benutzerabschnitt konfiguriere wird das GPO angewendet (das Kopieren funz damit aber nicht). Ich habe auch "Domänencomputer" zusätzlich in die Sicherheitsfilterliste eingetragen, das hilft auch nicht...
Bin jetzt nicht der Crack, aber eigentlich hätte ich erwartet, dass eine simple Aufgabe ist
. Hat jemand von euch eine Idee wo der Haken ist?
Ich hoffe ich habe mich halbwegs verständlich ausgedrückt. Wenn Infos fehlen, werden sie gerne nachgeliefert.
Danke schon mal
Ich bin neu hier und hoffe jemand kann mich auf den rechten und erleuchteten Pfad bringen... Ich verzweilfle nämlich gerade etwas
.Ich möchte eine Datei von NETLOGON auf dem DC (wir haben nur einen) auf unsere Clientrechner kopieren. Dazu habe ich ein GPO erstellt, die Pfade eingetragen (von... nach) und mit der OU verlinkt in der die Rechner liegen. Ich habe Authentifizierte Benutzer in die Sicherheitsfilterliste eingetragen. Unter Delegierung => Erweitert ist der Haken auch gesetzt, dass sie das GPO anwenden dürfen.
Die Datei wird nicht kopiert bzw. das GPO nicht angewendet. Ich habe auf den Clients mal getestet, ob die Pfade (z.B. \\unser-dc\netlogon\ ) gelesen werden können. Ich kann mit Userberechtigung die Datei so kopieren, wie ich es in dem GPO angegeben habe. Ich habe die Clients bzw. einen Testrechner auch schön neu gestartet um das GPO zu testen, es will nichts ankommen. Achso, ich habe das GPO im Computerabschnitt konfiguriert. Sobald ich aber etwas im Benutzerabschnitt konfiguriere wird das GPO angewendet (das Kopieren funz damit aber nicht). Ich habe auch "Domänencomputer" zusätzlich in die Sicherheitsfilterliste eingetragen, das hilft auch nicht...
Bin jetzt nicht der Crack, aber eigentlich hätte ich erwartet, dass eine simple Aufgabe ist
. Hat jemand von euch eine Idee wo der Haken ist?Ich hoffe ich habe mich halbwegs verständlich ausgedrückt. Wenn Infos fehlen, werden sie gerne nachgeliefert
.Danke schon mal
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2045821919
Url: https://administrator.de/forum/gpo-wird-nicht-angewendet-mal-wieder-so-ein-thema-2045821919.html
Ausgedruckt am: 15.04.2025 um 19:04 Uhr
15 Kommentare
Neuester Kommentar
Moin,
wenn eine Gruppenrichtlinie nicht ausgeführt werden kann, steht dazu immer etwas in den Windowsprotokollen und mit GPResult kannst du erstmal prüfen ob sie überhaupt angewendet wurde. Also:
1. GPResult prüfen ob sie angewendet oder abgelehnt wurde.
2. Wenn sie angewendet wurde die Windows Logs durchschauen, welchen Fehler es gibt.
Die Frage ist aber auch, wieso du von dort etwas kopieren willst. Dort sollten Anmeldeskripte liegen und die brauchst du von dort nicht kopieren sondern nur starten.
Gruß
Doskias
wenn eine Gruppenrichtlinie nicht ausgeführt werden kann, steht dazu immer etwas in den Windowsprotokollen und mit GPResult kannst du erstmal prüfen ob sie überhaupt angewendet wurde. Also:
1. GPResult prüfen ob sie angewendet oder abgelehnt wurde.
2. Wenn sie angewendet wurde die Windows Logs durchschauen, welchen Fehler es gibt.
Die Frage ist aber auch, wieso du von dort etwas kopieren willst. Dort sollten Anmeldeskripte liegen und die brauchst du von dort nicht kopieren sondern nur starten.
Gruß
Doskias
Hi,
E.
Zitat von @Doskias:
Die Frage ist aber auch, wieso du von dort etwas kopieren willst. Dort sollten Anmeldeskripte liegen und die brauchst du von dort nicht kopieren sondern nur starten.
Das kann man doch machen, wie man will. Falsch ist es jedenfalls nicht per se.Die Frage ist aber auch, wieso du von dort etwas kopieren willst. Dort sollten Anmeldeskripte liegen und die brauchst du von dort nicht kopieren sondern nur starten.
E.
Zitat von @Oxymoron68:
Achso, ich habe das GPO im Computerabschnitt konfiguriert.
Ich kann mit Userberechtigung die Datei so kopieren, wie ich es in dem GPO angegeben habe.
Das ist irrelevant, wenn das unter "Computerabschnitt " definiert wurde. Dann muss das Computer-Konto diese Dateien in der Quelle lesen können. Das sollte bei NETLOGON aber gegegen sein.Achso, ich habe das GPO im Computerabschnitt konfiguriert.
Ich kann mit Userberechtigung die Datei so kopieren, wie ich es in dem GPO angegeben habe.
Sobald ich aber etwas im Benutzerabschnitt konfiguriere wird das GPO angewendet (das Kopieren funz damit aber nicht)
Erstes ist "verdächtig" und zweites logisch, weil "Computerabschnitt".Verdächtig weil:
... und mit der OU verlinkt in der die Rechner liegen.
Sind denn Computer und Benutzer im selben OU-Stamm?Wenn nein: Wie kann die GPO dann für Benutzer angewendete werden, wenn diese doch an der OU für Computer verlinkt ist?
Hallo, Danke erst mal für die Antworten.
@Doskias: ich kopiere eine Schriftart, die auf jeden Client soll. Mit Gpresult wird die Richtlinie nicht angezeigt. Im Windows Log ist auch nichts zu sehen.
@emeriks: das mit dem Benutzerabschnitt war nur mal zu testen. Nein, Rechner und Benutzer sind nicht im gleichen OU Stamm. Bzw. sieht es so aus Domänen Root und einmal meine Rechner OU und einmal meine User OU. Wenn ich das GPO die mit der Root verlinke funktioniert auch nichts...
@Doskias: ich kopiere eine Schriftart, die auf jeden Client soll. Mit Gpresult wird die Richtlinie nicht angezeigt. Im Windows Log ist auch nichts zu sehen.
@emeriks: das mit dem Benutzerabschnitt war nur mal zu testen. Nein, Rechner und Benutzer sind nicht im gleichen OU Stamm. Bzw. sieht es so aus Domänen Root und einmal meine Rechner OU und einmal meine User OU. Wenn ich das GPO die mit der Root verlinke funktioniert auch nichts...
Aber denk doch mal nach:
Wenn die Benutzer nicht in der OU mit den Computern sind, die GPO aber nur mit der OU mit den Computern verlinkt ist, wie soll diese GPO dann jemals für Benutzer angewendet werden können?
Hast Du da etwa Loopback eingeschaltet?
(Im Ernst: Wenn Du nicht weißt, was das ist, dann ignoriere meine Frage. Es würde Dich jetzt bloß ablenken.)
Ich tippe darauf, dass Du die GPO einfach falsch verlinkt hast. Dass sie deshalb für die betreffenden Computer gar nicht wirken kann.
Wenn die Benutzer nicht in der OU mit den Computern sind, die GPO aber nur mit der OU mit den Computern verlinkt ist, wie soll diese GPO dann jemals für Benutzer angewendet werden können?
Sobald ich aber etwas im Benutzerabschnitt konfiguriere wird das GPO angewendet (
Wie soll das dann gehen?Hast Du da etwa Loopback eingeschaltet?
(Im Ernst: Wenn Du nicht weißt, was das ist, dann ignoriere meine Frage. Es würde Dich jetzt bloß ablenken.)
Ich tippe darauf, dass Du die GPO einfach falsch verlinkt hast. Dass sie deshalb für die betreffenden Computer gar nicht wirken kann.
... sie soll ja nicht für Benutzer angewendet werden; das war ja nur ein Test. Da wurde sie eben gezogen (wahrscheinlich weil das GPO mit der Domänen Root verlinkt war... brauchen tu ich nur die Computerkonfig. Loopback ist deaktiviert.
Das GPO muss doch mit der OU verlinkt sein, in der auch die rechner liegen, wenn ich die computerkonfiguration nutze richtig? Das ist nämlich so... (wenn ich Benutzerkonfigurationen machen wollte, würde ich das in einem separaten GPO machen, also trennen... klingt für mich zumindest erst mal logisch )
In Worten sieht mein Werk so aus: OU = GPO Test (die direkt im Domänen Root liegt), GPO verlinkt direkt mit OU = GPO Test. Sicherheitsfilterung => authentifizierte Benutzer hinzugefügt, das Recht die GPO anzuwenden ist gesetzt.
Das GPO muss doch mit der OU verlinkt sein, in der auch die rechner liegen, wenn ich die computerkonfiguration nutze richtig? Das ist nämlich so... (wenn ich Benutzerkonfigurationen machen wollte, würde ich das in einem separaten GPO machen, also trennen... klingt für mich zumindest erst mal logisch
)In Worten sieht mein Werk so aus: OU = GPO Test (die direkt im Domänen Root liegt), GPO verlinkt direkt mit OU = GPO Test. Sicherheitsfilterung => authentifizierte Benutzer hinzugefügt, das Recht die GPO anzuwenden ist gesetzt.
N'Abend.
Warum spielt man an der Sicherheitsfilterung von GPOs rum (wenn man keine Ahnung davon hat)?
Das ist nicht nötig - sowohl die Computer- als auch die Benutzer-Konfiguration einer GPO greifen _OHNE!_ weitere Anpassung einer Sicherheitsfilterung perfekt auf die Inhalte der OUs, auf die die GPO verlinkt wird.
Bau die GPO mal neu und lass die Finger von der Sicherheitsfilterung. Verlinke die GPO und teste nochmal.
Cheers,
jsysde
Warum spielt man an der Sicherheitsfilterung von GPOs rum (wenn man keine Ahnung davon hat)?
Das ist nicht nötig - sowohl die Computer- als auch die Benutzer-Konfiguration einer GPO greifen _OHNE!_ weitere Anpassung einer Sicherheitsfilterung perfekt auf die Inhalte der OUs, auf die die GPO verlinkt wird.
Bau die GPO mal neu und lass die Finger von der Sicherheitsfilterung. Verlinke die GPO und teste nochmal.
Cheers,
jsysde
… habe das GPO neu gebaut, „die Finger weggelassen“ und mit meine OU in der der Rechner liegt. Erbebnis: es funktioniert nicht.
Zitat von @jsysde:
Warum spielt man an der Sicherheitsfilterung von GPOs rum (wenn man keine Ahnung davon hat)?
Holla, etwas laut gepoltert. Warum spielt man an der Sicherheitsfilterung von GPOs rum (wenn man keine Ahnung davon hat)?
Es macht absolut Sinn, "in der Sicherheitsfilterung rumzuspielen", wenn man einschränken will oder muss.
Das ist nicht nötig - sowohl die Computer- als auch die Benutzer-Konfiguration einer GPO greifen _OHNE!_ weitere Anpassung einer Sicherheitsfilterung perfekt auf die Inhalte der OUs, auf die die GPO verlinkt wird.
Das passt aber auch nur in einfach gestrickten Fällen.Und am Rande: Die Richtlinien einer GPO's greifen nicht auf die Inhalte von OU's. Wenn schon, denn schon.
"Die Richtlinien einer GPO's greifen nicht auf die Inhalte von OU's"... was bedeutet das denn konkret?
Zitat von @Oxymoron68:
"Die Richtlinien einer GPO's greifen nicht auf die Inhalte von OU's"... was bedeutet das denn konkret?
Na, dass die Richtlinien auf die Objekte in einer GPO überhaupt keine Auswirkung haben. Es sei denn, man lässt per GPO ein Script laufen, welches die Objekte im AD bearbeitet."Die Richtlinien einer GPO's greifen nicht auf die Inhalte von OU's"... was bedeutet das denn konkret?
Die Richtlinien wirken sich nur auf die laufenden Computer- und/oder Benutzerumgebungen (interaktive Sitzungen, Profile) aus.
Wenn sie denn überhaupt angewendet werden.
N'Abend.
Cheers,
jsysde
Zitat von @emeriks:
[...]Es macht absolut Sinn, "in der Sicherheitsfilterung rumzuspielen", wenn man einschränken will oder muss.
Nö - wenn man dazu die Sicherheitseinstellungen manipulieren muss, stimmt etwas am Konzept nicht. "Einschränken" geht problemlos per WMI-Filter. Und natürlich mit einer korrekten, gut geplanten und umgesetzten OU-Struktur.[...]Es macht absolut Sinn, "in der Sicherheitsfilterung rumzuspielen", wenn man einschränken will oder muss.
[...]Und am Rande: Die Richtlinien einer GPO's greifen nicht auf die Inhalte von OU's. Wenn schon, denn schon.
Aha. Na, wenn du meinst...Cheers,
jsysde
N'Abend.
Und stell' sicher, dass "Bei Anmeldung und Neustart immer auf das Netzwerk warten" aktiviert ist.
Cheers,
jsysde
Zitat von @Oxymoron68:
… habe das GPO neu gebaut, „die Finger weggelassen“ und mit meine OU in der der Rechner liegt. Erbebnis: es funktioniert nicht.
Poste mal Screenshots davon bitte.… habe das GPO neu gebaut, „die Finger weggelassen“ und mit meine OU in der der Rechner liegt. Erbebnis: es funktioniert nicht.
Und stell' sicher, dass "Bei Anmeldung und Neustart immer auf das Netzwerk warten" aktiviert ist.
Cheers,
jsysde
Moin
Ich habe eine Gruppe Mitarbeiter, die Konfiguration A bekommen sollen.
Ich habe eine Gruppe Mitarbeiter, die Konfiguration B bekommen sollen.
Ich habe eine Gruppe Mitarbeiter, die Konfiguration A + B bekommen sollen.
Desweiteren soll :
ein Teil der User die Konfiguration A bekommen auch Konfiguration C bekommen
ein Teil der User die Konfiguration B bekommen auch Konfiguration D bekommen
Jetzt kann ich dieses nun in OUs abbilden. Dann brauche ich 5 OUs:
OU 1 verteilt A
OU 2 verteilt B
OU 3 verteilt A + B
OU 4 verteilt A + C
OU 5 verteilt B + D
wenn ich jetzt noch C und D einzeln verteilen muss, dann hätte ich schon 7 OUs für 4 Einstellungen. Kann man machen, aber je mehr GPOs ich habe, desto mehr OUs werden es, was mich zu dem Problem führt, dass ich irgendwann nur noch OUs erzeuge und User hin und her schiebe.
Natürlich kann ich auch: wie in einigen Firmen üblich, alle Einstellungen in eine GPO packen. Dann habe ich aber eine 1:1 Konfiguration, muss aber (wenn z.B. der WSUS umzieht) alle GPOs bearbeiten. Auch keine Lösung.
Lass ich alles in einer OU, dann kann ich wie du geschrieben hast, das ganze mit einem WMI Filter lösen. Ein Filter für Gruppe A, ein Filter für B, ein Filter für C, ein Filter für D. Jetzt kommt es aber darauf an wie aufwändig der WMI Filter ist. Gehen wir mal von einem Recht aufwändigen WMI-Filter aus, der 20 Sekunden zum Abruf benötigt und 4 GPOs, die mit dem WMI-Filter geprüft werden. Jede dieser GPO wird geladen und jedes Mal wird der WMI-Filter ausgeführt. Ergebnis: Die Anmeldung dauert alleine durch die Abfrage der 4 WMI-Filter 80 Sekunden.
Alternative: Anstatt des WMI-Filters zu nehmen, lösche ich den authentifizierten Benutzer aus dem Sichereheitsfilter, füge den authentifizierten Benutzer unter Delegierung lesend hinzu, füge eine GPO-Sicherheitsgruppe im Sicherheitsfilter hinzu. Ergebnis: Wie beim WMI-Filter wird nur die GPO angewendet, die ich möchte, allerdings mit dem Vorteil, dass (a) die anderen 3 GPOs gar nicht geladen werden und (b) ich keinen WMI-Filter mit 20 Sekunden nutze. Ergebnis: Die Anmeldung erfolgt 80 Sekunden schneller.
Ja mir ist klar, das 20 Sekunden für einen WMI-Filter sehr viel sind. Aber ich habe das bei mir grade mal durchgeschaut: Würde ich wie du hier schreibst alles auf WMI-Filter umbauen und den Sicherheitsfilter nicht verändern, dann hätte ich knapp 30 WMI-Filter. Selbst wenn jeder dieser Filter nur 2 Sekunden brauchen würde, wäre die Anmeldung pro User pro Anmeldung um eine Minute verlangsamt.
Gruß
Doskias
Zitat von @jsysde:
N'Abend.
Sicherheitseinstellungen werde ja an der Stelle nicht manipuliert und nicht dran rumgespielt, sondern konfiguriert. Da gibt es unterschiede. Und ja du hast recht, theoretisch kannst du alles mit WMI-Filter und einer OU-Struktur abbilden. Die Frage ist allerdings ob das Sinn macht. Beispiel:N'Abend.
Zitat von @emeriks:
[...]Es macht absolut Sinn, "in der Sicherheitsfilterung rumzuspielen", wenn man einschränken will oder muss.
Nö - wenn man dazu die Sicherheitseinstellungen manipulieren muss, stimmt etwas am Konzept nicht. "Einschränken" geht problemlos per WMI-Filter. Und natürlich mit einer korrekten, gut geplanten und umgesetzten OU-Struktur.[...]Es macht absolut Sinn, "in der Sicherheitsfilterung rumzuspielen", wenn man einschränken will oder muss.
Ich habe eine Gruppe Mitarbeiter, die Konfiguration A bekommen sollen.
Ich habe eine Gruppe Mitarbeiter, die Konfiguration B bekommen sollen.
Ich habe eine Gruppe Mitarbeiter, die Konfiguration A + B bekommen sollen.
Desweiteren soll :
ein Teil der User die Konfiguration A bekommen auch Konfiguration C bekommen
ein Teil der User die Konfiguration B bekommen auch Konfiguration D bekommen
Jetzt kann ich dieses nun in OUs abbilden. Dann brauche ich 5 OUs:
OU 1 verteilt A
OU 2 verteilt B
OU 3 verteilt A + B
OU 4 verteilt A + C
OU 5 verteilt B + D
wenn ich jetzt noch C und D einzeln verteilen muss, dann hätte ich schon 7 OUs für 4 Einstellungen. Kann man machen, aber je mehr GPOs ich habe, desto mehr OUs werden es, was mich zu dem Problem führt, dass ich irgendwann nur noch OUs erzeuge und User hin und her schiebe.
Natürlich kann ich auch: wie in einigen Firmen üblich, alle Einstellungen in eine GPO packen. Dann habe ich aber eine 1:1 Konfiguration, muss aber (wenn z.B. der WSUS umzieht) alle GPOs bearbeiten. Auch keine Lösung.
Lass ich alles in einer OU, dann kann ich wie du geschrieben hast, das ganze mit einem WMI Filter lösen. Ein Filter für Gruppe A, ein Filter für B, ein Filter für C, ein Filter für D. Jetzt kommt es aber darauf an wie aufwändig der WMI Filter ist. Gehen wir mal von einem Recht aufwändigen WMI-Filter aus, der 20 Sekunden zum Abruf benötigt und 4 GPOs, die mit dem WMI-Filter geprüft werden. Jede dieser GPO wird geladen und jedes Mal wird der WMI-Filter ausgeführt. Ergebnis: Die Anmeldung dauert alleine durch die Abfrage der 4 WMI-Filter 80 Sekunden.
Alternative: Anstatt des WMI-Filters zu nehmen, lösche ich den authentifizierten Benutzer aus dem Sichereheitsfilter, füge den authentifizierten Benutzer unter Delegierung lesend hinzu, füge eine GPO-Sicherheitsgruppe im Sicherheitsfilter hinzu. Ergebnis: Wie beim WMI-Filter wird nur die GPO angewendet, die ich möchte, allerdings mit dem Vorteil, dass (a) die anderen 3 GPOs gar nicht geladen werden und (b) ich keinen WMI-Filter mit 20 Sekunden nutze. Ergebnis: Die Anmeldung erfolgt 80 Sekunden schneller.
Ja mir ist klar, das 20 Sekunden für einen WMI-Filter sehr viel sind. Aber ich habe das bei mir grade mal durchgeschaut: Würde ich wie du hier schreibst alles auf WMI-Filter umbauen und den Sicherheitsfilter nicht verändern, dann hätte ich knapp 30 WMI-Filter. Selbst wenn jeder dieser Filter nur 2 Sekunden brauchen würde, wäre die Anmeldung pro User pro Anmeldung um eine Minute verlangsamt.
Gruß
Doskias
Zitat von @jsysde:
Nö - wenn man dazu die Sicherheitseinstellungen manipulieren muss, stimmt etwas am Konzept nicht.
Und natürlich mit einer korrekten, gut geplanten und umgesetzten OU-Struktur.
Das mag für eine kleine Organisation zutreffen.Nö - wenn man dazu die Sicherheitseinstellungen manipulieren muss, stimmt etwas am Konzept nicht.
Und natürlich mit einer korrekten, gut geplanten und umgesetzten OU-Struktur.
[...]Und am Rande: Die Richtlinien einer GPO's greifen nicht auf die Inhalte von OU's. Wenn schon, denn schon.
Aha. Na, wenn du meinst...
