it-biene
Goto Top

GPO wird nicht angewendet (softwareinstallation)

Hi Community,


ich habe gestern versucht eine Software über die GPO zu installieren. Wie Sie sicher ahnen, hat das nicht funktioniert.
Ich muss dazu sagen, dass ich soetwas noch nie gemacht habe, ich kann nicht aussließen, dass mir irgendein blöder Anfängerfehler unterlaufen ist.

Kurz zur Übersicht:
Wir arbeiten mit Windows 2012 R2.
Die Mitarbeiter arbeiten in Remote Desktop Sitzungen auf einem terminal Server.
Jeder Benutzer, nicht jeder Computer, soll die Software installieren.


Die Richtlinie soll für die Benutzer in zwei Gruppen gelten.
für zwei gruppen
Die Benutzer sind auch alle in den Gruppen drin, hier die Mitglieder in Gruppe 1 - stimmt soweit alles:
benutzer sind in der gruppe
Hier die Struktur:
struktur
Die Richtlinie ist aktiviert.
ist aktiviert
Die Verknüpfung ist aktiviert.
verknüpfung ist aktiviert
gpupdate habe ich gemacht. gpupdate sagt aber nicht, dass die Änderungen erst nach einem Neustart wirksam werden (siehe "gpupdate" in den Anlagen).
gpupdate
In der Ereignisanzeige steht, die Richtlinie wurde verweigert.
ereignisanzeige
In den Details steht:
Protokollname: Microsoft-Windows-GroupPolicy/Operational
Quelle:        Microsoft-Windows-GroupPolicy
Datum:         11.10.2017 10:21:42
Ereignis-ID:   5313
Aufgabenkategorie:Keine
Ebene:         Informationen
Schlüsselwörter:
Benutzer:      SYSTEM
Computer:      Computername.Domäne.local
Beschreibung:
Die folgenden Gruppenrichtlinienobjekte wurden nicht angewendet, da sie herausgefiltert wurden: 

Deploy: SkyKick Outlook Assistant
	Verweigert (Sicherheit)

Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">  
  <System>
    <Provider Name="Microsoft-Windows-GroupPolicy" Guid="{AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9}" />  
    <EventID>5313</EventID>
    <Version>0</Version>
    <Level>4</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x4000000000000000</Keywords>
    <TimeCreated SystemTime="2017-10-11T08:21:42.862306100Z" />  
    <EventRecordID>10187817</EventRecordID>
    <Correlation ActivityID="{601B92C5-8413-41B0-BB9E-CE50F79C47C6}" />  
    <Execution ProcessID="980" ThreadID="4040" />  
    <Channel>Microsoft-Windows-GroupPolicy/Operational</Channel>
    <Computer>Computername.Domäne.local</Computer>
    <Security UserID="HierStehtEineUserID" />  
  </System>
  <EventData>
    <Data Name="DescriptionString">Deploy: SkyKick Outlook Assistant  
	Verweigert (Sicherheit)
</Data>
    <Data Name="GPOInfoList">&lt;GPO ID="{F217F3BE-620E-4FAF-A1CB-E5E25195741D}"&gt;&lt;Name&gt;Deploy: SkyKick Outlook Assistant&lt;/Name&gt;&lt;Version&gt;-65531&lt;/Version&gt;&lt;SOM&gt;LDAP://DC=Domäne,DC=local&lt;/SOM&gt;&lt;FSPath&gt;\\Domäne.local\SysVol\Domäne.local\Policies\{F217F3BE-620E-4FAF-A1CB-E5E25195741D}\Machine&lt;/FSPath&gt;&lt;Reason&gt;DENIED-SECURITY&lt;/Reason&gt;&lt;/GPO&gt;</Data>  
  </EventData>
</Event>
gpresult /r sagt dann dasselbe.
Betriebssystem Microsoft (R) Windows (R) Gruppenrichtlinienergebnis-Tool v2.0
¸ 2013 Microsoft Corporation. All rights reserved.

Am 11.10.2017 um 10:35:56 erstellt



RSOP-Daten fr Domäne\administrator auf Computername: Protokollmodus
---------------------------------------------------------------------

Betriebssystemkonfiguration: Prim„rer Dom„nencontroller
Betriebssystemversion:       6.3.9600
Standortname:                Default-First-Site-Name
Roamingprofil:Nicht zutreffend
Lokales Profil:              C:\Users\Administrator
Langsame Verbindung?         Nein


COMPUTEREINSTELLUNGEN
----------------------
    CN=Computername,OU=Domain Controllers,DC=Domäne,DC=local
    Letzte Gruppenrichtlinienanwendung:   11.10.2017, um 10:31:41
    Gruppenrichtlinieanwendung von:       Computername.Domäne.local
    Schwellenwert fr langsame Verbindung:500 kbps
    Dom„nenname:                          Domäne
    Dom„nentyp:                           Windows 2008 oder h”her

    Angewendete Gruppenrichtlinienobjekte
    --------------------------------------
        Default Domain Controllers Policy
        Default Domain Policy
        Richtlinien der lokalen Gruppe

    Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
    ----------------------------------------------------------------------
        Deploy: SkyKick Outlook Assistant
            Filterung:  Verweigert (Sicherheit)

    Der Computer ist Mitglied der folgenden Sicherheitsgruppen
    ----------------------------------------------------------
        Viele Sicherheitsgruppen
        

BENUTZEREINSTELLUNGEN
----------------------
    CN=Administrator,CN=Users,DC=Domäne,DC=local
    Letzte Gruppenrichtlinienanwendung:   11.10.2017, um 10:26:41
    Gruppenrichtlinieanwendung von:       Computername.Domäne.local
    Schwellenwert fr langsame Verbindung:500 kbps
    Dom„nenname:                          Domäne
    Dom„nentyp:                           Windows 2008 oder h”her
    
    Angewendete Gruppenrichtlinienobjekte
    --------------------------------------
        Nicht zutreffend

    Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
    ----------------------------------------------------------------------
        Deploy: SkyKick Outlook Assistant
            Filterung:  Verweigert (Sicherheit)

        Default Domain Policy
            Filterung:  Nicht angewendet (Unbekannte Ursache)	//soll auch nicht

        Richtlinien der lokalen Gruppe
            Filterung:  Nicht angewendet (Leer)	//soll auch nicht

    Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen
    ----------------------------------------------------------
        Sehr viele Sicherheitsgruppen
        

Also ich habe keine Idee woran es liegen könnte, ich habe schon gegooglet ("gpo nicht aktiv (sicherheit)","gpo wird nicht angewendet", ...), dabei habe ich aber nichts gefunden.
Hat jemand von euch eine Idee?
Fehlen euch noch irgendwelche Informationen?

Schon mal vielen Dank an die, die ihre Zeit aufenden um zu helfen. face-smile


Mit besten Grüßen

IT-Biene

Content-ID: 351390

Url: https://administrator.de/forum/gpo-wird-nicht-angewendet-softwareinstallation-351390.html

Ausgedruckt am: 22.12.2024 um 09:12 Uhr

sabines
sabines 11.10.2017 um 11:07:29 Uhr
Goto Top
Moin,

mal auf die Schnelle:
Software wird normaleweise pro Computer und nicht Benutzer verteilt.

Gruss
emeriks
emeriks 11.10.2017 um 11:12:12 Uhr
Goto Top
Hi,
Software wirklich per User, nicht Computer?

  • Benutzer wurde neu angemeldet, nachdem er der Gruppe hinzugefügt wurde?
  • Benutzer hat Lese-Rechte für die Quell-Dateien?
  • Die Software kann überhaupt per Benutzer installiert werden? Diese muss also nichts ändern, was man nur als Admin tun kann?
  • Unter GPO --> Sicherheit --> Delegierung: "Autentifizierte Benutzer" haben Lese-Recht für diese GPO?

E.
Mad-Eye
Mad-Eye 11.10.2017 um 11:12:37 Uhr
Goto Top
Hi,

erstens würde ich erstmal sabines zustimmen, was auch beachtet werden sollte und hier leider nicht ersichtlich ist:
GPOs werden vom Computerkonto gelesen, immer. Stehen noch die Authentifizierten Benutzer unter Delegierung mit Lesen drin?
Siehe auch hier

Gruß,
Mad-Eye
Logan000
Logan000 11.10.2017 um 15:40:51 Uhr
Goto Top
Moin Moin,

ich hätte 2 Fragen:
1. Hast du die Softwarezuweisunge in den Einstellungen der GPO unter Computer oder Benutzereinstellungen vorgenommen?
2 Wenn Du schreibst: ... soll pro Benutzer installiert werden, meinst du dann die Benutzer auf den Clients, auf den TS oder beide?

Gruß L.