13
GPO wird nicht auf Domänen Benutzer angewendet
Hallo Leute,
eine Frage an die Gruppenrichtlinien Spezialisten hier. Ich sitze seit 2 Stunden und versuche den Fehler zu finden
. Ich versucht ein GPO (User) nur auf einen bestimmten AD Account zu binden. Sprich, ich möchte das GPO mit User Settings nur auf einem speziellen User angewendet haben.
Was habe ich bis jetzt gemacht:
Ich habe mir eine OU im AD angelegt in welcher ein Computerkonto Mitglied ist. Auf diese OU haben ich ein GPO mit Usersettings gebunden und im Security Filtering die "Authenticated Users" gelöscht und meinen Test AD Account hinzugefügt. Ich melde mich am Computer mit dem Test AD Account an und es passiert "Zero". Was ich feststellen kann ist dass dieses GPO nicht angewendet wird (Not Applied - Unknown Reason) als resultat von gpresult /r
Ich habe hier igendwie einen Hund drinnen und finden den nicht. Sobald ich bei dem GPO unter Security Filtering die "Authenticated Users" wieder hinzufüge, wir das GPO auch angewendet.
Bitte um Hilfe. . . bin echt am verzweifeln
Besten Dank
eine Frage an die Gruppenrichtlinien Spezialisten hier. Ich sitze seit 2 Stunden und versuche den Fehler zu finden
. Ich versucht ein GPO (User) nur auf einen bestimmten AD Account zu binden. Sprich, ich möchte das GPO mit User Settings nur auf einem speziellen User angewendet haben.Was habe ich bis jetzt gemacht:
Ich habe mir eine OU im AD angelegt in welcher ein Computerkonto Mitglied ist. Auf diese OU haben ich ein GPO mit Usersettings gebunden und im Security Filtering die "Authenticated Users" gelöscht und meinen Test AD Account hinzugefügt. Ich melde mich am Computer mit dem Test AD Account an und es passiert "Zero". Was ich feststellen kann ist dass dieses GPO nicht angewendet wird (Not Applied - Unknown Reason) als resultat von gpresult /r
Ich habe hier igendwie einen Hund drinnen und finden den nicht. Sobald ich bei dem GPO unter Security Filtering die "Authenticated Users" wieder hinzufüge, wir das GPO auch angewendet.
Bitte um Hilfe. . . bin echt am verzweifeln
Besten Dank
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 308696
Url: https://administrator.de/forum/gpo-wird-nicht-auf-domaenen-benutzer-angewendet-308696.html
Ausgedruckt am: 07.01.2025 um 06:01 Uhr
13 Kommentare
Neuester Kommentar
Moin,
Warum denn Computerkonto, wenn die GPO auf einen Benutzer wirken soll?
Das solltest du wieder rückgängig machen, sonst wird es nicht funktionieren. Seit kurzem funktionieren GPOs, die auf bestimmte Gruppen geschlüsselt sind, nur noch, wenn die "Authenticades Users" Lese-Rechte auf die GPO haben.
Ich habe mir eine OU im AD Angelegt in welcher ein Computerkonto Mitglied ist.
Warum denn Computerkonto, wenn die GPO auf einen Benutzer wirken soll?
im Security Filtering die "Authenticated Users" gelöscht
Das solltest du wieder rückgängig machen, sonst wird es nicht funktionieren. Seit kurzem funktionieren GPOs, die auf bestimmte Gruppen geschlüsselt sind, nur noch, wenn die "Authenticades Users" Lese-Rechte auf die GPO haben.
Villeicht falsch formuliert. Ich habe ein OU. In dieser ist ein Computerkonto Mitglied. Auf dieser OU liegt auch ein GPO mit eben den User Settings welche wenn ich mich mit meinem Account auf diesem Computer anmelde, angewendet werden soll.
Auch wenn ich das GPO direkt in den root Baum meiner Domäne legen, funktioniert es nicht.
Ich habe schon sowas gelesen. Da hat es ein Update gegeben im Juni. Nicht ganz verständlich, denn wenn ich die "Authenticades Users" nicht lösche, wir das GPO ja auf alle Benutzer angewendet oder verstehe ich da was falsch?
Auch wenn ich das GPO direkt in den root Baum meiner Domäne legen, funktioniert es nicht.
Ich habe schon sowas gelesen. Da hat es ein Update gegeben im Juni. Nicht ganz verständlich, denn wenn ich die "Authenticades Users" nicht lösche, wir das GPO ja auf alle Benutzer angewendet oder verstehe ich da was falsch?
Moin,
lg,
Slainte
ich habe mir eine OU im AD Angelegt in welcher ein Computerkonto Mitglied ist. Auf diese OU haben ich ein GPO mit Usersettings gebunden
Das funktioniert nur, wenn in der GPO auch die Loopbackverarbeitung aktiviert ist! Die Usersettings werden dann auf alle User angewandt die sich auf Computern innerhalb der OU anmdeln.lg,
Slainte
Und wie sieht das aus wenn ich die Richtline im root meiner Domäne ablegen? Da gibt es ja dann keine OU, sondern das GPO sollte auf alle Benutzer angewendet werden welche ich im Security Filtering angegeben habe.
z.B: Die Domain Policy wir auf alle angewendet weil Security Filtering = Authenticated Users, ok verständlich. Sobald ich hier aber nur einen Domänen Benutzer hinzufüge (z.B meinen Test Account) und die "Authenticated Users" lösche, passiert überhaupt nichts mehr. Das GPO wird gefiltert.
z.B: Die Domain Policy wir auf alle angewendet weil Security Filtering = Authenticated Users, ok verständlich. Sobald ich hier aber nur einen Domänen Benutzer hinzufüge (z.B meinen Test Account) und die "Authenticated Users" lösche, passiert überhaupt nichts mehr. Das GPO wird gefiltert.
Sobald ich hier aber nur einen Domänen Benutzer hinzufüge (z.B meinen Test Account) und die "Authenticated Users" lösche, passiert überhaupt nichts mehr. Das GPO wird gefiltert.
Das habe wir doch bereits erklärt. Du musst den "Authenticated Users" jetzt statt dessen Nur-Lese-Recht erteilen. Reiter "Delegierung", Button "Hinzufügen"
Die Suchfunktion hier im Forum hötte dir auch weitergeholfen
Drucker Netzlaufwerke per GPO werden nicht mehr verbunden - GPO plötzlich defekt - (MS16-072 - KB 3163016 KB 3163017 KB3163018 KB3159398)
Drucker Netzlaufwerke per GPO werden nicht mehr verbunden - GPO plötzlich defekt - (MS16-072 - KB 3163016 KB 3163017 KB3163018 KB3159398)
Hallo,
wenn Du ein GPO für einen Benutzer machst, dann verlinke es auch auf eine OU mit Benutzern.
Bei der Filterung auf Benutzer/Gruppen ist jetzt darauf zu achten, das Autentifizierte Benutzer oder Domänencomputer LESE-RECHTE auf die GPO haben.
Wenn das nicht der Fall ist wird die GPO nicht mehr abgearbeitet.
http://www.borncity.com/blog/2016/06/16/windows-gpo-update-kb3159398-ma ...
Gruß
Chonta
wenn Du ein GPO für einen Benutzer machst, dann verlinke es auch auf eine OU mit Benutzern.
Bei der Filterung auf Benutzer/Gruppen ist jetzt darauf zu achten, das Autentifizierte Benutzer oder Domänencomputer LESE-RECHTE auf die GPO haben.
Wenn das nicht der Fall ist wird die GPO nicht mehr abgearbeitet.
http://www.borncity.com/blog/2016/06/16/windows-gpo-update-kb3159398-ma ...
Gruß
Chonta
Danke Leute für den Hinweis. Ich sehe mir das im Detail am Montag an.
Grüße
Grüße
Hier steht wie es funktioniert, seit dem Microsoft das Verhalten der GPOs geändert hat: http://www.gruppenrichtlinien.de/artikel/statt-loopback-benutzer-richtl ...
P. S. Loopback Verarbeitung wurde durch die Änderung übrigens überflüssig...
P. P. S. Und hier steht, was sich im Detail geändert hat: http://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfun ... ich habe in meiner Umgebung den Teil mit der Schema Anpassung ("defaultSecurityDiscriptor") gemacht.
P. S. Loopback Verarbeitung wurde durch die Änderung übrigens überflüssig...
P. P. S. Und hier steht, was sich im Detail geändert hat: http://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfun ... ich habe in meiner Umgebung den Teil mit der Schema Anpassung ("defaultSecurityDiscriptor") gemacht.
P. S. Loopback Verarbeitung wurde durch die Änderung übrigens überflüssig...
Quatsch! Wo hast Du das denn her?Diese Änderung betrifft allein den Sicherheitskontext, in welchem die Sammlung der für den Benutzer anzwendenden GPO erfolgt. Nichts weiter.
Bisher hat der GPO-Dienst die Benutzer-GPO im Kontext des Benutzers gesammelt. Jetzt erfolgt das im Kontext des Computers.
Loopback hat nichts mit Sicherheitsfilterung zu tun, sondern nur mit dem Pfad, über welchen die anzuwendenen GPO's gesammelt werden.
Naja, die Policy wird auf die Benutzer nicht angewendet, wenn der PC keine Lebensberechtigung hat.
Daraus folgt ja wenn ich "Authentifizierte Benutzer" aus dem Sicherheitsfilter entferne und den Terminalserver mit Lese-Berechtigung so wie Domänen-Benutzer mit Lesen und Übernehmen hinzufüge, habe ich den gleichen Effekt.
Du kannst zwar die Loopback Verarbeitung verwenden, musst es jetzt aber nicht mehr. Es gibt einfach einen neuen weg, mit dem man das Verhalten noch gezielter steuern könnte.
Daraus folgt ja wenn ich "Authentifizierte Benutzer" aus dem Sicherheitsfilter entferne und den Terminalserver mit Lese-Berechtigung so wie Domänen-Benutzer mit Lesen und Übernehmen hinzufüge, habe ich den gleichen Effekt.
Du kannst zwar die Loopback Verarbeitung verwenden, musst es jetzt aber nicht mehr. Es gibt einfach einen neuen weg, mit dem man das Verhalten noch gezielter steuern könnte.
Naja, die Policy wird auf die Benutzer nicht angewendet, wenn der PC keine Lebensberechtigung hat.
Und was hat das mit Loopback zu tun?Daraus folgt ja wenn ich "Authentifizierte Benutzer" aus dem Sicherheitsfilter entferne und den Terminalserver mit Lese-Berechtigung so wie Domänen-Benutzer mit Lesen und Übernehmen hinzufüge, habe ich den gleichen Effekt.
Gleichen Effekt wie mit Loopback-Verarbeitung? Nein, definitiv nicht!Du kannst zwar die Loopback Verarbeitung verwenden, musst es jetzt aber nicht mehr. Es gibt einfach einen neuen weg, mit dem man das Verhalten noch gezielter steuern könnte.
Wenn Du das so glaubst oder so verstanden hast, dann hast Du entweder die Änderung durch den besagten Patch nicht verstanden oder noch nie verstanden, wie die Loopbackverarbeitung überhaupt funktioniert, wofür sie benötigt wird und was da genau anders abläuft als ohne Loopback. Für letzteres gibt es aber genug Quellen im Web.
Besten Dank Leute für die rasche Hilfe. Es klappt nun nach dem hinzufügen der Authenticated Users mit (lese) rechten.
Grüße
Grüße
