killtec
Goto Top

GPO wird nicht verarbeitet

Hallo,
ich habe Div. GPOs für einen Standort. Wie es scheint, werden diese GPO's nicht korrekt durchgeführt. Zur Fehlersuche und Korrektur benötige ich etwas Hilde / Denkanstöße.

Hier mal der GPO Aufbau:
gpo_struktur

Angewendet werden soll es auf die Computer. Im Aktuellen geht es um die GPO DMS INstallation.
Die GPO ruft beim Herunterfahren des Systems ein cmd-script auf. Das Script selbst läuft.

GPReuslt via Remote sagt, dass die GPO gezogen wird.
Betriebssystem Microsoft (R) Windows (R) Gruppenrichtlinienergebnis-Tool v2.0
© Microsoft Corporation. Alle Rechte vorbehalten.

Am ‎04.‎05.‎2023 um 13:42:54 erstellt


RSOP-Daten für  auf DOMAINCLIENT: Protokollmodus
--------------------------------------------------

Betriebssystemkonfiguration: Mitglied der Domäne/Arbeitsgruppe
Betriebssystemversion:       10.0.19045
Standortname:                
Roamingprofil:
Lokales Profil:
Langsame Verbindung?         Nein


COMPUTEREINSTELLUNGEN
----------------------
    CN=DOMAINCLIENT,OU=Computer,OU=K,OU=Gruppe,DC=domain,DC=local
    Letzte Gruppenrichtlinienanwendung:   04.05.2023, um 12:33:59
    Gruppenrichtlinieanwendung von:       Name-Des-Standort-DCs
    Schwellenwert für langsame Verbindung:500 kbps
    Domänenname:                          domain
    Domänentyp:                           Windows 2008 oder höher

    Angewendete Gruppenrichtlinienobjekte
    --------------------------------------
        DMS_Install_
        LAPS_Einstellungen
        Lokale_Admins
        Bitlocker_Einstellungen
        Bitlocker_Verschlüssellung
        VSS_Enable
        OneDrive_DsiableWellKnownFolders
        Dateien_Kopieren
        Biometrie aktivieren
        LAPS_Installation
        UAC_Aktivieren
        DST-Registry
        Print-and-Point
        Default Domain Policy
        Energieoptionen
        Disable_Firewall
        RDP_Einstellungen
        NPS-CA
        WiFi
        IntelUpdate

    Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
    ----------------------------------------------------------------------
        Richtlinien der lokalen Gruppe
            Filterung:  Nicht angewendet (Leer)

    Der Computer ist Mitglied der folgenden Sicherheitsgruppen
    ----------------------------------------------------------
        Administratoren
        Jeder
        Systemverbindlichkeitsstufe
        Benutzer
        NETZWERK
        Authentifizierte Benutzer
        Diese Organisation
        domainclient$
        Domänencomputer
        Von der Authentifizierungsstelle bestätigte ID

Ich habe einen Test-Rechner genommen und ihn in die entsprechende OU gezogen. Auch hier ist es so, dass er die GPOs aus der OU völlig ignoriert.
Hier habe ich ein gpresult /h gemacht, wo man im html sehen konnte, dass er die GPOs nicht hat.
Die optische Bestätigung beim Neustart / herunterfahren des Systems bestätigte dann auch, dass das Setup nicht ausgeführt wurde.

Gruß

Content-Key: 7014034088

Url: https://administrator.de/contentid/7014034088

Printed on: February 25, 2024 at 04:02 o'clock

Mitglied: 3063370895
3063370895 May 04, 2023 at 11:55:49 (UTC)
Goto Top
Hi,

wie sieht das Skript aus?
Wird auf Netzlaufwerke zugegriffen?

Skripte beim Herunterfahren werden als Computer ausgeführt, und nicht als Benutzer, das muss beachtet werden (Ordnerberechtigungen etc.)

-Thomas
Member: killtec
killtec May 04, 2023 at 12:05:29 (UTC)
Goto Top
Hi Thomas,
das Script wird als System ausgeführt wenn ich es richtig im Kopf habe. System hat Vollzugriff auf den Ordner.
im CMD sind Absolute Pfade enthalten. Das gleiche Script (Pfade angepasst) habe ich am Hauptstandort erfolgreich getestet.
An meiner Testmaschine war ich übrigens auch mit Admin-Rechten angemeldet...

Rufe ich das Script manuell auf, läuft es.

Gruß
Member: Crusher79
Crusher79 May 04, 2023 at 12:11:28 (UTC)
Goto Top
Hallo,

was ist denn im kleingedruckten eingetragen?

Bereich
Sicherheitsfilterung ?

Deligierung
Wer darf was?

Wir hatt bei uns mal ein Objekt, wo es für Administratoren aufgehoben wurde. Poste mal diese beide GUI Bildchen, bzw. sieh dort einmal nach ob sich da was "beißt".

mfg Crusher
Member: Dirmhirn
Dirmhirn May 04, 2023 at 12:16:06 (UTC)
Goto Top
Hi

GPReuslt via Remote sagt, dass die GPO gezogen wird.

Werden die GPO(s) jetzt angewandt oder nicht?

Auch hier ist es so, dass er die GPOs aus der OU völlig ignoriert.
Hier habe ich ein gpresult /h gemacht, wo man im html sehen konnte, dass er die GPOs nicht hat.

Wenn die GPOs angewandt werden, dann hast du ein logging im Script? Wird es überhaupt gestartet? Ev. startet es, aber PC fährt vor ede der Installation herunter. Oder Zugriff auf das Script funktioniert nicht. Wo liegt es denn?

Sg Dirm
Member: killtec
killtec May 04, 2023 at 12:20:34 (UTC)
Goto Top
Hi
Bereich Sicherheitsfilterung: Authentifizierte Benutzer

Deligierung:
gpo_deligierung

Einstellung:
gpo_setting

Dort ist auch keine Filterung auf Clients etc. vorgenommen.
Member: killtec
killtec May 04, 2023 at 12:22:25 (UTC)
Goto Top
Zitat von @Dirmhirn:

Hi

GPReuslt via Remote sagt, dass die GPO gezogen wird.

Werden die GPO(s) jetzt angewandt oder nicht?

Sie werden nicht vom Client ausgeführt.


Auch hier ist es so, dass er die GPOs aus der OU völlig ignoriert.
Hier habe ich ein gpresult /h gemacht, wo man im html sehen konnte, dass er die GPOs nicht hat.

Wenn die GPOs angewandt werden, dann hast du ein logging im Script? Wird es überhaupt gestartet? Ev. startet es, aber PC fährt vor ede der Installation herunter. Oder Zugriff auf das Script funktioniert nicht. Wo liegt es denn?

Ich habe am Ende des Scripts eine Datei die ich schreibe. Auf die Prüft das Script zu Beginn, damit es nicht jedes mal ausgeführt wird.
Diese Datei wird nicht erstellt. Zum Debugging habe ich auch zu Beginn eine Test Datei erstellen lassen, auch diese wurde nicht erstellt.

Sg Dirm
Mitglied: 3063370895
3063370895 May 04, 2023 at 12:25:52 (UTC)
Goto Top
Bin immer noch der Meinung dass dein PC das Skript nicht lesen kann. Gib testweise Lese-/Ausführrechte für "authenticated users" auf das Skript.

-Thomas
Member: Crusher79
Crusher79 May 04, 2023 at 12:26:59 (UTC)
Goto Top
Meinte diesen Bereich

04-05-_2023_14-26-14
Member: kpunkt
kpunkt May 04, 2023 updated at 12:29:32 (UTC)
Goto Top
Zitat von @3063370895:

Bin immer noch der Meinung dass dein PC das Skript nicht lesen kann. Gib testweise Lese-/Ausführrechte für "authenticated users" auf das Skript.

-Thomas

Blöde Frage: müsste da die GPO nicht als angewendet ausgegeben werden? Nur dass eben das Script dann doch nicht funktioniert, weil eben Rechte fehlen.

Sorry, wenn ich da reingrätsche. Ich persönlich würde auf einen Fehler in der Filterung tippen.
Mitglied: 3063370895
3063370895 May 04, 2023 updated at 12:35:32 (UTC)
Goto Top
Zitat von @kpunkt:

Zitat von @3063370895:

Bin immer noch der Meinung dass dein PC das Skript nicht lesen kann. Gib testweise Lese-/Ausführrechte für "authenticated users" auf das Skript.

-Thomas

Blöde Frage: müsste da die GPO nicht als angewendet ausgegeben werden? Nur dass eben das Script dann doch nicht funktioniert, weil eben Rechte fehlen.

Sorry, wenn ich da reingrätsche. Ich persönlich würde auf einen Fehler in der Filterung tippen.

Wird es laut TE ja

Angewendete Gruppenrichtlinienobjekte
--------------------------------------
DMS_Install_

Nur das Skript wird wohl nicht ausgeführt. Was mMn. daran liegt, dass nt-authority\system sich im netzwerk als domain\computername$ identifiziert.

-Thomas
Member: Crusher79
Crusher79 May 04, 2023 at 12:35:48 (UTC)
Goto Top
Shutdown Scripte nutzen wir so nicht.

Läuft immer alles beim Rechner Start ab. Installation mit Chocolatey. Aber auch mal so ein MSI Paket oder Font.

Muss es denn beim Shutdown erfolgen? Da gab es doch immer mal Probleme.
Member: killtec
killtec May 04, 2023 at 12:36:54 (UTC)
Goto Top
gpo_secfilter

Dateiberechtigungen:
ntfs_berechtigungen
Member: kpunkt
kpunkt May 04, 2023 at 12:36:58 (UTC)
Goto Top
Zitat von @3063370895:

Wird es laut TE ja

Ja, da widerspricht er sich etwas. Aber ich denke, dass bei seinem Test die GPO eben nicht angewendet wird,

Hier habe ich ein gpresult /h gemacht, wo man im html sehen konnte, dass er die GPOs nicht hat.
Mitglied: 3063370895
3063370895 May 04, 2023 updated at 12:38:45 (UTC)
Goto Top
Zitat von @killtec:

gpo_secfilter

Dateiberechtigungen:
ntfs_berechtigungen

füge bei den Dateiberechtigungen mal das Computerkonto mit lesen/ausführen hinzu

-Thomas
Member: killtec
killtec May 04, 2023 at 12:39:35 (UTC)
Goto Top
Nachtrag zu oben, konnte das nicht mit rein editieren:

Der einzige Unterschied zu meiner Test GPO und der "echten" GPO ist lediglich der Name, der zugewiesene Ort und das Script / GPO hat _ortsbezeichnung am Ende.
Ich fürchte dass es an der GPO Hirachie o.ä. liegt.
Interessanterweise wird die GPO für den NUM lock auch nicht ausgeführt.
Member: killtec
killtec May 04, 2023 at 12:42:30 (UTC)
Goto Top
Zitat von @kpunkt:

Zitat von @3063370895:

Wird es laut TE ja

Ja, da widerspricht er sich etwas. Aber ich denke, dass bei seinem Test die GPO eben nicht angewendet wird,

Hier habe ich ein gpresult /h gemacht, wo man im html sehen konnte, dass er die GPOs nicht hat.

Das Widersprechen kommt ja daher, dass ich nicht einsehen kann, warum er das nicht zeiht, obwohl er es irgendwie doch zieht.
Member: killtec
killtec May 04, 2023 updated at 12:47:34 (UTC)
Goto Top
Zitat von @3063370895:

Zitat von @killtec:

gpo_secfilter

Dateiberechtigungen:
ntfs_berechtigungen

füge bei den Dateiberechtigungen mal das Computerkonto mit lesen/ausführen hinzu

-Thomas

Interessant... Da hat er es gemacht (Dateiberechtigungen)...
Ich kann ja netzt nur nicht alle Clients aus der OU da rein packen...
Ich meine an dem Standort geht es noch mit ein paar Rechnern (Könnte ich auch über eine Gruppe regeln), aber am Hauptstandort wird es lustiger...
Member: Hubert.N
Hubert.N May 04, 2023 at 12:48:26 (UTC)
Goto Top
Moin

Wo liegt das Skript? -> Lege es mal ins netlogon und schaue, was dann passiert.
(Skripte aus der Freigabe werden im Bypass-Mode ausgeführt)

Gruß
Mitglied: 3063370895
Solution 3063370895 May 04, 2023 updated at 12:49:42 (UTC)
Goto Top
Zitat von @killtec:
Interessant... Da hat er es gemacht...
Ich kann ja netzt nur nicht alle Clients aus der OU da rein packen...
Ich meine an dem Standort geht es noch mit ein paar Rechnern (Könnte ich auch über eine Gruppe regeln), aber am Hauptstandort wird es lustiger...

Sag ich ja seit dem ersten Kommentar -.-
Du könntest der Gruppe "Domänencomputer" Lese/Ausführzugriff erlauben.
Die beinhaltet alle Computer (inkl. Server!) aus der Domäne außer die Domänencontroller.
Alternativ alle betroffenen Computer in eine Gruppe packen und der dann den Zugriff erlauben

-Thomas
Member: killtec
killtec May 04, 2023 at 12:49:45 (UTC)
Goto Top
Zitat von @Crusher79:

Shutdown Scripte nutzen wir so nicht.

Läuft immer alles beim Rechner Start ab. Installation mit Chocolatey. Aber auch mal so ein MSI Paket oder Font.

Muss es denn beim Shutdown erfolgen? Da gab es doch immer mal Probleme.

Ich hatte es beim Herunterfahren, da das Setup doch einen Moment läuft.
Hier ist auch das Script, für die, die es interessiert
Cmd Script ignoriert if Abfrage
Member: killtec
killtec May 04, 2023 at 12:51:23 (UTC)
Goto Top
Zitat von @Hubert.N:

Moin

Wo liegt das Skript? -> Lege es mal ins netlogon und schaue, was dann passiert.
(Skripte aus der Freigabe werden im Bypass-Mode ausgeführt)

Gruß

Script liegt in einem Netzlaufwerk wo auch die Installs liegen. Könnte ja auch von einem anderem Script im Netlogon dieses aufrufen.

Zitat von @3063370895:

Zitat von @killtec:
Interessant... Da hat er es gemacht...
Ich kann ja netzt nur nicht alle Clients aus der OU da rein packen...
Ich meine an dem Standort geht es noch mit ein paar Rechnern (Könnte ich auch über eine Gruppe regeln), aber am Hauptstandort wird es lustiger...

Sag ich ja seit dem ersten Kommentar -.-
Du könntest der Gruppe "Domänencomputer" Lese/Ausführzugriff erlauben.
Die beinhaltet alle Computer (inkl. Server!) aus der Domäne außer die Domänencontroller.
Alternativ alle betroffenen Computer in eine Gruppe packen und der dann den Zugriff erlauben

-Thomas

Das schaue ich mir gleich noch mal an und teste es.
Member: killtec
killtec May 04, 2023 at 12:59:48 (UTC)
Goto Top
Kurzes Feedback: Ich habe die Gruppe Domänencomputer hinzugefügt, jetzt führt er es aus. Scheint somit an der Stelle zu laufen. Kontrolliere das dann ob meine Protokolldateien geschrieben wurden.
Member: mayho33
mayho33 May 05, 2023 at 17:12:57 (UTC)
Goto Top
Zitat von @killtec:
Das Widersprechen kommt ja daher, dass ich nicht einsehen kann, warum er das nicht zeiht, obwohl er es irgendwie doch zieht.

Gezogen wird die GPO schon, sie wird nur nicht angewendet. Ich sehe da keien Widerspruch...

Darf man wissen was im Script steht?

Bei einem Shutdown einen Install machen... Genauso gut könnte man beim Hochfahren Configs setzen die einen Reboot brauchen. Irgendwie nicht ganz sinnig.

Was spricht gegen einen Install beim Hochfahren?
Member: killtec
killtec May 08, 2023 at 08:13:29 (UTC)
Goto Top
Zitat von @mayho33:

Zitat von @killtec:
Das Widersprechen kommt ja daher, dass ich nicht einsehen kann, warum er das nicht zeiht, obwohl er es irgendwie doch zieht.

Gezogen wird die GPO schon, sie wird nur nicht angewendet. Ich sehe da keien Widerspruch...

Darf man wissen was im Script steht?

Bei einem Shutdown einen Install machen... Genauso gut könnte man beim Hochfahren Configs setzen die einen Reboot brauchen. Irgendwie nicht ganz sinnig.

Was spricht gegen einen Install beim Hochfahren?

HI,
im Script steht das:

Cmd Script ignoriert if Abfrage

Shutdown daher, da die Installation etwas Zeit benötigt und somit keinen Einfluss auf Startzeiten etc. nimmt.

Gruß