24
GPO wird nicht verarbeitet
Hallo,
ich habe Div. GPOs für einen Standort. Wie es scheint, werden diese GPO's nicht korrekt durchgeführt. Zur Fehlersuche und Korrektur benötige ich etwas Hilde / Denkanstöße.
Hier mal der GPO Aufbau:
Angewendet werden soll es auf die Computer. Im Aktuellen geht es um die GPO DMS INstallation.
Die GPO ruft beim Herunterfahren des Systems ein cmd-script auf. Das Script selbst läuft.
GPReuslt via Remote sagt, dass die GPO gezogen wird.
Ich habe einen Test-Rechner genommen und ihn in die entsprechende OU gezogen. Auch hier ist es so, dass er die GPOs aus der OU völlig ignoriert.
Hier habe ich ein gpresult /h gemacht, wo man im html sehen konnte, dass er die GPOs nicht hat.
Die optische Bestätigung beim Neustart / herunterfahren des Systems bestätigte dann auch, dass das Setup nicht ausgeführt wurde.
Gruß
ich habe Div. GPOs für einen Standort. Wie es scheint, werden diese GPO's nicht korrekt durchgeführt. Zur Fehlersuche und Korrektur benötige ich etwas Hilde / Denkanstöße.
Hier mal der GPO Aufbau:
Angewendet werden soll es auf die Computer. Im Aktuellen geht es um die GPO DMS INstallation.
Die GPO ruft beim Herunterfahren des Systems ein cmd-script auf. Das Script selbst läuft.
GPReuslt via Remote sagt, dass die GPO gezogen wird.
Betriebssystem Microsoft (R) Windows (R) Gruppenrichtlinienergebnis-Tool v2.0
© Microsoft Corporation. Alle Rechte vorbehalten.
Am 04.05.2023 um 13:42:54 erstellt
RSOP-Daten für auf DOMAINCLIENT: Protokollmodus
--------------------------------------------------
Betriebssystemkonfiguration: Mitglied der Domäne/Arbeitsgruppe
Betriebssystemversion: 10.0.19045
Standortname:
Roamingprofil:
Lokales Profil:
Langsame Verbindung? Nein
COMPUTEREINSTELLUNGEN
----------------------
CN=DOMAINCLIENT,OU=Computer,OU=K,OU=Gruppe,DC=domain,DC=local
Letzte Gruppenrichtlinienanwendung: 04.05.2023, um 12:33:59
Gruppenrichtlinieanwendung von: Name-Des-Standort-DCs
Schwellenwert für langsame Verbindung:500 kbps
Domänenname: domain
Domänentyp: Windows 2008 oder höher
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
DMS_Install_
LAPS_Einstellungen
Lokale_Admins
Bitlocker_Einstellungen
Bitlocker_Verschlüssellung
VSS_Enable
OneDrive_DsiableWellKnownFolders
Dateien_Kopieren
Biometrie aktivieren
LAPS_Installation
UAC_Aktivieren
DST-Registry
Print-and-Point
Default Domain Policy
Energieoptionen
Disable_Firewall
RDP_Einstellungen
NPS-CA
WiFi
IntelUpdate
Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
----------------------------------------------------------------------
Richtlinien der lokalen Gruppe
Filterung: Nicht angewendet (Leer)
Der Computer ist Mitglied der folgenden Sicherheitsgruppen
----------------------------------------------------------
Administratoren
Jeder
Systemverbindlichkeitsstufe
Benutzer
NETZWERK
Authentifizierte Benutzer
Diese Organisation
domainclient$
Domänencomputer
Von der Authentifizierungsstelle bestätigte IDIch habe einen Test-Rechner genommen und ihn in die entsprechende OU gezogen. Auch hier ist es so, dass er die GPOs aus der OU völlig ignoriert.
Hier habe ich ein gpresult /h gemacht, wo man im html sehen konnte, dass er die GPOs nicht hat.
Die optische Bestätigung beim Neustart / herunterfahren des Systems bestätigte dann auch, dass das Setup nicht ausgeführt wurde.
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7014034088
Url: https://administrator.de/contentid/7014034088
Printed on: April 28, 2024 at 15:04 o'clock
24 Comments
Latest comment
Hi,
wie sieht das Skript aus?
Wird auf Netzlaufwerke zugegriffen?
Skripte beim Herunterfahren werden als Computer ausgeführt, und nicht als Benutzer, das muss beachtet werden (Ordnerberechtigungen etc.)
-Thomas
wie sieht das Skript aus?
Wird auf Netzlaufwerke zugegriffen?
Skripte beim Herunterfahren werden als Computer ausgeführt, und nicht als Benutzer, das muss beachtet werden (Ordnerberechtigungen etc.)
-Thomas
Hi Thomas,
das Script wird als System ausgeführt wenn ich es richtig im Kopf habe. System hat Vollzugriff auf den Ordner.
im CMD sind Absolute Pfade enthalten. Das gleiche Script (Pfade angepasst) habe ich am Hauptstandort erfolgreich getestet.
An meiner Testmaschine war ich übrigens auch mit Admin-Rechten angemeldet...
Rufe ich das Script manuell auf, läuft es.
Gruß
das Script wird als System ausgeführt wenn ich es richtig im Kopf habe. System hat Vollzugriff auf den Ordner.
im CMD sind Absolute Pfade enthalten. Das gleiche Script (Pfade angepasst) habe ich am Hauptstandort erfolgreich getestet.
An meiner Testmaschine war ich übrigens auch mit Admin-Rechten angemeldet...
Rufe ich das Script manuell auf, läuft es.
Gruß
Hallo,
was ist denn im kleingedruckten eingetragen?
Bereich
Sicherheitsfilterung ?
Deligierung
Wer darf was?
Wir hatt bei uns mal ein Objekt, wo es für Administratoren aufgehoben wurde. Poste mal diese beide GUI Bildchen, bzw. sieh dort einmal nach ob sich da was "beißt".
mfg Crusher
was ist denn im kleingedruckten eingetragen?
Bereich
Sicherheitsfilterung ?
Deligierung
Wer darf was?
Wir hatt bei uns mal ein Objekt, wo es für Administratoren aufgehoben wurde. Poste mal diese beide GUI Bildchen, bzw. sieh dort einmal nach ob sich da was "beißt".
mfg Crusher
Hi
Werden die GPO(s) jetzt angewandt oder nicht?
Wenn die GPOs angewandt werden, dann hast du ein logging im Script? Wird es überhaupt gestartet? Ev. startet es, aber PC fährt vor ede der Installation herunter. Oder Zugriff auf das Script funktioniert nicht. Wo liegt es denn?
Sg Dirm
GPReuslt via Remote sagt, dass die GPO gezogen wird.
Werden die GPO(s) jetzt angewandt oder nicht?
Auch hier ist es so, dass er die GPOs aus der OU völlig ignoriert.
Hier habe ich ein gpresult /h gemacht, wo man im html sehen konnte, dass er die GPOs nicht hat.
Hier habe ich ein gpresult /h gemacht, wo man im html sehen konnte, dass er die GPOs nicht hat.
Wenn die GPOs angewandt werden, dann hast du ein logging im Script? Wird es überhaupt gestartet? Ev. startet es, aber PC fährt vor ede der Installation herunter. Oder Zugriff auf das Script funktioniert nicht. Wo liegt es denn?
Sg Dirm
Hi
Bereich Sicherheitsfilterung: Authentifizierte Benutzer
Deligierung:
Einstellung:
Dort ist auch keine Filterung auf Clients etc. vorgenommen.
Bereich Sicherheitsfilterung: Authentifizierte Benutzer
Deligierung:
Einstellung:
Dort ist auch keine Filterung auf Clients etc. vorgenommen.
Zitat von @Dirmhirn:
Hi
Werden die GPO(s) jetzt angewandt oder nicht?
Hi
GPReuslt via Remote sagt, dass die GPO gezogen wird.
Werden die GPO(s) jetzt angewandt oder nicht?
Sie werden nicht vom Client ausgeführt.
Auch hier ist es so, dass er die GPOs aus der OU völlig ignoriert.
Hier habe ich ein gpresult /h gemacht, wo man im html sehen konnte, dass er die GPOs nicht hat.
Hier habe ich ein gpresult /h gemacht, wo man im html sehen konnte, dass er die GPOs nicht hat.
Wenn die GPOs angewandt werden, dann hast du ein logging im Script? Wird es überhaupt gestartet? Ev. startet es, aber PC fährt vor ede der Installation herunter. Oder Zugriff auf das Script funktioniert nicht. Wo liegt es denn?
Ich habe am Ende des Scripts eine Datei die ich schreibe. Auf die Prüft das Script zu Beginn, damit es nicht jedes mal ausgeführt wird.
Diese Datei wird nicht erstellt. Zum Debugging habe ich auch zu Beginn eine Test Datei erstellen lassen, auch diese wurde nicht erstellt.
Sg Dirm
Bin immer noch der Meinung dass dein PC das Skript nicht lesen kann. Gib testweise Lese-/Ausführrechte für "authenticated users" auf das Skript.
-Thomas
-Thomas
Meinte diesen Bereich
Zitat von @3063370895:
Bin immer noch der Meinung dass dein PC das Skript nicht lesen kann. Gib testweise Lese-/Ausführrechte für "authenticated users" auf das Skript.
-Thomas
Bin immer noch der Meinung dass dein PC das Skript nicht lesen kann. Gib testweise Lese-/Ausführrechte für "authenticated users" auf das Skript.
-Thomas
Blöde Frage: müsste da die GPO nicht als angewendet ausgegeben werden? Nur dass eben das Script dann doch nicht funktioniert, weil eben Rechte fehlen.
Sorry, wenn ich da reingrätsche. Ich persönlich würde auf einen Fehler in der Filterung tippen.
Zitat von @kpunkt:
Blöde Frage: müsste da die GPO nicht als angewendet ausgegeben werden? Nur dass eben das Script dann doch nicht funktioniert, weil eben Rechte fehlen.
Sorry, wenn ich da reingrätsche. Ich persönlich würde auf einen Fehler in der Filterung tippen.
Zitat von @3063370895:
Bin immer noch der Meinung dass dein PC das Skript nicht lesen kann. Gib testweise Lese-/Ausführrechte für "authenticated users" auf das Skript.
-Thomas
Bin immer noch der Meinung dass dein PC das Skript nicht lesen kann. Gib testweise Lese-/Ausführrechte für "authenticated users" auf das Skript.
-Thomas
Blöde Frage: müsste da die GPO nicht als angewendet ausgegeben werden? Nur dass eben das Script dann doch nicht funktioniert, weil eben Rechte fehlen.
Sorry, wenn ich da reingrätsche. Ich persönlich würde auf einen Fehler in der Filterung tippen.
Wird es laut TE ja
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
DMS_Install_
Nur das Skript wird wohl nicht ausgeführt. Was mMn. daran liegt, dass nt-authority\system sich im netzwerk als domain\computername$ identifiziert.
-Thomas
Shutdown Scripte nutzen wir so nicht.
Läuft immer alles beim Rechner Start ab. Installation mit Chocolatey. Aber auch mal so ein MSI Paket oder Font.
Muss es denn beim Shutdown erfolgen? Da gab es doch immer mal Probleme.
Läuft immer alles beim Rechner Start ab. Installation mit Chocolatey. Aber auch mal so ein MSI Paket oder Font.
Muss es denn beim Shutdown erfolgen? Da gab es doch immer mal Probleme.
Dateiberechtigungen:
Zitat von @3063370895:
Wird es laut TE ja
Wird es laut TE ja
Ja, da widerspricht er sich etwas. Aber ich denke, dass bei seinem Test die GPO eben nicht angewendet wird,
Hier habe ich ein gpresult /h gemacht, wo man im html sehen konnte, dass er die GPOs nicht hat.
füge bei den Dateiberechtigungen mal das Computerkonto mit lesen/ausführen hinzu
-Thomas
Nachtrag zu oben, konnte das nicht mit rein editieren:
Der einzige Unterschied zu meiner Test GPO und der "echten" GPO ist lediglich der Name, der zugewiesene Ort und das Script / GPO hat _ortsbezeichnung am Ende.
Ich fürchte dass es an der GPO Hirachie o.ä. liegt.
Interessanterweise wird die GPO für den NUM lock auch nicht ausgeführt.
Der einzige Unterschied zu meiner Test GPO und der "echten" GPO ist lediglich der Name, der zugewiesene Ort und das Script / GPO hat _ortsbezeichnung am Ende.
Ich fürchte dass es an der GPO Hirachie o.ä. liegt.
Interessanterweise wird die GPO für den NUM lock auch nicht ausgeführt.
Zitat von @kpunkt:
Ja, da widerspricht er sich etwas. Aber ich denke, dass bei seinem Test die GPO eben nicht angewendet wird,
Zitat von @3063370895:
Wird es laut TE ja
Wird es laut TE ja
Ja, da widerspricht er sich etwas. Aber ich denke, dass bei seinem Test die GPO eben nicht angewendet wird,
Hier habe ich ein gpresult /h gemacht, wo man im html sehen konnte, dass er die GPOs nicht hat.
Das Widersprechen kommt ja daher, dass ich nicht einsehen kann, warum er das nicht zeiht, obwohl er es irgendwie doch zieht.
Zitat von @3063370895:
füge bei den Dateiberechtigungen mal das Computerkonto mit lesen/ausführen hinzu
-Thomas
füge bei den Dateiberechtigungen mal das Computerkonto mit lesen/ausführen hinzu
-Thomas
Interessant... Da hat er es gemacht (Dateiberechtigungen)...
Ich kann ja netzt nur nicht alle Clients aus der OU da rein packen...
Ich meine an dem Standort geht es noch mit ein paar Rechnern (Könnte ich auch über eine Gruppe regeln), aber am Hauptstandort wird es lustiger...
Moin
Wo liegt das Skript? -> Lege es mal ins netlogon und schaue, was dann passiert.
(Skripte aus der Freigabe werden im Bypass-Mode ausgeführt)
Gruß
Wo liegt das Skript? -> Lege es mal ins netlogon und schaue, was dann passiert.
(Skripte aus der Freigabe werden im Bypass-Mode ausgeführt)
Gruß
Zitat von @killtec:
Interessant... Da hat er es gemacht...
Ich kann ja netzt nur nicht alle Clients aus der OU da rein packen...
Ich meine an dem Standort geht es noch mit ein paar Rechnern (Könnte ich auch über eine Gruppe regeln), aber am Hauptstandort wird es lustiger...
Interessant... Da hat er es gemacht...
Ich kann ja netzt nur nicht alle Clients aus der OU da rein packen...
Ich meine an dem Standort geht es noch mit ein paar Rechnern (Könnte ich auch über eine Gruppe regeln), aber am Hauptstandort wird es lustiger...
Sag ich ja seit dem ersten Kommentar -.-
Du könntest der Gruppe "Domänencomputer" Lese/Ausführzugriff erlauben.
Die beinhaltet alle Computer (inkl. Server!) aus der Domäne außer die Domänencontroller.
Alternativ alle betroffenen Computer in eine Gruppe packen und der dann den Zugriff erlauben
-Thomas
Zitat von @Crusher79:
Shutdown Scripte nutzen wir so nicht.
Läuft immer alles beim Rechner Start ab. Installation mit Chocolatey. Aber auch mal so ein MSI Paket oder Font.
Muss es denn beim Shutdown erfolgen? Da gab es doch immer mal Probleme.
Shutdown Scripte nutzen wir so nicht.
Läuft immer alles beim Rechner Start ab. Installation mit Chocolatey. Aber auch mal so ein MSI Paket oder Font.
Muss es denn beim Shutdown erfolgen? Da gab es doch immer mal Probleme.
Ich hatte es beim Herunterfahren, da das Setup doch einen Moment läuft.
Hier ist auch das Script, für die, die es interessiert
Cmd Script ignoriert if Abfrage
Zitat von @Hubert.N:
Moin
Wo liegt das Skript? -> Lege es mal ins netlogon und schaue, was dann passiert.
(Skripte aus der Freigabe werden im Bypass-Mode ausgeführt)
Gruß
Moin
Wo liegt das Skript? -> Lege es mal ins netlogon und schaue, was dann passiert.
(Skripte aus der Freigabe werden im Bypass-Mode ausgeführt)
Gruß
Script liegt in einem Netzlaufwerk wo auch die Installs liegen. Könnte ja auch von einem anderem Script im Netlogon dieses aufrufen.
Zitat von @3063370895:
Sag ich ja seit dem ersten Kommentar -.-
Du könntest der Gruppe "Domänencomputer" Lese/Ausführzugriff erlauben.
Die beinhaltet alle Computer (inkl. Server!) aus der Domäne außer die Domänencontroller.
Alternativ alle betroffenen Computer in eine Gruppe packen und der dann den Zugriff erlauben
-Thomas
Zitat von @killtec:
Interessant... Da hat er es gemacht...
Ich kann ja netzt nur nicht alle Clients aus der OU da rein packen...
Ich meine an dem Standort geht es noch mit ein paar Rechnern (Könnte ich auch über eine Gruppe regeln), aber am Hauptstandort wird es lustiger...
Interessant... Da hat er es gemacht...
Ich kann ja netzt nur nicht alle Clients aus der OU da rein packen...
Ich meine an dem Standort geht es noch mit ein paar Rechnern (Könnte ich auch über eine Gruppe regeln), aber am Hauptstandort wird es lustiger...
Sag ich ja seit dem ersten Kommentar -.-
Du könntest der Gruppe "Domänencomputer" Lese/Ausführzugriff erlauben.
Die beinhaltet alle Computer (inkl. Server!) aus der Domäne außer die Domänencontroller.
Alternativ alle betroffenen Computer in eine Gruppe packen und der dann den Zugriff erlauben
-Thomas
Das schaue ich mir gleich noch mal an und teste es.
Kurzes Feedback: Ich habe die Gruppe Domänencomputer hinzugefügt, jetzt führt er es aus. Scheint somit an der Stelle zu laufen. Kontrolliere das dann ob meine Protokolldateien geschrieben wurden.
1
Zitat von @killtec:
Das Widersprechen kommt ja daher, dass ich nicht einsehen kann, warum er das nicht zeiht, obwohl er es irgendwie doch zieht.
Das Widersprechen kommt ja daher, dass ich nicht einsehen kann, warum er das nicht zeiht, obwohl er es irgendwie doch zieht.
Gezogen wird die GPO schon, sie wird nur nicht angewendet. Ich sehe da keien Widerspruch...
Darf man wissen was im Script steht?
Bei einem Shutdown einen Install machen... Genauso gut könnte man beim Hochfahren Configs setzen die einen Reboot brauchen. Irgendwie nicht ganz sinnig.
Was spricht gegen einen Install beim Hochfahren?
Zitat von @mayho33:
Gezogen wird die GPO schon, sie wird nur nicht angewendet. Ich sehe da keien Widerspruch...
Darf man wissen was im Script steht?
Bei einem Shutdown einen Install machen... Genauso gut könnte man beim Hochfahren Configs setzen die einen Reboot brauchen. Irgendwie nicht ganz sinnig.
Was spricht gegen einen Install beim Hochfahren?
Zitat von @killtec:
Das Widersprechen kommt ja daher, dass ich nicht einsehen kann, warum er das nicht zeiht, obwohl er es irgendwie doch zieht.
Das Widersprechen kommt ja daher, dass ich nicht einsehen kann, warum er das nicht zeiht, obwohl er es irgendwie doch zieht.
Gezogen wird die GPO schon, sie wird nur nicht angewendet. Ich sehe da keien Widerspruch...
Darf man wissen was im Script steht?
Bei einem Shutdown einen Install machen... Genauso gut könnte man beim Hochfahren Configs setzen die einen Reboot brauchen. Irgendwie nicht ganz sinnig.
Was spricht gegen einen Install beim Hochfahren?
HI,
im Script steht das:
Cmd Script ignoriert if Abfrage
Shutdown daher, da die Installation etwas Zeit benötigt und somit keinen Einfluss auf Startzeiten etc. nimmt.
Gruß
