6
GPO wird nur zum Teil bzw. für manche Benutzer übernommen
Hallo in die Runde,
sitze hier aktuell vor folgenden Problem und konnte kein ähnliches/gleiches hier im Forum finden:
Das Netzwerk besteht aus einem DC Server und einem Terminal-Server (und weiteren wie Daten etc.).
Für alle Benutzer die Remote Desktop benutzen, ist ein Gruppe "Terminal" angelegt, die Berechtigung für den Terminal-Server hat.
Es gibt eine Gruppenrichtlinie (Benutzerkonfiguration) für den Terminalserver "Programme erlauben" in der z.b. office etc. zugelassen wird.
Das hat über lange Zeit wunderbar funktioniert.
Jetzt haben wir neue Software installiert (adobe), die weitere Anwendungen dazu bringt.
Zum Test habe ich daher das GPO deaktiviert. Anschließend kam es zu folgendem Szenario:
Es änderte sich gar nichts. Die User konnten weiterhin nur die zugelassenen Programme ändern. (gpupdate und Neustart Server und Clients wurde gemacht).
Daraufhin habe ich die GPO modifiziert und alle Anwendungen bis auf word (winword.exe) rausgenommen ->gpupdate und Neustarts probiert.
Führte zu folgendem Szenario:
Benutzer 1,2,3 können nach wie vor die Anwendungen öffnen, die ursprünglich erlaubt waren.
Benutzer 4,5 können gar keine Anwendung mehr öffnen.
Zur Info, die Benutzer sind alle in den Selben Gruppe (Domainuser und Terminal), das kann es also nicht sein.
Verknüpfung der GPO auf den. Terminalserver besteht auch.
Probiert habe ich:
Ping vom Terminal auf den DC funktioniert.
Delegierung der GPO ist gecheckt: Auth. Benutzer: lesen, Gruppe Termial: lesen+Gruppenrichtlinie übernehmen
Habe dann per gpresult mal abgefragt:
über meinen Domänen-Admin: Die GPO ist da, wird aber verweigert (ist ja auch der Admin)
Über einen normalen User schaffe ich kein vernünftiges Ergebnis, da ich die cmd nur als Admin öffnen kann:
bei gpresult /s DOMÄNE /user User1 /r bekomme ich: "Der Benutzer hat keine RSOP-Daten"
Wenn ich User1 über rsop.msc abfrage sehe ich die GPO "nur zugelassene Anwendungen ausführen" -> winword.exe
-> öffnen kann ich bei user1 aber alle ursprünglichen (also alle office, firefox etc.) aus der Tabelle.
Macht mich jetzt etwas Ratlos.
Hat jemand eine Idee, was ich übersehe oder falsch mache?
Danke vorab!
Viele Grüße
sitze hier aktuell vor folgenden Problem und konnte kein ähnliches/gleiches hier im Forum finden:
Das Netzwerk besteht aus einem DC Server und einem Terminal-Server (und weiteren wie Daten etc.).
Für alle Benutzer die Remote Desktop benutzen, ist ein Gruppe "Terminal" angelegt, die Berechtigung für den Terminal-Server hat.
Es gibt eine Gruppenrichtlinie (Benutzerkonfiguration) für den Terminalserver "Programme erlauben" in der z.b. office etc. zugelassen wird.
Das hat über lange Zeit wunderbar funktioniert.
Jetzt haben wir neue Software installiert (adobe), die weitere Anwendungen dazu bringt.
Zum Test habe ich daher das GPO deaktiviert. Anschließend kam es zu folgendem Szenario:
Es änderte sich gar nichts. Die User konnten weiterhin nur die zugelassenen Programme ändern. (gpupdate und Neustart Server und Clients wurde gemacht).
Daraufhin habe ich die GPO modifiziert und alle Anwendungen bis auf word (winword.exe) rausgenommen ->gpupdate und Neustarts probiert.
Führte zu folgendem Szenario:
Benutzer 1,2,3 können nach wie vor die Anwendungen öffnen, die ursprünglich erlaubt waren.
Benutzer 4,5 können gar keine Anwendung mehr öffnen.
Zur Info, die Benutzer sind alle in den Selben Gruppe (Domainuser und Terminal), das kann es also nicht sein.
Verknüpfung der GPO auf den. Terminalserver besteht auch.
Probiert habe ich:
Ping vom Terminal auf den DC funktioniert.
Delegierung der GPO ist gecheckt: Auth. Benutzer: lesen, Gruppe Termial: lesen+Gruppenrichtlinie übernehmen
Habe dann per gpresult mal abgefragt:
über meinen Domänen-Admin: Die GPO ist da, wird aber verweigert (ist ja auch der Admin)
Über einen normalen User schaffe ich kein vernünftiges Ergebnis, da ich die cmd nur als Admin öffnen kann:
bei gpresult /s DOMÄNE /user User1 /r bekomme ich: "Der Benutzer hat keine RSOP-Daten"
Wenn ich User1 über rsop.msc abfrage sehe ich die GPO "nur zugelassene Anwendungen ausführen" -> winword.exe
-> öffnen kann ich bei user1 aber alle ursprünglichen (also alle office, firefox etc.) aus der Tabelle.
Macht mich jetzt etwas Ratlos.
Hat jemand eine Idee, was ich übersehe oder falsch mache?
Danke vorab!
Viele Grüße
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1821974249
Url: https://administrator.de/forum/gpo-wird-nur-zum-teil-bzw-fuer-manche-benutzer-uebernommen-1821974249.html
Ausgedruckt am: 15.04.2025 um 14:04 Uhr
6 Kommentare
Neuester Kommentar
Hallo,
es gibt hier n paar Dinge, die ich nicht verstehen. Bring doch bitte einmal Licht ins dunkle:
Vielleicht helfen dir diese Fragen
Gruß
Doskias
es gibt hier n paar Dinge, die ich nicht verstehen. Bring doch bitte einmal Licht ins dunkle:
Zitat von @SnowLeopard:
sitze hier aktuell vor folgenden Problem und konnte kein ähnliches/gleiches hier im Forum finden:
Das Netzwerk besteht aus einem DC Server und einem Terminal-Server (und weiteren wie Daten etc.).
Für alle Benutzer die Remote Desktop benutzen, ist ein Gruppe "Terminal" angelegt, die Berechtigung für den Terminal-Server hat.
Es gibt eine Gruppenrichtlinie (Benutzerkonfiguration) für den Terminalserver "Programme erlauben" in der z.b. office etc. zugelassen wird.
Das hat über lange Zeit wunderbar funktioniert.
Jetzt haben wir neue Software installiert (adobe), die weitere Anwendungen dazu bringt.
Zum Test habe ich daher das GPO deaktiviert.
Warum hast du die GPO deaktiviert und nicht adobe hinzugefügt?sitze hier aktuell vor folgenden Problem und konnte kein ähnliches/gleiches hier im Forum finden:
Das Netzwerk besteht aus einem DC Server und einem Terminal-Server (und weiteren wie Daten etc.).
Für alle Benutzer die Remote Desktop benutzen, ist ein Gruppe "Terminal" angelegt, die Berechtigung für den Terminal-Server hat.
Es gibt eine Gruppenrichtlinie (Benutzerkonfiguration) für den Terminalserver "Programme erlauben" in der z.b. office etc. zugelassen wird.
Das hat über lange Zeit wunderbar funktioniert.
Jetzt haben wir neue Software installiert (adobe), die weitere Anwendungen dazu bringt.
Zum Test habe ich daher das GPO deaktiviert.
Anschließend kam es zu folgendem Szenario:
Es änderte sich gar nichts. Die User konnten weiterhin nur die zugelassenen Programme ändern. (gpupdate und Neustart Server und Clients wurde gemacht).
Was hat der neustart des Clients, der die Verbindung zum TS aufbaut damit zu tun?Es änderte sich gar nichts. Die User konnten weiterhin nur die zugelassenen Programme ändern. (gpupdate und Neustart Server und Clients wurde gemacht).
Daraufhin habe ich die GPO modifiziert und alle Anwendungen bis auf word (winword.exe) rausgenommen ->gpupdate und Neustarts probiert.
Was soll das bringen, wenn die GPO deaktiviert ist?Führte zu folgendem Szenario:
Benutzer 1,2,3 können nach wie vor die Anwendungen öffnen, die ursprünglich erlaubt waren.
Benutzer 4,5 können gar keine Anwendung mehr öffnen.
Sieht für mich so aus als sei die GPO nicht übernommen worden. Was sagt die Gruppenrichtlinienmodellierung oder gpresult /h ?Benutzer 1,2,3 können nach wie vor die Anwendungen öffnen, die ursprünglich erlaubt waren.
Benutzer 4,5 können gar keine Anwendung mehr öffnen.
Zur Info, die Benutzer sind alle in den Selben Gruppe (Domainuser und Terminal), das kann es also nicht sein.
Verknüpfung der GPO auf den. Terminalserver besteht auch.
User Verknüpfungen, die dem Server zugeordnet sind. Wie ist der Status des Loopback-Verarbeitungsmodus?Verknüpfung der GPO auf den. Terminalserver besteht auch.
Probiert habe ich:
Ping vom Terminal auf den DC funktioniert.
Warum? Hast du eine Fehlermeldung, die auf eine fehlerhafte Kommunikation hindeutet. Und wieso den DC. Du solltest mindestens zwei haben. Wenn du nur einen hast, nicht gut. Wenn du mehr hast: Replizierung ok? Nicht dass du auf DC1 die GPO änderst, die Replizierung zu Nummer 2 nicht funktioniert und je nachdem welcher DC antwortet du unterschiedliche Rechte hast.Ping vom Terminal auf den DC funktioniert.
Delegierung der GPO ist gecheckt: Auth. Benutzer: lesen, Gruppe Termial: lesen+Gruppenrichtlinie übernehmen
Habe dann per gpresult mal abgefragt:
über meinen Domänen-Admin: Die GPO ist da, wird aber verweigert (ist ja auch der Admin)
Was sagt denn das gpresult bei den Usern? Da ist es doch wichtig.Habe dann per gpresult mal abgefragt:
über meinen Domänen-Admin: Die GPO ist da, wird aber verweigert (ist ja auch der Admin)
Über einen normalen User schaffe ich kein vernünftiges Ergebnis, da ich die cmd nur als Admin öffnen kann:
Erstell ein Skript für gpresult und lass es bei der Anmeldung ausführen. Lege die Ergebnisdatei aufs Netzwerk.Vielleicht helfen dir diese Fragen
Gruß
Doskias
Zitat von @Doskias:
Hallo,
es gibt hier n paar Dinge, die ich nicht verstehen. Bring doch bitte einmal Licht ins dunkle:
Habe ich zuerst, allerdings bringt der Acrobat Pro durch die CC weitere Programme mit sich, das für dazu, das im Kontextmenü (Rechtsklick auf Dateien) bei den Terminal-Benutzern eine Beschränkungsmeldung kommt (weil das vermutlich nicht zugelassene weitere .exe sind). Deshalb Testweiße die ganze GPO ausgeschaltet.Hallo,
es gibt hier n paar Dinge, die ich nicht verstehen. Bring doch bitte einmal Licht ins dunkle:
Zitat von @SnowLeopard:
sitze hier aktuell vor folgenden Problem und konnte kein ähnliches/gleiches hier im Forum finden:
Das Netzwerk besteht aus einem DC Server und einem Terminal-Server (und weiteren wie Daten etc.).
Für alle Benutzer die Remote Desktop benutzen, ist ein Gruppe "Terminal" angelegt, die Berechtigung für den Terminal-Server hat.
Es gibt eine Gruppenrichtlinie (Benutzerkonfiguration) für den Terminalserver "Programme erlauben" in der z.b. office etc. zugelassen wird.
Das hat über lange Zeit wunderbar funktioniert.
Jetzt haben wir neue Software installiert (adobe), die weitere Anwendungen dazu bringt.
Zum Test habe ich daher das GPO deaktiviert.
Warum hast du die GPO deaktiviert und nicht adobe hinzugefügt?sitze hier aktuell vor folgenden Problem und konnte kein ähnliches/gleiches hier im Forum finden:
Das Netzwerk besteht aus einem DC Server und einem Terminal-Server (und weiteren wie Daten etc.).
Für alle Benutzer die Remote Desktop benutzen, ist ein Gruppe "Terminal" angelegt, die Berechtigung für den Terminal-Server hat.
Es gibt eine Gruppenrichtlinie (Benutzerkonfiguration) für den Terminalserver "Programme erlauben" in der z.b. office etc. zugelassen wird.
Das hat über lange Zeit wunderbar funktioniert.
Jetzt haben wir neue Software installiert (adobe), die weitere Anwendungen dazu bringt.
Zum Test habe ich daher das GPO deaktiviert.
Anschließend kam es zu folgendem Szenario:
Es änderte sich gar nichts. Die User konnten weiterhin nur die zugelassenen Programme ändern. (gpupdate und Neustart Server und Clients wurde gemacht).
Was hat der neustart des Clients, der die Verbindung zum TS aufbaut damit zu tun?Es änderte sich gar nichts. Die User konnten weiterhin nur die zugelassenen Programme ändern. (gpupdate und Neustart Server und Clients wurde gemacht).
Daraufhin habe ich die GPO modifiziert und alle Anwendungen bis auf word (winword.exe) rausgenommen ->gpupdate und Neustarts probiert.
Was soll das bringen, wenn die GPO deaktiviert ist?Führte zu folgendem Szenario:
Benutzer 1,2,3 können nach wie vor die Anwendungen öffnen, die ursprünglich erlaubt waren.
Benutzer 4,5 können gar keine Anwendung mehr öffnen.
Sieht für mich so aus als sei die GPO nicht übernommen worden. Was sagt die Gruppenrichtlinienmodellierung oder gpresult /h ?Benutzer 1,2,3 können nach wie vor die Anwendungen öffnen, die ursprünglich erlaubt waren.
Benutzer 4,5 können gar keine Anwendung mehr öffnen.
User 1,2 und 3 können nach wie vor alles.
gpresult /h hab ich mit dem Admin gemacht (weil ich da cmd Rechte habe):
Die GPOs sind alle da, werden aber logischerweise abgelehnt, da der Admin nicht in der Terminal Gruppe ist.
Zur Info, die Benutzer sind alle in den Selben Gruppe (Domainuser und Terminal), das kann es also nicht sein.
Verknüpfung der GPO auf den. Terminalserver besteht auch.
User Verknüpfungen, die dem Server zugeordnet sind. Wie ist der Status des Loopback-Verarbeitungsmodus?Verknüpfung der GPO auf den. Terminalserver besteht auch.
Probiert habe ich:
Ping vom Terminal auf den DC funktioniert.
Warum? Hast du eine Fehlermeldung, die auf eine fehlerhafte Kommunikation hindeutet. Und wieso den DC. Du solltest mindestens zwei haben. Wenn du nur einen hast, nicht gut. Wenn du mehr hast: Replizierung ok? Nicht dass du auf DC1 die GPO änderst, die Replizierung zu Nummer 2 nicht funktioniert und je nachdem welcher DC antwortet du unterschiedliche Rechte hast.Ping vom Terminal auf den DC funktioniert.
Soweit ich das sehe, das Netzwerk wurde nicht von mir eingerichtet, gibt es nur einen DC.
Delegierung der GPO ist gecheckt: Auth. Benutzer: lesen, Gruppe Termial: lesen+Gruppenrichtlinie übernehmen
Habe dann per gpresult mal abgefragt:
über meinen Domänen-Admin: Die GPO ist da, wird aber verweigert (ist ja auch der Admin)
Was sagt denn das gpresult bei den Usern? Da ist es doch wichtig.Habe dann per gpresult mal abgefragt:
über meinen Domänen-Admin: Die GPO ist da, wird aber verweigert (ist ja auch der Admin)
Über einen normalen User schaffe ich kein vernünftiges Ergebnis, da ich die cmd nur als Admin öffnen kann:
Erstell ein Skript für gpresult und lass es bei der Anmeldung ausführen. Lege die Ergebnisdatei aufs Netzwerk.Eine weitere komische Sache:
Ich hab mal testweise User1 als Mitglied in der Terminal User Gruppe entfernt und zu den Admins hinzugefügt.
Ergebnis: Es ändert sich nichts. User1 hat nach wie vor die selben Berechtigungen, Programme lt. alter Erlaubnis zu öffnen.
Es ist noch am Rande zu erwähnen, dass die Serverstruktur nicht von mir aufgebaut wurde. Ich habe zwar eine +/- Doku, aber wie das halt so ist.
Danke soweit für diesen Input!
Ich glaube die meisten von uns müssen mit Umgebungen leben, die sie nicht gänzlich verbockt haben
Unabhängig von deinem Problem, solltest du dir aber möglichst schnell einen zweiten DC anschaffen.
Ansonsten sieht es aber auf den ersten Blick erstmal so aus, wie es sein sollte. Zeigt ja auch bei den User wo die GPO greift, dass es richtig ist. Die "üblichen Verdächtigen" neue Gruppe, nicht abgemeldet, GPO Replikationsintervall abwarten können wir ja mittlerweile auch ausschließen.
Ansonsten einfach mal ne Nacht drüber schlafen. Hilft bei MS oft
Gruß
Doskias
Unabhängig von deinem Problem, solltest du dir aber möglichst schnell einen zweiten DC anschaffen.
Ansonsten sieht es aber auf den ersten Blick erstmal so aus, wie es sein sollte. Zeigt ja auch bei den User wo die GPO greift, dass es richtig ist. Die "üblichen Verdächtigen" neue Gruppe, nicht abgemeldet, GPO Replikationsintervall abwarten können wir ja mittlerweile auch ausschließen.
Ansonsten einfach mal ne Nacht drüber schlafen. Hilft bei MS oft
Gruß
Doskias
Zitat von @Doskias:
Ich glaube die meisten von uns müssen mit Umgebungen leben, die sie nicht gänzlich verbockt haben
Hmmm, ja so is das wohl.. Ich glaube die meisten von uns müssen mit Umgebungen leben, die sie nicht gänzlich verbockt haben
Ansonsten sieht es aber auf den ersten Blick erstmal so aus, wie es sein sollte. Zeigt ja auch bei den User wo die GPO greift, dass es richtig ist. Die "üblichen Verdächtigen" neue Gruppe, nicht abgemeldet, GPO Replikationsintervall abwarten können wir ja mittlerweile auch ausschließen.
So sehe ich das auch, deshalb komm ich ja ins Grübeln.Vielen Dank auf jeden Fall für deine Bemühungen und Hilfe!
Ein Update:
Habe gestern testweiße Abends die GPO nochmal deaktiviert.
Heute morgen dann folgendes:
User 1,2,3 haben nach wie vor die "alte Liste" an Programmen, die sie öffnen können.
User 4 und 5 können nur Word öffnen (wie gestern mal Testweiße eingestellt)
Das sieht mir also danach aus, als das der TS die GPO nicht anwendet, oder bekommt und die alten (nicht mehr bestehenden) anwendet.
Die Option mit dem Script muss ich noch checken.
Ich schau mir auch nochmal an, ob möglicherweise die OUs falsch sind oder die verlinken zu den GPO etc.
Aber so richtig sein kann das ja nicht, da es ja über Jahre funktioniert hat und daran nichts geändert wurde.
Ich bin leider auch mit dem Thema GPO nicht so fit, dass ich vlt. auch gerade nicht alles überblicke.
Edit 5.2. :
Verknüpfung und OUs sollten passen, das hab ich nochmal gecheckt.
Ich habe zum Test mal alle GPOs (außer loopback) die auf den TS Verknüpft sind deaktiviert.
Aber auf dem TS findet keine Änderung statt.
Die GPOs tauchen aber am TS unter CMD gpresult /r als Admin nicht mehr auch.
Was nun? Der TS ignoriert offensichtlich alles und ist festgefroren.
Viele Grüße
Moin
Sind denn die Schreibberechtigungen auf dem TS noch korrekt, oder hast du da versehentlich dran rumgefummelt? Ich meine damit die System32 Ordern GroupoPolicy und GroupPolicyUsers?
Wenn GPOs nicht übernommen werden (können), wird dies im Regelfall mit eindeutigen Meldungen protokolliert.
Ansonsten GPO einmal komplett resetten, wie hier angegeben?
https://www.windows-faq.de/2018/01/31/per-befehl-die-lokalen-gpos-komple ...
Gruß
Doskias
Sind denn die Schreibberechtigungen auf dem TS noch korrekt, oder hast du da versehentlich dran rumgefummelt? Ich meine damit die System32 Ordern GroupoPolicy und GroupPolicyUsers?
Wenn GPOs nicht übernommen werden (können), wird dies im Regelfall mit eindeutigen Meldungen protokolliert.
Ansonsten GPO einmal komplett resetten, wie hier angegeben?
https://www.windows-faq.de/2018/01/31/per-befehl-die-lokalen-gpos-komple ...
Gruß
Doskias
Erstmal danke für deine weitere Hilfe!
Hab ich mir angesehen. GroupPolicy war versteckt, aber beide Ordner hatten Rechte für das System.
Außer dass es die Ordner Group Policy und GroupPolicyUsers jetzt nicht mehr gibt.
Ich habe mal noch etwas probiert: Den TS-Server komplett aus der OU rausgenommen.
Dann kann ich mich (logischerweise) auch mit keinem Domäne-Benutzer mehr anmelden.
Mal so ganz grundsätzlich scheint er also die Domäne zu sehen und Infos zu bekommen..
Ich weiß echt nicht mehr weiter. Der TS nimmt nichts an....
Was ist da sonst geändert worden, bevor das Problem auftrat bzw. erkannt wurde:
-Letzte Woche Updates
-Es wurden ein paar RD User deaktiviert (also komplette User deaktiviert) und neue sind dazugekommen (also aufgenommen in Gruppe Terminal)
Zitat von @Doskias:
Sind denn die Schreibberechtigungen auf dem TS noch korrekt, oder hast du da versehentlich dran rumgefummelt? Ich meine damit die System32 Ordern GroupoPolicy und GroupPolicyUsers?
Rumgefummelt definitiv nicht.Sind denn die Schreibberechtigungen auf dem TS noch korrekt, oder hast du da versehentlich dran rumgefummelt? Ich meine damit die System32 Ordern GroupoPolicy und GroupPolicyUsers?
Hab ich mir angesehen. GroupPolicy war versteckt, aber beide Ordner hatten Rechte für das System.
Wenn GPOs nicht übernommen werden (können), wird dies im Regelfall mit eindeutigen Meldungen protokolliert.
Im Eventlog finde ich keine Meldung, die Eindeutig auf so ein Problem deutet.Ansonsten GPO einmal komplett resetten, wie hier angegeben?
https://www.windows-faq.de/2018/01/31/per-befehl-die-lokalen-gpos-komple ...
Hab ich gemacht. Und auch den TS neugestartet. In der Domäne sind nach wie vor alle TS-GPOs deaktiviert. Das Ergebnis nach dem resetten der Local GPOs per cmd: Gleich wie vor her. Man kann nur die begrenzte Anzahl an Programmen öffnen.https://www.windows-faq.de/2018/01/31/per-befehl-die-lokalen-gpos-komple ...
Außer dass es die Ordner Group Policy und GroupPolicyUsers jetzt nicht mehr gibt.
Ich habe mal noch etwas probiert: Den TS-Server komplett aus der OU rausgenommen.
Dann kann ich mich (logischerweise) auch mit keinem Domäne-Benutzer mehr anmelden.
Mal so ganz grundsätzlich scheint er also die Domäne zu sehen und Infos zu bekommen..
Ich weiß echt nicht mehr weiter. Der TS nimmt nichts an....
Was ist da sonst geändert worden, bevor das Problem auftrat bzw. erkannt wurde:
-Letzte Woche Updates
-Es wurden ein paar RD User deaktiviert (also komplette User deaktiviert) und neue sind dazugekommen (also aufgenommen in Gruppe Terminal)
