tblinker
Goto Top

GPO zieht nicht bei allen Nutzern!?

Ich betreibe einige 2003 Terminalserver (Citrix Presentation Server). Um die Nutzerrechte einzuschränken habe ich eine Gruppenrichtlinie erstellt und dort sämtliche Restriktionen eingetragen. Bei den meisten Nutzern werden diese Einschränkungen auch ordnungsgemäß durchgeführt, bei einigen wenigen jedoch nicht. Bei dIesen Nutzer sind auch einige Rechte eingeschränkt, scheinbar von einer früheren Gruppenrichtlinie.

Da ich neben der "Default Domain Policy" nur noch meine "Terminalserverpolicy" habe und alle Nutzer nur in einer einzigen Gruppe enthalten sind, verstehe ich nicht, wie diese Unterschiede zustande kommen. Ein "gpresult" zeigt, dass die "Terminalserverpolicy" und (komischerweise) zweimal die "Default Domain Policy" angewendet wurden. Eine andere, ältere Richtlinie wird nicht angezeigt.

Werden denn irgendwelche Daten im Profil gespeichert, die durch die "Terminalserverpolicy" nicht überschrieben werden? Habt ihr ne Idee??

Content-ID: 107822

Url: https://administrator.de/forum/gpo-zieht-nicht-bei-allen-nutzern-107822.html

Ausgedruckt am: 23.12.2024 um 20:12 Uhr

Logan000
Logan000 02.02.2009 um 15:20:29 Uhr
Goto Top
Moin Moin

Werden denn irgendwelche Daten im Profil gespeichert, die durch die "Terminalserverpolicy" nicht überschrieben werden?
Nein, normalerweise nicht.

Da ich neben der "Default Domain Policy" nur noch meine "Terminalserverpolicy" habe und alle Nutzer nur in einer einzigen Gruppe enthalten sind, verstehe ich nicht, wie diese Unterschiede zustande kommen.
Außer der Gruppenzugehörigkeit spielt noch die OU Struktur eine Rolle. Hast Du evtl. eine "Sub" OU in der die Vererbung deaktiviert ist?

Hast du die GPMC installiert? Mach da mal einen Gruppenrichtlinienergebnis. Da erhälst du ein paar mehr Informationen aus via gpresult.

Gruß L.
TBlinker
TBlinker 04.02.2009 um 08:57:06 Uhr
Goto Top
Hallo!

Soweit ich das jetzt sehe, wird bei den betroffenen Nutzern die eine Grupenrichtlinie nicht richtig abgearbeitet. In den Eigenschaften der Richtlinie ist zweifelsfrei die Gruppe eingetragen, in der sich alle Nutzer befinden. Selbst wenn ich einen Nutzer direkt dort eintrage, wird die Richtlinie nicht gezogen. Trotzdem taucht sie bei einem gpresult unter "Angewendete Gruppenrichtlinienobjekte" auf.

face-sad

Gruppenrichtlinienergebnis folgt ....
TBlinker
TBlinker 04.02.2009 um 09:10:24 Uhr
Goto Top
Ich habe gerade zwei Gruppenrichtlinienergebnissabfragen erstellt. Eine für einen Nutzer bei dem alles klappt und eben eine für einen Nutzer wo es nicht klappt. Im Bereich der Computerkonfiguration ist alles identisch. Im Bereich der Nutzerkonfiguration dagegen gibt es Unterschiede:

- Alle Einträge unter "Administrative Vorlagen" sind identisch
- Unter "Windows Einstellungen" habe ich ein Skript eingetragen. Beim funktionierenden User steht unter "zuletzt ausgeführt" ein Datum, beim nicht funktionierenden User dagegen nicht
- Alle Einträge unter "Windows Einstellungen"->"Internet Explorer Wartung" (Startseite, vorgegebene Favoriten) existieren nur beim funktionierenden User

Und, was mir gerade noch aufgefallen ist: die Einstellungen die beim nicht funktionierenden User im Gruppenrichtlinienergebnis angezeigt werden, werden in der Praxis nicht konfiguriert (beispielsweise ist "Taskmanager entfernen" oder "Laufwerke vom Arbeitsplatz nicht zulassen" aktiviert, auf beides hat der User aber Zugriff) !!


Das macht doch so keine Spaß, habt ihr ne Idee?
Logan000
Logan000 04.02.2009 um 09:38:30 Uhr
Goto Top
Moin Moin

Im Gruppenrichtlinienergebnis unter Zusammenfassung kannst du doch sehen welche Gruppenrichtlinien angewendet werden bzw welche nicht.
1. Gibt es da unterschiede bei den Ergebnisssätzen der beiden User?
2. Falls Gruppenrichtlinien abgelent wurden was steht da als Grund?

Hast du in der Zusammenfassung unter Komponentenstatus überall erfolgreich?

Gruß L.
TBlinker
TBlinker 04.02.2009 um 10:31:38 Uhr
Goto Top
Hallo!

zu 1. : angewendet werden in beiden Fällen alle zugewiesenen Richtlinien. Aber eben bei dem nicht funktionierenden Nutzer nur ein Teil angezeigt (zb alles unter "Internet Explorer Wartung" nicht)

zu 2. : im Reiter "Zusammenfassung" gibts in beiden Fällen keine abgelehnten Gruppenrichtlinienobjekte (auch alles andere in der Zusammenfassung ist identisch).


Ich werd mal eine neue Richtlinie erstellen und zuweisen. Mal sehen ob da das gleiche Phänomen auftritt ....
TBlinker
TBlinker 04.02.2009 um 10:54:25 Uhr
Goto Top
Zitat von @TBlinker:

Ich werd mal eine neue Richtlinie erstellen und zuweisen. Mal sehen
ob da das gleiche Phänomen auftritt ....


Ich habe jetzt eine neue Richtlinie Test erstellt und in dieser unter "Benutzerkonfiguration->Windows-Einlstellungen->Internet Explorer-Wartung" einen neuen Favoriten eingefügt. Diese Richtlinie hab ich dann der entsprechenden Gruppe zugewiesen. Bei beiden Nutzern wurde per "gpupdate /force" aktualisiert und nach dem "gpresult" taucht die Richtlinie in beiden Fällen unter "angewendete Gruppenrichtlinienobjekte" auf.
Was soll ich sagen, bei dem funktionierenden Nutzer taucht der neue Favoriteneintrage im IExplorer auf, bei dem anderen nicht

face-sad
Logan000
Logan000 04.02.2009 um 12:21:49 Uhr
Goto Top
Moin

Hmm so langsam bin ich ratlos.
Es muss irgendeinen unterschied zwischen den Benutzern geben der dieses extrem putzige Verhalten erklärt.

Vorschlag für einen Versuch:
Kopiere im AD mal ein funktionierenden User und einen nicht funktionierenden (also 2 neue User).
Zeigen die das gleiche Verhalten wie die Originale?

Gruß L.
TBlinker
TBlinker 04.02.2009 um 16:34:55 Uhr
Goto Top
So, ich habe den Fehler deutlich eingrenzen können:

Ich habe das Profil des Problemnutzers auf dem Profileserver und den Terminalservern gelöscht, so dass es beim nächsten Anmelden neu erstellt wird. Und siehe da, alles ist so wie es sein soll !

Woran kann das liegen? Wär schön wenn ich die problematischen Dateien löschen / ändern könnte, dann brauch ich nicht bei allen betroffenen Nutzern das Profil löschen.
Logan000
Logan000 06.02.2009 um 14:27:16 Uhr
Goto Top
Moin

Ich wünscht ich wüste was da los ist.
Selbst wenn du Verbindliche Profile einsetzt sollten die Richtlinien greifen.

Wenn ich raten müste würde ich auf Fehlerhafte Rechte in der Registry (woher auch immer) tippen.
Aber diese wirst du im Profilordner so nicht finden.

Gruß L.
TBlinker
TBlinker 09.02.2009 um 08:19:24 Uhr
Goto Top
Naja, solange es jetzt funktioniert, soll mir die eigentliche Ursache egal sein.

Ich danke dir für die Hilfe !!