supernooby
Goto Top

GPOs greifen nur teilweise

Moin @all!

Ich habe (wieder mal) ein Problem(chen), was für Euch Pro's sicherlich nur eine Kleinigkeit (ein Muntermacher für den heutigen Morgen) ist.... face-smile

Bei uns sind einige GPOs definiert, die auf einigen Clients alle vollkommen greifen und auf anderen Clients nur teilweise. gpresult/r zeigt aber an, dass die GPOs angewendet werden (oder eben nicht). Die entsprechenden Clients/User sind alle in den OE.

Woran kann das liegen?

THX für die Antwort(en).

Content-ID: 3728973078

Url: https://administrator.de/forum/gpos-greifen-nur-teilweise-3728973078.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

Doskias
Doskias 23.08.2022 um 09:52:19 Uhr
Goto Top
Moin,

leider wieder zu schwammig formuliert. Was funktioniert denn nicht?

Beispiel: Führst du eine GPO für alle User aus und verbindest hier für Gruppe A einen Drucker, dann wird dir gpresult für Gruppe B eine Erfolgreiche Verarbeitung der GPO anzeigen, aber keinen Drucker verbinden.

Also nochmal von Vorne: Was genau funktioniert nicht und wie ist das was nicht funktioniert konfiguriert?

Gruß
Doskias
TheToxic
TheToxic 23.08.2022 um 10:02:58 Uhr
Goto Top
Hi.
Schau dir mal am Client per rsop.msc (in CMD) an, ob die Einstellungen korrekt gesetzt werden.

Gruß,
TheToxic
SuperNooby
SuperNooby 23.08.2022 aktualisiert um 11:31:07 Uhr
Goto Top
@Doskias:
Die besagte GPO ist ein LoginScript (DREH Update.bat) für alle User, die in einer bestimmten OE aufgeführt sind.

@TheToxic:
Am Client zeigt rsop.msc die GPO teilweise überhaupt nicht an, ebenso wenig wie bei gpresult /r, aber sie wird trotzdem angewendet.
TheToxic
TheToxic 23.08.2022 um 10:50:22 Uhr
Goto Top
Wurde in der GPO in der Delegierung eine Einstellung geändert?
Hier sollte Standardmäßig stehen (kann aber nach Bedarf und Situation angepasst werden):
  • Authentifizierte Benutzer -> Lesen
  • Domänen-Admins -> Einstellung bearbeiten,...
  • Domänencontroller der Organisation -> Lesen
  • Organisations-Admins -> Einstellung bearbeiten,...
  • SYSTEM -> Einstellung bearbeiten,...

Das Anmeldescript per GPO wird in der GPO ja üblicherweise in der Benutzerkonfiguration eingestellt.
Die GPO ist auch an der OU der Benutzer und nicht der Workstation verknüpft?

Benutzerkonfig -> OU der Benutzer
Computerkonfig -> OU der Computer
SuperNooby
SuperNooby 23.08.2022 um 11:25:02 Uhr
Goto Top
An der Delegierung ist nichts verändert worden, ergo stimmen die Einstellungen alle. Und ja, die GPO ist an der OU der Benutzer verknüpft, alles Andere würde keinen Sinn ergeben. Zudem besteht das Problem ja nur teilweise und nicht überall.
bild
Doskias
Doskias 23.08.2022 um 11:31:24 Uhr
Goto Top
Und haben auch alle User zugriff auf den Pfad wo das Update.bat liegt?
SuperNooby
SuperNooby 23.08.2022 um 11:32:52 Uhr
Goto Top
Ja, der Pfad ist für alle zugänglich. Führe ich den Befehl in der bat-Datei manuell aus, wird diese auch ausgeführt.
Doskias
Doskias 23.08.2022 um 11:36:49 Uhr
Goto Top
Schade. Wäre auch zu einfach gewesen.

Was sagen denn die Windows-Protokolle? Hier steht meist mehr als angewandt oder nicht. Hier kannst du dann sehen warum es nicht funktioniert hat. Pfad nicht gefunden, etc.
TheToxic
TheToxic 23.08.2022 um 11:46:53 Uhr
Goto Top
Mal ein Schuss ins Blaue...
Verbindest du Laufwerke per Anmeldescript und diese werden nicht angezeigt, ich habe da nämlich ein ähnliches Problem....

Konfiguriere mal in der GPO irgendeine Pille-Palle Einstellung und prüfe ob diese greift.
z.B. Kopiere eine Datei nach C:\Temp oder ähnliches.
Evtl. kannst du so ausschließen ob es an der Verarbeitung der GPO im allgemeinen oder an der Verarbeitung des Scripts liegt.
SuperNooby
SuperNooby 23.08.2022 aktualisiert um 12:07:54 Uhr
Goto Top
@Doskias:
Muss/werde ich mir mal ansehen.

@TheToxic:
Nein, es werden keine Laufwerke per Anmeldescript verbunden, dies geschieht bei uns über die Sicherheitsgruppenzugehörigkeit.
Die bat-Datei macht im Grunde genau das, was Du vorgeschlagen hast, und zwar bei jeder Anmeldung eine Datei auf den Client zu kopieren.

Das Komische ist ja, dass an den besagten Clients im Grunde alles GPOs bis eben auf diesen greifen. Somit kann es im allgemeinen nicht an der Verarbeitung dieser liegen und das Script an sich funktioniert an anderen Clients.
Doskias
Doskias 23.08.2022 um 12:07:42 Uhr
Goto Top
Und zu den Anmeldeskripten:
Skriptverzögerung deaktiviert? Ansonsten greifen Anmeldeskripte erst 5 Minuten nach der Anmeldung.
SuperNooby
SuperNooby 23.08.2022 aktualisiert um 12:12:19 Uhr
Goto Top
Eine Scriptverzögerung ist nicht aktiv. Selbst wenn, da die Clients stundenlang am Stück laufen, müsste das Script ausgeführt worden sein.
Doskias
Doskias 23.08.2022 um 12:12:23 Uhr
Goto Top
Zitat von @SuperNooby:
Eine Scriptverzögerung ist nicht aktiv. Selbst wenn, da die Clients stundenlang am Stück laufen, müssten es gegriffen haben.

Die Skriptverzögerung ist immer aktiv, wenn man sie nicht deaktiviert. Aber es stimmt. Wenn sie stunden durchlaufen, dann sollte es irgendwann gehen. Wenn sie aber nicht deaktiviert wurde, dann kann dein GRESULT dir eine erfolgreiche Durchführung anzeigen, wenn du nachschaust ist aber nichts zu sehen, da das Skript halt noch nicht ausgeführt wurde.

Kannst du einen Screenshot der Einstellung deiner GPO hier posten?
SuperNooby
SuperNooby 23.08.2022 um 12:27:26 Uhr
Goto Top
An der GPO kann es nicht liegen, da sie an anderen Clients greift. Aber der besagte Client nimmt die anderen GPOs ohne Murren an.
bild_1
Doskias
Doskias 23.08.2022 um 12:33:05 Uhr
Goto Top
Ich hab das mal mit meinen Skript-GPOs verglichen. Ich hab bei mir immer den vollständigen Skriptpfad hinterlegt, nicht nur den Dateinamen und verzichte auf Leerzeichen. Ich weiß aber nicht ob das Gewohnheit ist oder erforderlich.

Du sagst ja, einige Clients holen sich das Skript und andere nicht. Haben die Clients denn das gleiche OS. Es ist durchaus denkbar, wenn auch unwahrscheinlich, dass einige Client-OS-Versionen den Pfad so wie er ist akzeptieren und andere dort einen Fehler machen. In dem Fall würdest du aber in den Windows-Protokollen irgendwo finden, dass der Pfad zum Skript nicht gefunden wurde.
TheToxic
TheToxic 23.08.2022 aktualisiert um 13:06:32 Uhr
Goto Top
Zitat von @Doskias:

Ich hab das mal mit meinen Skript-GPOs verglichen. Ich hab bei mir immer den vollständigen Skriptpfad hinterlegt, nicht nur den Dateinamen und verzichte auf Leerzeichen. Ich weiß aber nicht ob das Gewohnheit ist oder erforderlich.

Du sagst ja, einige Clients holen sich das Skript und andere nicht. Haben die Clients denn das gleiche OS. Es ist durchaus denkbar, wenn auch unwahrscheinlich, dass einige Client-OS-Versionen den Pfad so wie er ist akzeptieren und andere dort einen Fehler machen. In dem Fall würdest du aber in den Windows-Protokollen irgendwo finden, dass der Pfad zum Skript nicht gefunden wurde.

Das kann ich so bestätigen. Ggf. auch das Script nicht im Verzeichnis der GPO sondern unter Netlogon ablegen

Was sagen die Windows-Logs am Client, wie von doskias vorgeschlagen.


Zur aller größten Not den Client aus dem AD und wieder aufnehmen. Ggf. ist hier eine Vertrauensstellung zum DC gestört...

Es kann leider vieles sein face-sad
em-pie
em-pie 23.08.2022 um 14:32:45 Uhr
Goto Top
Moin,

die GPO enthält ein Script ,welches "beim Anmelden" ausgeführt werden soll.
Ist in den betroffenen Clients eine SSD/ NVMe installiert und bei denen, bei denen es klappt noch eine olle HDD?

Falls ja: dein Rechner ist schneller verfügbar (und die User melden sich schneller an) als dass dein Netzwerk verfügbar ist.

Ich kenne das zwar eigentlich nur von GPOs, die Computerkonfigurationen abarbeiten, aber prüfe mal, ob bei euch "auf Netzwerk warten" eingestellt ist. Bei uns lag die magische grenze bei 60 Sekunden.

https://www.itnator.net/auf-netzwerk-warten-gruppenrichtlinie-gpo/

Gruß
em-pie