GPOs überprüfen, warum die GPOs nicht greifen
Moin zusammen,
ich stehe vor einer erneuten großen Herausforderung und zwar geht es um das Thema "Gruppenrichtlinien". Ich habe die Gruppenrichtlinien jeweils nach besten Gewissen und handeln, konfiguriert. Im Netz befinden sich zu diversen GPO's auch eine Anleitung.
Ich stelle leider fest, dass die Gruppenrichtlinien nicht greifen.
Aktuell scheitert es daran, dass ich gerne Office 365 via GPO einheitlich behandeln möchte, sodass die User nicht eigenständig ein Update installieren können.
Was ich bereits geprüft habe;
-> Replizierungsprobleme gibt es nicht. (Wobei ich mich nicht auf die Aussage verlassen möchte...)
-> gpudate /force sowohl auf dem DC als auch an meinem Testclient erbrachten keinen Erfolg. Wobei hin und wieder erhalte ich nach dem Befehl, dass es zu Fehlermeldungen gekommen ist.
"Die Computerrichtlinie konnte nicht erfolgreich aktualisiert werden. Folgende Probleme sind aufgetreten:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die Datei "\\meinedomäne\SysVol\meine Domäne\Policies\{9631CE80-CE67-4D79-A692-7A5D3F54B589}\gpt.ini" von einem Domänencontroller zu lesen, war nicht erfolgreich. Die Gruppenrichtlinieneinstellungen dürfen nicht angewendet werden, bis dieses Ereignis behoben ist. Dies ist möglicherweise ein vorübergehendes Problem, das mindestens eine der folgenden Ursachen haben kann:
a) Namensauflösung/Netzwerkverbindung mit dem aktuellen Domänencontroller.
b) Wartezeit des Dateireplikationsdienstes (eine auf einem anderen Domänencontroller erstellte Datei hat nicht auf dem aktuellen Domänencontroller repliziert).
c) Der DFS-Client (Distributed File System) wurde deaktiviert.
Die Aktualisierung der Benutzerrichtlinie wurde erfolgreich abgeschlossen.
Lesen Sie zur Fehlerdiagnose das Ereignisprotokoll, oder führen Sie den Befehl "GPRESULT /H GPReport.html" aus, um auf Informationen über Gruppenrichtlinienergebnisse zuzugreifen.
"
Führe ich den genannten Befehl aus, kann ich damit selbst nichts anfangen.
Variante a & b könnte eine Ursache sein, da die beiden Controller nicht mehr bei mir vor Ort stehen, sondern in unserem HQ. DFS-Client ist aktiv.
Wie aktuell meine Struktur aussieht;
Auf meinem DC gibt es eine OU "Clients". Dort sind alle Computer-Konten enthalten. Dementsprechend wechselte ich zu der Gruppenrichtlinienverwaltung, konfigurierte die GPO "Office 365 Updates" und verknüpfte diese mit der OU "Clients".
In der Sicherheitsfilterung befindet sich die Authentifitierten Benutzer.
Von meinem gefährlichen Halbwissen dachte ich, es wäre eine Computer-GPO, die pro Rechner greifen soll, nicht pro User. Testweise packte ich da auch meinen Testclient rein, aber auch da Griff die GPO nicht.
Ich kann gerne ein Bild zur Verfügung stellen.
Als kleine und wichtige Ergänzung noch, damit euch nicht gleich asap die Haare zu Berge stehen werden ;
1) Ich habe das Netzwerk, was aktuell so läuft, von dem damaligen Quereinsteiger übernommen, der wiederum parallel mit dem damaligen Dienstleister zusammen gearbeitet hatte.
2) Es ist korrekt, dass mir das tiefgreifende Wissen fehlt, weshalb ich die Anweisung erhalten habe, mich darum zu kümmern, dass es läuft.
3) Ich halte Punkt 2 für "gefährlich", aber auch als Herausforderung und Weiterbildung zu gleich.
4) Ich habe trotzdem sicherheitshalber mehrfach um Unterstützung gebeten, die aus Kostengründen eingespart werden, weil mein Ansprechpartner, der ein absoluter vollblut Netzwerker ist, zu teuer ist und dem gekündigt wurde.
Ich bin daher für jeden Hinweis, Tipp etc. sehr dankbar!
VG!
AS
ich stehe vor einer erneuten großen Herausforderung und zwar geht es um das Thema "Gruppenrichtlinien". Ich habe die Gruppenrichtlinien jeweils nach besten Gewissen und handeln, konfiguriert. Im Netz befinden sich zu diversen GPO's auch eine Anleitung.
Ich stelle leider fest, dass die Gruppenrichtlinien nicht greifen.
Aktuell scheitert es daran, dass ich gerne Office 365 via GPO einheitlich behandeln möchte, sodass die User nicht eigenständig ein Update installieren können.
Was ich bereits geprüft habe;
-> Replizierungsprobleme gibt es nicht. (Wobei ich mich nicht auf die Aussage verlassen möchte...)
-> gpudate /force sowohl auf dem DC als auch an meinem Testclient erbrachten keinen Erfolg. Wobei hin und wieder erhalte ich nach dem Befehl, dass es zu Fehlermeldungen gekommen ist.
"Die Computerrichtlinie konnte nicht erfolgreich aktualisiert werden. Folgende Probleme sind aufgetreten:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die Datei "\\meinedomäne\SysVol\meine Domäne\Policies\{9631CE80-CE67-4D79-A692-7A5D3F54B589}\gpt.ini" von einem Domänencontroller zu lesen, war nicht erfolgreich. Die Gruppenrichtlinieneinstellungen dürfen nicht angewendet werden, bis dieses Ereignis behoben ist. Dies ist möglicherweise ein vorübergehendes Problem, das mindestens eine der folgenden Ursachen haben kann:
a) Namensauflösung/Netzwerkverbindung mit dem aktuellen Domänencontroller.
b) Wartezeit des Dateireplikationsdienstes (eine auf einem anderen Domänencontroller erstellte Datei hat nicht auf dem aktuellen Domänencontroller repliziert).
c) Der DFS-Client (Distributed File System) wurde deaktiviert.
Die Aktualisierung der Benutzerrichtlinie wurde erfolgreich abgeschlossen.
Lesen Sie zur Fehlerdiagnose das Ereignisprotokoll, oder führen Sie den Befehl "GPRESULT /H GPReport.html" aus, um auf Informationen über Gruppenrichtlinienergebnisse zuzugreifen.
"
Führe ich den genannten Befehl aus, kann ich damit selbst nichts anfangen.
Variante a & b könnte eine Ursache sein, da die beiden Controller nicht mehr bei mir vor Ort stehen, sondern in unserem HQ. DFS-Client ist aktiv.
Wie aktuell meine Struktur aussieht;
Auf meinem DC gibt es eine OU "Clients". Dort sind alle Computer-Konten enthalten. Dementsprechend wechselte ich zu der Gruppenrichtlinienverwaltung, konfigurierte die GPO "Office 365 Updates" und verknüpfte diese mit der OU "Clients".
In der Sicherheitsfilterung befindet sich die Authentifitierten Benutzer.
Von meinem gefährlichen Halbwissen dachte ich, es wäre eine Computer-GPO, die pro Rechner greifen soll, nicht pro User. Testweise packte ich da auch meinen Testclient rein, aber auch da Griff die GPO nicht.
Ich kann gerne ein Bild zur Verfügung stellen.
Als kleine und wichtige Ergänzung noch, damit euch nicht gleich asap die Haare zu Berge stehen werden ;
1) Ich habe das Netzwerk, was aktuell so läuft, von dem damaligen Quereinsteiger übernommen, der wiederum parallel mit dem damaligen Dienstleister zusammen gearbeitet hatte.
2) Es ist korrekt, dass mir das tiefgreifende Wissen fehlt, weshalb ich die Anweisung erhalten habe, mich darum zu kümmern, dass es läuft.
3) Ich halte Punkt 2 für "gefährlich", aber auch als Herausforderung und Weiterbildung zu gleich.
4) Ich habe trotzdem sicherheitshalber mehrfach um Unterstützung gebeten, die aus Kostengründen eingespart werden, weil mein Ansprechpartner, der ein absoluter vollblut Netzwerker ist, zu teuer ist und dem gekündigt wurde.
Ich bin daher für jeden Hinweis, Tipp etc. sehr dankbar!
VG!
AS
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Kommentar vom Moderator tomolpi am 31.10.2024 um 16:39:04 Uhr
Beitragssprache auf "Deutsch" geändert
Content-ID: 669173
Url: https://administrator.de/contentid/669173
Ausgedruckt am: 31.10.2024 um 18:10 Uhr
5 Kommentare
Neuester Kommentar
Nichtgreifende GPOs sind in der regel ein Berechtigungsproblem oder die GPO wurde den User zugewiesen, müsste aber den Computern zugewiesen werden oder anders rum.
Gpresult ist schon mal der erste Weg, um zu sehen, ob die GPO greift. Ich nehme stark an, dass du die html angesehen hast. Was genau ist da das Problem, dass du damit nix anfangen kannst?
BTW kannst du den Beitrag so ändern, dass er nicht mehr als englischsprachiger Beitrag gekennzeichnet ist?
Gpresult ist schon mal der erste Weg, um zu sehen, ob die GPO greift. Ich nehme stark an, dass du die html angesehen hast. Was genau ist da das Problem, dass du damit nix anfangen kannst?
BTW kannst du den Beitrag so ändern, dass er nicht mehr als englischsprachiger Beitrag gekennzeichnet ist?
Quote from @AbstrackterSystemimperator:
Doofe Frage... wie kriege ich für die Zukunft heraus, ob die GPO für die User oder für die Computer ist?
Sieht man direkt daran, wo man die Einstellungen tätigt. Computer oder Benutzer.Doofe Frage... wie kriege ich für die Zukunft heraus, ob die GPO für die User oder für die Computer ist?
Ich habe das aktuelle File nun geöffnet. Lt. dem File wird zwar die GPO angewendet, aber lt. der o.g. genannten Fehlermeldung wiederum nicht.
Die obige Fehlermeldung sagt ja, dass die GPO nicht gelesen werden kann. Einfach mal schauen, ob du vom User aus auf die Freigabe kommst. Wenn nicht, brauchst du da eine Berechtigung.Oder es liegt dann wirklich an der Namensauflösung oder an der Replikation.
Neben der korrekten Zuordnung musst du auch Sicherstellen, dass unter "Delegation" die Authentifizierten Benutzer (lesend) enthalten sind.
Sonst kann der PC/ der User die Inhalte unter "Sicherheitsfilterung" nicht lesen und wird die GPO noch weniger anwenden.
Ferner: welche MS365-Version setzt ihr ein?
Mit den Business Standard/ Premium greifen standardmäßig keine GPOs. MS will, dass ihr das bei der Installation per XML macht. Mit "Umwegen" ginge es dennoch:
https://www.gruppenrichtlinien.de/artikel/office-365-business-und-premiu ...
Sonst kann der PC/ der User die Inhalte unter "Sicherheitsfilterung" nicht lesen und wird die GPO noch weniger anwenden.
Ferner: welche MS365-Version setzt ihr ein?
Mit den Business Standard/ Premium greifen standardmäßig keine GPOs. MS will, dass ihr das bei der Installation per XML macht. Mit "Umwegen" ginge es dennoch:
https://www.gruppenrichtlinien.de/artikel/office-365-business-und-premiu ...