abstracktersystemimperator
Goto Top

GPOs überprüfen, warum die GPOs nicht greifen

Moin zusammen,

ich stehe vor einer erneuten großen Herausforderung und zwar geht es um das Thema "Gruppenrichtlinien". Ich habe die Gruppenrichtlinien jeweils nach besten Gewissen und handeln, konfiguriert. Im Netz befinden sich zu diversen GPO's auch eine Anleitung.
Ich stelle leider fest, dass die Gruppenrichtlinien nicht greifen.

Aktuell scheitert es daran, dass ich gerne Office 365 via GPO einheitlich behandeln möchte, sodass die User nicht eigenständig ein Update installieren können.

Was ich bereits geprüft habe;
-> Replizierungsprobleme gibt es nicht. (Wobei ich mich nicht auf die Aussage verlassen möchte...)
-> gpudate /force sowohl auf dem DC als auch an meinem Testclient erbrachten keinen Erfolg. Wobei hin und wieder erhalte ich nach dem Befehl, dass es zu Fehlermeldungen gekommen ist.

"Die Computerrichtlinie konnte nicht erfolgreich aktualisiert werden. Folgende Probleme sind aufgetreten:

Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die Datei "\\meinedomäne\SysVol\meine Domäne\Policies\{9631CE80-CE67-4D79-A692-7A5D3F54B589}\gpt.ini" von einem Domänencontroller zu lesen, war nicht erfolgreich. Die Gruppenrichtlinieneinstellungen dürfen nicht angewendet werden, bis dieses Ereignis behoben ist. Dies ist möglicherweise ein vorübergehendes Problem, das mindestens eine der folgenden Ursachen haben kann:
a) Namensauflösung/Netzwerkverbindung mit dem aktuellen Domänencontroller.
b) Wartezeit des Dateireplikationsdienstes (eine auf einem anderen Domänencontroller erstellte Datei hat nicht auf dem aktuellen Domänencontroller repliziert).
c) Der DFS-Client (Distributed File System) wurde deaktiviert.
Die Aktualisierung der Benutzerrichtlinie wurde erfolgreich abgeschlossen.

Lesen Sie zur Fehlerdiagnose das Ereignisprotokoll, oder führen Sie den Befehl "GPRESULT /H GPReport.html" aus, um auf Informationen über Gruppenrichtlinienergebnisse zuzugreifen.
"

Führe ich den genannten Befehl aus, kann ich damit selbst nichts anfangen.

Variante a & b könnte eine Ursache sein, da die beiden Controller nicht mehr bei mir vor Ort stehen, sondern in unserem HQ. DFS-Client ist aktiv.

Wie aktuell meine Struktur aussieht;

Auf meinem DC gibt es eine OU "Clients". Dort sind alle Computer-Konten enthalten. Dementsprechend wechselte ich zu der Gruppenrichtlinienverwaltung, konfigurierte die GPO "Office 365 Updates" und verknüpfte diese mit der OU "Clients".
In der Sicherheitsfilterung befindet sich die Authentifitierten Benutzer.

Von meinem gefährlichen Halbwissen dachte ich, es wäre eine Computer-GPO, die pro Rechner greifen soll, nicht pro User. Testweise packte ich da auch meinen Testclient rein, aber auch da Griff die GPO nicht.

Ich kann gerne ein Bild zur Verfügung stellen.

Als kleine und wichtige Ergänzung noch, damit euch nicht gleich asap die Haare zu Berge stehen werden face-smile ;

1) Ich habe das Netzwerk, was aktuell so läuft, von dem damaligen Quereinsteiger übernommen, der wiederum parallel mit dem damaligen Dienstleister zusammen gearbeitet hatte.
2) Es ist korrekt, dass mir das tiefgreifende Wissen fehlt, weshalb ich die Anweisung erhalten habe, mich darum zu kümmern, dass es läuft.
3) Ich halte Punkt 2 für "gefährlich", aber auch als Herausforderung und Weiterbildung zu gleich.
4) Ich habe trotzdem sicherheitshalber mehrfach um Unterstützung gebeten, die aus Kostengründen eingespart werden, weil mein Ansprechpartner, der ein absoluter vollblut Netzwerker ist, zu teuer ist und dem gekündigt wurde.

Ich bin daher für jeden Hinweis, Tipp etc. sehr dankbar! face-smile

VG!
AS
Kommentar vom Moderator tomolpi am 31.10.2024 um 16:39:04 Uhr
Beitragssprache auf "Deutsch" geändert

Content-ID: 669173

Url: https://administrator.de/forum/gpos-ueberpruefen-warum-die-gpos-nicht-greifen-669173.html

Ausgedruckt am: 25.12.2024 um 02:12 Uhr

kpunkt
kpunkt 31.10.2024 aktualisiert um 16:39:12 Uhr
Goto Top
Nichtgreifende GPOs sind in der regel ein Berechtigungsproblem oder die GPO wurde den User zugewiesen, müsste aber den Computern zugewiesen werden oder anders rum.

Gpresult ist schon mal der erste Weg, um zu sehen, ob die GPO greift. Ich nehme stark an, dass du die html angesehen hast. Was genau ist da das Problem, dass du damit nix anfangen kannst?

BTW kannst du den Beitrag so ändern, dass er nicht mehr als englischsprachiger Beitrag gekennzeichnet ist?
AbstrackterSystemimperator
AbstrackterSystemimperator 31.10.2024 aktualisiert um 16:39:12 Uhr
Goto Top
Hey @kpunkt

vielen Dank für deine Antwort! face-smile

kpunkt Oct 31, 2024 at 13:59:19 (UTC)
Nichtgreifende GPOs sind in der regel ein Berechtigungsproblem oder die GPO wurde den User zugewiesen, müsste aber den Computern zugewiesen werden oder anders rum.

Okey, danke für den Tipp!
Doofe Frage... wie kriege ich für die Zukunft heraus, ob die GPO für die User oder für die Computer ist?

Gpresult ist schon mal der erste Weg, um zu sehen, ob die GPO greift. Ich nehme stark an, dass du die html angesehen hast. Was genau ist da das Problem, dass du damit nix anfangen kannst?

Ich habe das aktuelle File nun geöffnet. Lt. dem File wird zwar die GPO angewendet, aber lt. der o.g. genannten Fehlermeldung wiederum nicht.
Klicke ich nun dort auf die Fehlermeldungen, erhalte ich genau das selbe, was ich oben geschrieben habe. face-sad

Was ich auf jeden Fall noch mal machen werde, dass ich es nächste Woche im Meeting ansprechen werde, dass die GPOs nicht so laufen und ich dort Unterstützung benötigte.

Aufgeben ist für mich keine Option. Learning by doing ist meine grundsätzliche Einstellung dazu.
kpunkt
kpunkt 31.10.2024 aktualisiert um 16:39:12 Uhr
Goto Top
Quote from @AbstrackterSystemimperator:

Doofe Frage... wie kriege ich für die Zukunft heraus, ob die GPO für die User oder für die Computer ist?
Sieht man direkt daran, wo man die Einstellungen tätigt. Computer oder Benutzer.
2024-10-31 15_17_26-gruppenrichtlinienverwaltungs-editor

Ich habe das aktuelle File nun geöffnet. Lt. dem File wird zwar die GPO angewendet, aber lt. der o.g. genannten Fehlermeldung wiederum nicht.
Die obige Fehlermeldung sagt ja, dass die GPO nicht gelesen werden kann. Einfach mal schauen, ob du vom User aus auf die Freigabe kommst. Wenn nicht, brauchst du da eine Berechtigung.
Oder es liegt dann wirklich an der Namensauflösung oder an der Replikation.
em-pie
em-pie 31.10.2024 aktualisiert um 16:39:12 Uhr
Goto Top
Neben der korrekten Zuordnung musst du auch Sicherstellen, dass unter "Delegation" die Authentifizierten Benutzer (lesend) enthalten sind.
Sonst kann der PC/ der User die Inhalte unter "Sicherheitsfilterung" nicht lesen und wird die GPO noch weniger anwenden.


Ferner: welche MS365-Version setzt ihr ein?
Mit den Business Standard/ Premium greifen standardmäßig keine GPOs. MS will, dass ihr das bei der Installation per XML macht. Mit "Umwegen" ginge es dennoch:
https://www.gruppenrichtlinien.de/artikel/office-365-business-und-premiu ...
aqui
aqui 31.10.2024 aktualisiert um 16:39:12 Uhr
Goto Top
Bitte das nächste Mal einen deutschen Beitrag auch in der deutschen Rubrik posten und nicht in der Englischen!! 😡
eng
Man muss schon ziemliche 🍅 auf den 👀 haben um das zu übersehen bevor man es in die Welt raushaut! face-sad
AbstrackterSystemimperator
AbstrackterSystemimperator 01.11.2024 aktualisiert um 10:28:49 Uhr
Goto Top
@kpunkt

danke für die Infos.
Aktuell ist Urlaubszeit. Ich suche mir kommende Woche mal ein paar User aus und werde berichten.


Ferner: welche MS365-Version setzt ihr ein?
Mit den Business Standard/ Premium greifen standardmäßig keine GPOs. MS will, dass ihr das bei der Installation per XML macht. Mit "Umwegen" ginge es dennoch:
https://www.gruppenrichtlinien.de/artikel/office-365-business-und-premiu ...

@em-pie: Microsoft® Word for Microsoft 365 MSO (Version 2408 Build 16.0.17928.20114) 64-bit bzw. das "Klassische" Apps for Enterprise.
Das Problem und weshalb ich das mit einer GPO machen will sind nämlich nicht nur die unterschiedlichen Versionsstände, sondern auch die diversen Einstellungen.
Habe neulich ein Kalenderproblem gefixt, welches nach dem schönen MS Update wieder da war.... face-sad

@aqui
Message ist angekommen. Da habe ich echt gepennt....

Edit / Nachtrag: Ich bin gerade zu doof, die aktuellen ADM(X) Files zu finden... ich sehe gerade, dass einige gar nicht vorhanden sind....
Naja, wie auch immer... ich werde mich mal weiterhin durch das Netzwerkchaos "schaufeln".

Wünsche euch vorab schon Mal ein schönes Wochenende!
MysticFoxDE
MysticFoxDE 02.11.2024 aktualisiert um 08:32:41 Uhr
Goto Top
Moin @AbstrackterSystemimperator,

Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die Datei "\\meinedomäne\SysVol\meine Domäne\Policies\{9631CE80-CE67-4D79-A692-7A5D3F54B589}\gpt.ini" von einem Domänencontroller zu lesen, war nicht erfolgreich.

🤔 ... hast du eventuell und auch hoffentlich mehrere DC's?

Wenn ja, hast du schon mal geprüft, ob deine SYSVOL-Replikation auch wirklich sauber läuft?
Denn dieser Fehler kommt auch sehr oft, wenn die entsprechenden Objekte zwischen den DC's nicht sauber repliziert werden.

Gruss Alex
AbstrackterSystemimperator
AbstrackterSystemimperator 04.11.2024 um 10:55:42 Uhr
Goto Top
Moin @MysticFoxDE

Wenn ja, hast du schon mal geprüft, ob deine SYSVOL-Replikation auch wirklich sauber läuft?
Denn dieser Fehler kommt auch sehr oft, wenn die entsprechenden Objekte zwischen den DC's nicht sauber repliziert werden.

Also zwischen meinen beiden lokalen DC's läuft die Replikation sauber.
Vermutlich habe ich den Fehler gefunden.... bei der Überprüfung wird auch versucht eine Replikation mit dem DC zu starten, der in der Cloud ist... wiederum ist der seit Monaten nicht mehr im Betrieb. Sollte ich damals ausschalten...
MysticFoxDE
MysticFoxDE 04.11.2024 aktualisiert um 11:36:40 Uhr
Goto Top
Moin @AbstrackterSystemimperator,

Also zwischen meinen beiden lokalen DC's läuft die Replikation sauber.

und wie hast du das genau geprüft?

Vermutlich habe ich den Fehler gefunden.... bei der Überprüfung wird auch versucht eine Replikation mit dem DC zu starten, der in der Cloud ist... wiederum ist der seit Monaten nicht mehr im Betrieb. Sollte ich damals ausschalten...

Ohh, ähm, meine Kristallkugel sagt mir gerade, dass bei dir die "Active Directory-Standorte und -Dienste" wahrscheinlich nicht sauber eingerichtet sind. 😬

Denn vom den "lokalen" Subnetzen, sollten die AD anfragen am Besten auch nur gegen die lokalen DC laufen, da am schnellsten. 😉

Gruss Alex
rzlbrnft
rzlbrnft 04.11.2024 um 11:49:07 Uhr
Goto Top
Du schreibst, das die Richtlinie für bestimmte Benutzer gelten soll, also gehe ich mal davon aus, du hast die Delegierungseinstellungen geändert und nur die Benutzer da hinzugefügt.

Du solltest aber bedenken, das die Richtlinien während des Bootens mit dem Computerkonto vom Sysvol Verzeichnis heruntergeladen werden, nicht mit dem Benutzerkonto.

Das heißt, auch der Computeraccount braucht lesenden Zugriff auf die Richtlinie, sonst bekommst du diese Lesefehler, die du gepostet hast.
AbstrackterSystemimperator
AbstrackterSystemimperator 04.11.2024 um 11:51:21 Uhr
Goto Top
Moin @MysticFoxDE

Also zwischen meinen beiden lokalen DC's läuft die Replikation sauber.

und wie hast du das genau geprüft?

Ich habe mich daran gehalten: Replikation prüfen


Vermutlich habe ich den Fehler gefunden.... bei der Überprüfung wird auch versucht eine Replikation mit dem DC zu starten, der in der Cloud ist... wiederum ist der seit Monaten nicht mehr im Betrieb. Sollte ich damals ausschalten...

Ohh, ähm, meine Kristallkugel sagt mir gerade, dass bei dir die "Active Directory-Standorte und -Dienste" wahrscheinlich nicht sauber eingerichtet sind. 😬


Das kann sein... ausschließen kann ich das nicht...
Da ich das Netz so übernommen habe und es auch keine Doku / korrekte Übergabe gab und gibt, ist es für mich nach einer Suche nach der Nadel im Heuhaufen.

Denn vom den "lokalen" Subnetzen, sollten die AD anfragen am Besten auch nur gegen die lokalen DC laufen, da am schnellsten. 😉

Gruss Alex

Das leuchtet mir ein. Habe heute noch mal ein Gespräch mit meinem Chef dazu. Es ist sowie angedacht, dass unser Netzwerk "aufgelöst" wird und alles ins große "Netzwerk" im HQ implementiert wird... Das bleibt spannend face-big-smile

Gruß
AS
AbstrackterSystemimperator
AbstrackterSystemimperator 04.11.2024 um 11:53:40 Uhr
Goto Top
Zitat von @rzlbrnft:

Du schreibst, das die Richtlinie für bestimmte Benutzer gelten soll, also gehe ich mal davon aus, du hast die Delegierungseinstellungen geändert und nur die Benutzer da hinzugefügt.

Du solltest aber bedenken, das die Richtlinien während des Bootens mit dem Computerkonto vom Sysvol Verzeichnis heruntergeladen werden, nicht mit dem Benutzerkonto.

Das heißt, auch der Computeraccount braucht lesenden Zugriff auf die Richtlinie, sonst bekommst du diese Lesefehler, die du gepostet hast.

Moin @rzlbrnft

Danke für den Hinweis. Ich werde mir noch mal einen separaten Testrechner hernehmen und den so konfigurieren, wie die Benutzer damit arbeiten sollen. Wenn es an dem Computerkonto scheitert, komme ich der Sache zumindest ein kleines Stückchen näher.

Besten Dank! face-smile

Gruß
AS
aqui
aqui 10.11.2024 um 11:59:04 Uhr
Goto Top
Wenn es das denn nun war bitte nicht vergessen deinen Thread als erledigt zu schliessen.
Wie kann ich einen Beitrag als gelöst markieren?