abstracktersystemimperator
Goto Top

GPOs überprüfen, warum die GPOs nicht greifen

Moin zusammen,

ich stehe vor einer erneuten großen Herausforderung und zwar geht es um das Thema "Gruppenrichtlinien". Ich habe die Gruppenrichtlinien jeweils nach besten Gewissen und handeln, konfiguriert. Im Netz befinden sich zu diversen GPO's auch eine Anleitung.
Ich stelle leider fest, dass die Gruppenrichtlinien nicht greifen.

Aktuell scheitert es daran, dass ich gerne Office 365 via GPO einheitlich behandeln möchte, sodass die User nicht eigenständig ein Update installieren können.

Was ich bereits geprüft habe;
-> Replizierungsprobleme gibt es nicht. (Wobei ich mich nicht auf die Aussage verlassen möchte...)
-> gpudate /force sowohl auf dem DC als auch an meinem Testclient erbrachten keinen Erfolg. Wobei hin und wieder erhalte ich nach dem Befehl, dass es zu Fehlermeldungen gekommen ist.

"Die Computerrichtlinie konnte nicht erfolgreich aktualisiert werden. Folgende Probleme sind aufgetreten:

Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die Datei "\\meinedomäne\SysVol\meine Domäne\Policies\{9631CE80-CE67-4D79-A692-7A5D3F54B589}\gpt.ini" von einem Domänencontroller zu lesen, war nicht erfolgreich. Die Gruppenrichtlinieneinstellungen dürfen nicht angewendet werden, bis dieses Ereignis behoben ist. Dies ist möglicherweise ein vorübergehendes Problem, das mindestens eine der folgenden Ursachen haben kann:
a) Namensauflösung/Netzwerkverbindung mit dem aktuellen Domänencontroller.
b) Wartezeit des Dateireplikationsdienstes (eine auf einem anderen Domänencontroller erstellte Datei hat nicht auf dem aktuellen Domänencontroller repliziert).
c) Der DFS-Client (Distributed File System) wurde deaktiviert.
Die Aktualisierung der Benutzerrichtlinie wurde erfolgreich abgeschlossen.

Lesen Sie zur Fehlerdiagnose das Ereignisprotokoll, oder führen Sie den Befehl "GPRESULT /H GPReport.html" aus, um auf Informationen über Gruppenrichtlinienergebnisse zuzugreifen.
"

Führe ich den genannten Befehl aus, kann ich damit selbst nichts anfangen.

Variante a & b könnte eine Ursache sein, da die beiden Controller nicht mehr bei mir vor Ort stehen, sondern in unserem HQ. DFS-Client ist aktiv.

Wie aktuell meine Struktur aussieht;

Auf meinem DC gibt es eine OU "Clients". Dort sind alle Computer-Konten enthalten. Dementsprechend wechselte ich zu der Gruppenrichtlinienverwaltung, konfigurierte die GPO "Office 365 Updates" und verknüpfte diese mit der OU "Clients".
In der Sicherheitsfilterung befindet sich die Authentifitierten Benutzer.

Von meinem gefährlichen Halbwissen dachte ich, es wäre eine Computer-GPO, die pro Rechner greifen soll, nicht pro User. Testweise packte ich da auch meinen Testclient rein, aber auch da Griff die GPO nicht.

Ich kann gerne ein Bild zur Verfügung stellen.

Als kleine und wichtige Ergänzung noch, damit euch nicht gleich asap die Haare zu Berge stehen werden face-smile ;

1) Ich habe das Netzwerk, was aktuell so läuft, von dem damaligen Quereinsteiger übernommen, der wiederum parallel mit dem damaligen Dienstleister zusammen gearbeitet hatte.
2) Es ist korrekt, dass mir das tiefgreifende Wissen fehlt, weshalb ich die Anweisung erhalten habe, mich darum zu kümmern, dass es läuft.
3) Ich halte Punkt 2 für "gefährlich", aber auch als Herausforderung und Weiterbildung zu gleich.
4) Ich habe trotzdem sicherheitshalber mehrfach um Unterstützung gebeten, die aus Kostengründen eingespart werden, weil mein Ansprechpartner, der ein absoluter vollblut Netzwerker ist, zu teuer ist und dem gekündigt wurde.

Ich bin daher für jeden Hinweis, Tipp etc. sehr dankbar! face-smile

VG!
AS
Kommentar vom Moderator tomolpi am 31.10.2024 um 16:39:04 Uhr
Beitragssprache auf "Deutsch" geändert

Content-ID: 669173

Url: https://administrator.de/contentid/669173

Ausgedruckt am: 31.10.2024 um 18:10 Uhr

kpunkt
kpunkt 31.10.2024 aktualisiert um 16:39:12 Uhr
Goto Top
Nichtgreifende GPOs sind in der regel ein Berechtigungsproblem oder die GPO wurde den User zugewiesen, müsste aber den Computern zugewiesen werden oder anders rum.

Gpresult ist schon mal der erste Weg, um zu sehen, ob die GPO greift. Ich nehme stark an, dass du die html angesehen hast. Was genau ist da das Problem, dass du damit nix anfangen kannst?

BTW kannst du den Beitrag so ändern, dass er nicht mehr als englischsprachiger Beitrag gekennzeichnet ist?
AbstrackterSystemimperator
AbstrackterSystemimperator 31.10.2024 aktualisiert um 16:39:12 Uhr
Goto Top
Hey @kpunkt

vielen Dank für deine Antwort! face-smile

kpunkt Oct 31, 2024 at 13:59:19 (UTC)
Nichtgreifende GPOs sind in der regel ein Berechtigungsproblem oder die GPO wurde den User zugewiesen, müsste aber den Computern zugewiesen werden oder anders rum.

Okey, danke für den Tipp!
Doofe Frage... wie kriege ich für die Zukunft heraus, ob die GPO für die User oder für die Computer ist?

Gpresult ist schon mal der erste Weg, um zu sehen, ob die GPO greift. Ich nehme stark an, dass du die html angesehen hast. Was genau ist da das Problem, dass du damit nix anfangen kannst?

Ich habe das aktuelle File nun geöffnet. Lt. dem File wird zwar die GPO angewendet, aber lt. der o.g. genannten Fehlermeldung wiederum nicht.
Klicke ich nun dort auf die Fehlermeldungen, erhalte ich genau das selbe, was ich oben geschrieben habe. face-sad

Was ich auf jeden Fall noch mal machen werde, dass ich es nächste Woche im Meeting ansprechen werde, dass die GPOs nicht so laufen und ich dort Unterstützung benötigte.

Aufgeben ist für mich keine Option. Learning by doing ist meine grundsätzliche Einstellung dazu.
kpunkt
kpunkt 31.10.2024 aktualisiert um 16:39:12 Uhr
Goto Top
Quote from @AbstrackterSystemimperator:

Doofe Frage... wie kriege ich für die Zukunft heraus, ob die GPO für die User oder für die Computer ist?
Sieht man direkt daran, wo man die Einstellungen tätigt. Computer oder Benutzer.
2024-10-31 15_17_26-gruppenrichtlinienverwaltungs-editor

Ich habe das aktuelle File nun geöffnet. Lt. dem File wird zwar die GPO angewendet, aber lt. der o.g. genannten Fehlermeldung wiederum nicht.
Die obige Fehlermeldung sagt ja, dass die GPO nicht gelesen werden kann. Einfach mal schauen, ob du vom User aus auf die Freigabe kommst. Wenn nicht, brauchst du da eine Berechtigung.
Oder es liegt dann wirklich an der Namensauflösung oder an der Replikation.
em-pie
em-pie 31.10.2024 aktualisiert um 16:39:12 Uhr
Goto Top
Neben der korrekten Zuordnung musst du auch Sicherstellen, dass unter "Delegation" die Authentifizierten Benutzer (lesend) enthalten sind.
Sonst kann der PC/ der User die Inhalte unter "Sicherheitsfilterung" nicht lesen und wird die GPO noch weniger anwenden.


Ferner: welche MS365-Version setzt ihr ein?
Mit den Business Standard/ Premium greifen standardmäßig keine GPOs. MS will, dass ihr das bei der Installation per XML macht. Mit "Umwegen" ginge es dennoch:
https://www.gruppenrichtlinien.de/artikel/office-365-business-und-premiu ...
aqui
aqui 31.10.2024 aktualisiert um 16:39:12 Uhr
Goto Top
Bitte das nächste Mal einen deutschen Beitrag auch in der deutschen Rubrik posten und nicht in der Englischen!! 😡
eng
Man muss schon ziemliche 🍅 auf den 👀 haben um das zu übersehen bevor man es in die Welt raushaut! face-sad