GPOs werden aus OU nur teilweise gezogen
Hallo Gemeinde,
ich habe folgendes Problem:
ich habe in den GPOs mir OU gemacht und einige Windows Maschinen da reingestopft. Die OU hat den Zweck dass da eine bestimmte Software installiert wird (msi). So jetzt habe ich aber festgestellt dass bei einigen wenigen Maschinen die installiert wird aber bei den anderen eben nicht.
Was könnte ich übersehen haben oder worauf muss ich noch schauen? Oder warum geht es bei den einen und den anderen nicht?
Die Rechner sind alle in der selben Domäne drinnen waren aber vorher in einer anderen OU.
ich habe folgendes Problem:
ich habe in den GPOs mir OU gemacht und einige Windows Maschinen da reingestopft. Die OU hat den Zweck dass da eine bestimmte Software installiert wird (msi). So jetzt habe ich aber festgestellt dass bei einigen wenigen Maschinen die installiert wird aber bei den anderen eben nicht.
Was könnte ich übersehen haben oder worauf muss ich noch schauen? Oder warum geht es bei den einen und den anderen nicht?
Die Rechner sind alle in der selben Domäne drinnen waren aber vorher in einer anderen OU.
Please also mark the comments that contributed to the solution of the article
Content-ID: 669807
Url: https://administrator.de/contentid/669807
Printed on: December 7, 2024 at 18:12 o'clock
15 Comments
Latest comment
Du kannst dir keine "OUs in GPOs machen". Du kannst GPOs anlegen und mit OUs verknüpfen. Die GPO wird dann auf Geräte bzw. Benutzer in der OU angewandt (oder auf Geräte/Benutzer in einer untergeordneten OU). Der Computer muss Leserechte auf die GPO haben, auch wenn es sich um eine User-Einstellung in der OU handelt. Auch sonst kann man noch einige Dinge (falsch) machen, wie z.B. WMI Filter setzen, etc.
gpresult ist dein Freund.
Die GPO muss auf dem Gerät auch angewandt werden, gpupdate ist dein Freund.
gpresult ist dein Freund.
Die GPO muss auf dem Gerät auch angewandt werden, gpupdate ist dein Freund.
in der OU Test_Software_Install ist natürlich die GPO zum installieren der Software drinnen.
Sie ist dort verknüpft, kleiner aber feiner Unterschied. Alle GPOs sind unter "Gruppenrichtlinienobjekte" aufgelistet und liegen dort, sie können mit der ganzen Domäne und mit allen OUs verknüpft werden, auch mehrfach gleichzeitig.Und ich bin davon ausgegangen dass, wenn ich einen Rechner in der Domäne habe dass er die GPOs lesen kann. Eine VM die auch zum testen genommen habe kann es ....
Nein. Ein Computer-Objekt (Rechner, VM) liegt tatsächlich in einer OU und auch immer nur in einer OU gleichzeitig. Ein Computer wendet alle GPOs an, die in seiner OU, einer OU oberhalb seiner OU oder mit der ganzen Domain verknüpft wurden. Übrigens auch in der Reihenfolge.Der Computer kann die GPOs, die für ihn bestimmt sind, nur anwenden, wenn er Leserechte auf die GPO hat. Sonst kann er die Einstellung nicht auslesen. Leserechte sind nicht automatisch gegeben. I.d.R. steht in der GPO was von "authentifizierte Benutzer", das schließt alle Domain-Computer-Konten mit ein. Muss aber nicht zwangsläufig gesetzt sein.
Mir fällt da gerade was ein, kann es sein dass es damit zusammenhängt dass die Rechner nicht im selben netz sind?
brauchen die GPOs für das installieren spezielle Ports?
Sie müssen mit dem DC sprechen dürfen, so sind sie ja auch irgendwann mal Domain-Member geworden.Edit: https://activedirectorypro.com/active-directory-ports-used-client-to-ser ...
Weil die GPOs in der obersten Ebene ziehen ja überall.
Ja siehe oben. GPOs die nur auf OUs hängen werden aber nur von Geräten in den OUs gezogen.Ich bin etwas verwirrt.
Ja dir fehlen absolute Basics.
Okay
Geht das nicht umgekehrt? Zuerst die Domäne, dann die OUs durch bis zum Client?
@foto2004
Was sagt ein rsop.msc auf der Kommandozeile? Nachdem es eine ComputerGPO ist, als Admin ausführen.
Zitat von @ukulele-7:
Ein Computer wendet alle GPOs an, die in seiner OU, einer OU oberhalb seiner OU oder mit der ganzen Domain verknüpft wurden. Übrigens auch in der Reihenfolge.
Ein Computer wendet alle GPOs an, die in seiner OU, einer OU oberhalb seiner OU oder mit der ganzen Domain verknüpft wurden. Übrigens auch in der Reihenfolge.
Geht das nicht umgekehrt? Zuerst die Domäne, dann die OUs durch bis zum Client?
@foto2004
Was sagt ein rsop.msc auf der Kommandozeile? Nachdem es eine ComputerGPO ist, als Admin ausführen.
Moin,
Poste doch bitte mal das Ergebnis von gpresult von deiner Test-Machine.
lg,
Slainte
in der OU Test_Software_Install ist natürlich die GPO zum installieren der Software drinnen.
Also lt. deinem Screenshot ist sie das nicht - die genannte OU hat keinen "Zeiger" für's ausklappen. Ergo ist auch keine GPO mit ihr verknüpft - die GPO wird normalerweise unterhalb der OU an der sie verlinkt ist angezeigt.Poste doch bitte mal das Ergebnis von gpresult von deiner Test-Machine.
lg,
Slainte
2 Paar Schuhe
1x GPO und deren Anwendung
1x Software-Installation ausführen
Für die Ausführung der Installation muss
E.
1x GPO und deren Anwendung
1x Software-Installation ausführen
Für die Ausführung der Installation muss
- der Client netzwerktechnich an die Freigabe kommen - Routing, Firewall-Regeln
- das AD-Computerobjekt des Clients benötigt Lese-Rechte für die Installationsdateien
- das Installationspaket muss kompatibel sein mit dem OS des Clients
- das Netzwerk muss schnell genug online sein
- beachte hier die Richtlinie "Bei Neustart und Anmeldung immer auf das Netzwerk warten"
E.
Moin
Fassen wir doch mal zusammen: Die GPO scheint auf den Rechnern anzukommen. Sonst gäbe es nicht im eventlog entsprechende Einträge.
Ich tippe mal eher auf fehlendes Netzerk und/oder unpassendes Timing.
Konfiguriere mal folgendes für die Arbeitsplätze:
Computerkonfiguration\Administrative Vorlagen\System\Anmelden --> “Beim Neustarten des Computers und bei der Anmeldung immer auf das Netzwerk warten”
Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie --> "Wartezeit für Richtlinienverarbeitung beim Systemstart angeben" mit Werten zwischen 60 und 120
Und mal ganz grundsätzlich: Nur wenn man eine GPO wirklich für die ganze Domäne einstellen will, konfiguriert man sie im Stamm der Domäne. GPOs, die nur für Computer oder Benutzer gelten sollen, konfiguriert man auf der entsprechenden OU.
Um dem Problem mit neu aufgenommenen PCs (die sonst immer in "Computers" landen) zu entgehen, verbiegt man mit redircmp die Standard-OU, in der neue Computerkonten erstellt werden. vgl: https://www.windows-faq.de/2013/06/26/mit-redircmp-computer-standart-ou- ...
Gruß
Fassen wir doch mal zusammen: Die GPO scheint auf den Rechnern anzukommen. Sonst gäbe es nicht im eventlog entsprechende Einträge.
Ich tippe mal eher auf fehlendes Netzerk und/oder unpassendes Timing.
Konfiguriere mal folgendes für die Arbeitsplätze:
Computerkonfiguration\Administrative Vorlagen\System\Anmelden --> “Beim Neustarten des Computers und bei der Anmeldung immer auf das Netzwerk warten”
Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie --> "Wartezeit für Richtlinienverarbeitung beim Systemstart angeben" mit Werten zwischen 60 und 120
Und mal ganz grundsätzlich: Nur wenn man eine GPO wirklich für die ganze Domäne einstellen will, konfiguriert man sie im Stamm der Domäne. GPOs, die nur für Computer oder Benutzer gelten sollen, konfiguriert man auf der entsprechenden OU.
Um dem Problem mit neu aufgenommenen PCs (die sonst immer in "Computers" landen) zu entgehen, verbiegt man mit redircmp die Standard-OU, in der neue Computerkonten erstellt werden. vgl: https://www.windows-faq.de/2013/06/26/mit-redircmp-computer-standart-ou- ...
Gruß
Zitat von @Franz-Josef-II:
Okay
Geht das nicht umgekehrt? Zuerst die Domäne, dann die OUs durch bis zum Client?
Stimmt, mein Fehler. Es empfiehlt sich, wenn die Reihenfolge eine Rolle spielt, sich immer wieder vorher zu vergewissern:Okay
Zitat von @ukulele-7:
Ein Computer wendet alle GPOs an, die in seiner OU, einer OU oberhalb seiner OU oder mit der ganzen Domain verknüpft wurden. Übrigens auch in der Reihenfolge.
Ein Computer wendet alle GPOs an, die in seiner OU, einer OU oberhalb seiner OU oder mit der ganzen Domain verknüpft wurden. Übrigens auch in der Reihenfolge.
Geht das nicht umgekehrt? Zuerst die Domäne, dann die OUs durch bis zum Client?
https://www.gruppenrichtlinien.de/artikel/vererbung-und-hierarchien
Ausprobieren ist bei GPOs sehr frustrierend
Zitat von @foto2004:
Übrigens finde ich von PDQ Deploy keine kostenlos Variante
Testversion installieren, nach 14 Tagen wird es dann automatisch zur kostenlosen Variante. Die ist zwar deutlich eingeschränkt, aber man kann recht einfach Pakete selbst erstellen und verteilen.Zitat von @Franz-Josef-II:
Geht das nicht umgekehrt? Zuerst die Domäne, dann die OUs durch bis zum Client?
Und weil ich ja nun mal gerne Klugsch*... Auch das ist nicht ganz korrekt...Geht das nicht umgekehrt? Zuerst die Domäne, dann die OUs durch bis zum Client?
Verarbeitet werden Richtlinien wie folgt:
- Lokale Richtlinie
- Standortrichtlinien
- Domänenrichtlinien
- OU-Richtlinien von der übergeordneten abwärts durch die OUs.
Das ist korrekt 😊 Nur
1) Zwischen Klugsch*... und der Korrektur einer Falschaussage ist ein kleiner Unterschied. Wobei ich ihm keinen Vorwurf mache, ich habe mich auch schon verschrieben. Kann, soll aber nicht passieren.
2) Ich fange da jetzt nicht bei der Installation von MS-DOS an 😂 Ich habe eben nur etwas korrigiert, das man eben so nicht stehenlassen kann.