foto2004
Goto Top

GPOs werden aus OU nur teilweise gezogen

Hallo Gemeinde,

ich habe folgendes Problem:

ich habe in den GPOs mir OU gemacht und einige Windows Maschinen da reingestopft. Die OU hat den Zweck dass da eine bestimmte Software installiert wird (msi). So jetzt habe ich aber festgestellt dass bei einigen wenigen Maschinen die installiert wird aber bei den anderen eben nicht.

Was könnte ich übersehen haben oder worauf muss ich noch schauen? Oder warum geht es bei den einen und den anderen nicht?

Die Rechner sind alle in der selben Domäne drinnen waren aber vorher in einer anderen OU.

Content-ID: 669807

Url: https://administrator.de/contentid/669807

Printed on: December 7, 2024 at 18:12 o'clock

JasperBeardley
JasperBeardley Nov 27, 2024 at 11:57:16 (UTC)
Goto Top
Moin,

was sagt denn ein gpresult?
Kommt die GPO überhaupt auf den Rechnern an, wo es nicht installiert ist?

Und wenn sie ankommt, was sagt das Ereignisprotokoll, warum die GPO nicht verarbeitet wurde?

Gruß
Jasper
ukulele-7
ukulele-7 Nov 27, 2024 updated at 12:12:47 (UTC)
Goto Top
Du kannst dir keine "OUs in GPOs machen". Du kannst GPOs anlegen und mit OUs verknüpfen. Die GPO wird dann auf Geräte bzw. Benutzer in der OU angewandt (oder auf Geräte/Benutzer in einer untergeordneten OU). Der Computer muss Leserechte auf die GPO haben, auch wenn es sich um eine User-Einstellung in der OU handelt. Auch sonst kann man noch einige Dinge (falsch) machen, wie z.B. WMI Filter setzen, etc.

gpresult ist dein Freund.

Die GPO muss auf dem Gerät auch angewandt werden, gpupdate ist dein Freund.
foto2004
foto2004 Nov 27, 2024 at 13:35:11 (UTC)
Goto Top
ich habe mir die GPOs so eingerichtet:
screenshot 2024-11-27 141648 kopie

in der OU Test_Software_Install ist natürlich die GPO zum installieren der Software drinnen. Und ich bin davon ausgegangen dass, wenn ich einen Rechner in der Domäne habe dass er die GPOs lesen kann. Eine VM die auch zum testen genommen habe kann es ....

Mir fällt da gerade was ein, kann es sein dass es damit zusammenhängt dass die Rechner nicht im selben netz sind? brauchen die GPOs für das installieren spezielle Ports? Weil die GPOs in der obersten Ebene ziehen ja überall.

Ich bin etwas verwirrt.
ukulele-7
ukulele-7 Nov 27, 2024 updated at 13:51:51 (UTC)
Goto Top
in der OU Test_Software_Install ist natürlich die GPO zum installieren der Software drinnen.
Sie ist dort verknüpft, kleiner aber feiner Unterschied. Alle GPOs sind unter "Gruppenrichtlinienobjekte" aufgelistet und liegen dort, sie können mit der ganzen Domäne und mit allen OUs verknüpft werden, auch mehrfach gleichzeitig.
Und ich bin davon ausgegangen dass, wenn ich einen Rechner in der Domäne habe dass er die GPOs lesen kann. Eine VM die auch zum testen genommen habe kann es ....
Nein. Ein Computer-Objekt (Rechner, VM) liegt tatsächlich in einer OU und auch immer nur in einer OU gleichzeitig. Ein Computer wendet alle GPOs an, die in seiner OU, einer OU oberhalb seiner OU oder mit der ganzen Domain verknüpft wurden. Übrigens auch in der Reihenfolge.

Der Computer kann die GPOs, die für ihn bestimmt sind, nur anwenden, wenn er Leserechte auf die GPO hat. Sonst kann er die Einstellung nicht auslesen. Leserechte sind nicht automatisch gegeben. I.d.R. steht in der GPO was von "authentifizierte Benutzer", das schließt alle Domain-Computer-Konten mit ein. Muss aber nicht zwangsläufig gesetzt sein.

Mir fällt da gerade was ein, kann es sein dass es damit zusammenhängt dass die Rechner nicht im selben netz sind?
Egal.
brauchen die GPOs für das installieren spezielle Ports?
Sie müssen mit dem DC sprechen dürfen, so sind sie ja auch irgendwann mal Domain-Member geworden.

Edit: https://activedirectorypro.com/active-directory-ports-used-client-to-ser ...
Weil die GPOs in der obersten Ebene ziehen ja überall.
Ja siehe oben. GPOs die nur auf OUs hängen werden aber nur von Geräten in den OUs gezogen.
Ich bin etwas verwirrt.
Ja dir fehlen absolute Basics.
foto2004
foto2004 Nov 27, 2024 at 13:59:43 (UTC)
Goto Top
ok ja meinte ich dass sie dort verknüpft ist. Ja die Rechner mit denen ich es versuche sind natürlich in der OU drinnen.

übrigens gpresult sagt dass die die GPO noch ausstehend ist und erst Bein neu Start verarbeitet wird.
Aber danach wird nichts installiert nach dem neu Start
Franz-Josef-II
Franz-Josef-II Nov 27, 2024 updated at 14:05:47 (UTC)
Goto Top
Okay
Zitat von @ukulele-7:
Ein Computer wendet alle GPOs an, die in seiner OU, einer OU oberhalb seiner OU oder mit der ganzen Domain verknüpft wurden. Übrigens auch in der Reihenfolge.

Geht das nicht umgekehrt? Zuerst die Domäne, dann die OUs durch bis zum Client?


@foto2004
Was sagt ein rsop.msc auf der Kommandozeile? Nachdem es eine ComputerGPO ist, als Admin ausführen.
SlainteMhath
SlainteMhath Nov 27, 2024 at 14:06:07 (UTC)
Goto Top
Moin,

in der OU Test_Software_Install ist natürlich die GPO zum installieren der Software drinnen.
Also lt. deinem Screenshot ist sie das nicht - die genannte OU hat keinen "Zeiger" für's ausklappen. Ergo ist auch keine GPO mit ihr verknüpft - die GPO wird normalerweise unterhalb der OU an der sie verlinkt ist angezeigt.

Poste doch bitte mal das Ergebnis von gpresult von deiner Test-Machine.

lg,
Slainte
emeriks
emeriks Nov 27, 2024 updated at 14:21:52 (UTC)
Goto Top
2 Paar Schuhe

1x GPO und deren Anwendung
1x Software-Installation ausführen

Für die Ausführung der Installation muss
  • der Client netzwerktechnich an die Freigabe kommen - Routing, Firewall-Regeln
  • das AD-Computerobjekt des Clients benötigt Lese-Rechte für die Installationsdateien
  • das Installationspaket muss kompatibel sein mit dem OS des Clients
  • das Netzwerk muss schnell genug online sein
    • beachte hier die Richtlinie "Bei Neustart und Anmeldung immer auf das Netzwerk warten"

E.
Hubert.N
Hubert.N Nov 27, 2024 updated at 14:25:34 (UTC)
Goto Top
Moin

Fassen wir doch mal zusammen: Die GPO scheint auf den Rechnern anzukommen. Sonst gäbe es nicht im eventlog entsprechende Einträge.
Ich tippe mal eher auf fehlendes Netzerk und/oder unpassendes Timing.

Konfiguriere mal folgendes für die Arbeitsplätze:
Computerkonfiguration\Administrative Vorlagen\System\Anmelden --> “Beim Neustarten des Computers und bei der Anmeldung immer auf das Netzwerk warten”

Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie --> "Wartezeit für Richtlinienverarbeitung beim Systemstart angeben" mit Werten zwischen 60 und 120


Und mal ganz grundsätzlich: Nur wenn man eine GPO wirklich für die ganze Domäne einstellen will, konfiguriert man sie im Stamm der Domäne. GPOs, die nur für Computer oder Benutzer gelten sollen, konfiguriert man auf der entsprechenden OU.
Um dem Problem mit neu aufgenommenen PCs (die sonst immer in "Computers" landen) zu entgehen, verbiegt man mit redircmp die Standard-OU, in der neue Computerkonten erstellt werden. vgl: https://www.windows-faq.de/2013/06/26/mit-redircmp-computer-standart-ou- ...

Gruß
pebcak7123
pebcak7123 Nov 27, 2024 at 14:31:04 (UTC)
Goto Top
moin,
hätte auch noch was: Software-Installation über GPO ? Einfach sein lassen, ist die grauen Haare nicht wert. Wenn es nur ab und zu mal was sein soll einfach PDQ Deploy in der umsonst Variante benutzen.
ukulele-7
ukulele-7 Nov 27, 2024 at 15:00:28 (UTC)
Goto Top
Zitat von @Franz-Josef-II:

Okay
Zitat von @ukulele-7:
Ein Computer wendet alle GPOs an, die in seiner OU, einer OU oberhalb seiner OU oder mit der ganzen Domain verknüpft wurden. Übrigens auch in der Reihenfolge.

Geht das nicht umgekehrt? Zuerst die Domäne, dann die OUs durch bis zum Client?
Stimmt, mein Fehler. Es empfiehlt sich, wenn die Reihenfolge eine Rolle spielt, sich immer wieder vorher zu vergewissern:
https://www.gruppenrichtlinien.de/artikel/vererbung-und-hierarchien

Ausprobieren ist bei GPOs sehr frustrierend face-wink
foto2004
foto2004 Nov 27, 2024 at 15:16:23 (UTC)
Goto Top
Danke für die vielen Tips, ich taste mich da schon ran. Das mit der Zeit für die Verarbeitung der GPOs könnte mit da tatsächlich reinspielen.

Übrigens finde ich von PDQ Deploy keine kostenlos Variante
pebcak7123
pebcak7123 Nov 27, 2024 at 15:21:41 (UTC)
Goto Top
Zitat von @foto2004:

Übrigens finde ich von PDQ Deploy keine kostenlos Variante
Testversion installieren, nach 14 Tagen wird es dann automatisch zur kostenlosen Variante. Die ist zwar deutlich eingeschränkt, aber man kann recht einfach Pakete selbst erstellen und verteilen.
Hubert.N
Hubert.N Nov 27, 2024 updated at 16:03:42 (UTC)
Goto Top
Zitat von @Franz-Josef-II:
Geht das nicht umgekehrt? Zuerst die Domäne, dann die OUs durch bis zum Client?
Und weil ich ja nun mal gerne Klugsch*... Auch das ist nicht ganz korrekt...

Verarbeitet werden Richtlinien wie folgt:
- Lokale Richtlinie
- Standortrichtlinien
- Domänenrichtlinien
- OU-Richtlinien von der übergeordneten abwärts durch die OUs.
Franz-Josef-II
Franz-Josef-II Nov 28, 2024 at 06:16:10 (UTC)
Goto Top
Zitat von @Hubert.N:
Und weil ich ja nun mal gerne Klugsch*... Auch das ist nicht ganz korrekt...


Das ist korrekt 😊 Nur
1) Zwischen Klugsch*... und der Korrektur einer Falschaussage ist ein kleiner Unterschied. Wobei ich ihm keinen Vorwurf mache, ich habe mich auch schon verschrieben. Kann, soll aber nicht passieren.
2) Ich fange da jetzt nicht bei der Installation von MS-DOS an 😂 Ich habe eben nur etwas korrigiert, das man eben so nicht stehenlassen kann.