8
GPOs werden aus OU nur teilweise gezogen
Hallo Gemeinde,
ich habe folgendes Problem:
ich habe in den GPOs mir OU gemacht und einige Windows Maschinen da reingestopft. Die OU hat den Zweck dass da eine bestimmte Software installiert wird (msi). So jetzt habe ich aber festgestellt dass bei einigen wenigen Maschinen die installiert wird aber bei den anderen eben nicht.
Was könnte ich übersehen haben oder worauf muss ich noch schauen? Oder warum geht es bei den einen und den anderen nicht?
Die Rechner sind alle in der selben Domäne drinnen waren aber vorher in einer anderen OU.
ich habe folgendes Problem:
ich habe in den GPOs mir OU gemacht und einige Windows Maschinen da reingestopft. Die OU hat den Zweck dass da eine bestimmte Software installiert wird (msi). So jetzt habe ich aber festgestellt dass bei einigen wenigen Maschinen die installiert wird aber bei den anderen eben nicht.
Was könnte ich übersehen haben oder worauf muss ich noch schauen? Oder warum geht es bei den einen und den anderen nicht?
Die Rechner sind alle in der selben Domäne drinnen waren aber vorher in einer anderen OU.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669807
Url: https://administrator.de/contentid/669807
Ausgedruckt am: 27.11.2024 um 14:11 Uhr
8 Kommentare
Neuester Kommentar
Moin,
was sagt denn ein gpresult?
Kommt die GPO überhaupt auf den Rechnern an, wo es nicht installiert ist?
Und wenn sie ankommt, was sagt das Ereignisprotokoll, warum die GPO nicht verarbeitet wurde?
Gruß
Jasper
was sagt denn ein gpresult?
Kommt die GPO überhaupt auf den Rechnern an, wo es nicht installiert ist?
Und wenn sie ankommt, was sagt das Ereignisprotokoll, warum die GPO nicht verarbeitet wurde?
Gruß
Jasper
1
Du kannst dir keine "OUs in GPOs machen". Du kannst GPOs anlegen und mit OUs verknüpfen. Die GPO wird dann auf Geräte bzw. Benutzer in der OU angewandt (oder auf Geräte/Benutzer in einer untergeordneten OU). Der Computer muss Leserechte auf die GPO haben, auch wenn es sich um eine User-Einstellung in der OU handelt. Auch sonst kann man noch einige Dinge (falsch) machen, wie z.B. WMI Filter setzen, etc.
gpresult ist dein Freund.
Die GPO muss auf dem Gerät auch angewandt werden, gpupdate ist dein Freund.
gpresult ist dein Freund.
Die GPO muss auf dem Gerät auch angewandt werden, gpupdate ist dein Freund.
1
ich habe mir die GPOs so eingerichtet:
in der OU Test_Software_Install ist natürlich die GPO zum installieren der Software drinnen. Und ich bin davon ausgegangen dass, wenn ich einen Rechner in der Domäne habe dass er die GPOs lesen kann. Eine VM die auch zum testen genommen habe kann es ....
Mir fällt da gerade was ein, kann es sein dass es damit zusammenhängt dass die Rechner nicht im selben netz sind? brauchen die GPOs für das installieren spezielle Ports? Weil die GPOs in der obersten Ebene ziehen ja überall.
Ich bin etwas verwirrt.
in der OU Test_Software_Install ist natürlich die GPO zum installieren der Software drinnen. Und ich bin davon ausgegangen dass, wenn ich einen Rechner in der Domäne habe dass er die GPOs lesen kann. Eine VM die auch zum testen genommen habe kann es ....
Mir fällt da gerade was ein, kann es sein dass es damit zusammenhängt dass die Rechner nicht im selben netz sind? brauchen die GPOs für das installieren spezielle Ports? Weil die GPOs in der obersten Ebene ziehen ja überall.
Ich bin etwas verwirrt.
in der OU Test_Software_Install ist natürlich die GPO zum installieren der Software drinnen.
Sie ist dort verknüpft, kleiner aber feiner Unterschied. Alle GPOs sind unter "Gruppenrichtlinienobjekte" aufgelistet und liegen dort, sie können mit der ganzen Domäne und mit allen OUs verknüpft werden, auch mehrfach gleichzeitig.Und ich bin davon ausgegangen dass, wenn ich einen Rechner in der Domäne habe dass er die GPOs lesen kann. Eine VM die auch zum testen genommen habe kann es ....
Nein. Ein Computer-Objekt (Rechner, VM) liegt tatsächlich in einer OU und auch immer nur in einer OU gleichzeitig. Ein Computer wendet alle GPOs an, die in seiner OU, einer OU oberhalb seiner OU oder mit der ganzen Domain verknüpft wurden. Übrigens auch in der Reihenfolge.Der Computer kann die GPOs, die für ihn bestimmt sind, nur anwenden, wenn er Leserechte auf die GPO hat. Sonst kann er die Einstellung nicht auslesen. Leserechte sind nicht automatisch gegeben. I.d.R. steht in der GPO was von "authentifizierte Benutzer", das schließt alle Domain-Computer-Konten mit ein. Muss aber nicht zwangsläufig gesetzt sein.
Mir fällt da gerade was ein, kann es sein dass es damit zusammenhängt dass die Rechner nicht im selben netz sind?
brauchen die GPOs für das installieren spezielle Ports?
Sie müssen mit dem DC sprechen dürfen, so sind sie ja auch irgendwann mal Domain-Member geworden.Edit: https://activedirectorypro.com/active-directory-ports-used-client-to-ser ...
Weil die GPOs in der obersten Ebene ziehen ja überall.
Ja siehe oben. GPOs die nur auf OUs hängen werden aber nur von Geräten in den OUs gezogen.Ich bin etwas verwirrt.
Ja dir fehlen absolute Basics.
ok ja meinte ich dass sie dort verknüpft ist. Ja die Rechner mit denen ich es versuche sind natürlich in der OU drinnen.
übrigens gpresult sagt dass die die GPO noch ausstehend ist und erst Bein neu Start verarbeitet wird.
Aber danach wird nichts installiert nach dem neu Start
übrigens gpresult sagt dass die die GPO noch ausstehend ist und erst Bein neu Start verarbeitet wird.
Aber danach wird nichts installiert nach dem neu Start
Okay
Geht das nicht umgekehrt? Zuerst die Domäne, dann die OUs durch bis zum Client?
@foto2004
Was sagt ein rsop.msc auf der Kommandozeile? Nachdem es eine ComputerGPO ist, als Admin ausführen.
Zitat von @ukulele-7:
Ein Computer wendet alle GPOs an, die in seiner OU, einer OU oberhalb seiner OU oder mit der ganzen Domain verknüpft wurden. Übrigens auch in der Reihenfolge.
Ein Computer wendet alle GPOs an, die in seiner OU, einer OU oberhalb seiner OU oder mit der ganzen Domain verknüpft wurden. Übrigens auch in der Reihenfolge.
Geht das nicht umgekehrt? Zuerst die Domäne, dann die OUs durch bis zum Client?
@foto2004
Was sagt ein rsop.msc auf der Kommandozeile? Nachdem es eine ComputerGPO ist, als Admin ausführen.
Moin,
Poste doch bitte mal das Ergebnis von gpresult von deiner Test-Machine.
lg,
Slainte
in der OU Test_Software_Install ist natürlich die GPO zum installieren der Software drinnen.
Also lt. deinem Screenshot ist sie das nicht - die genannte OU hat keinen "Zeiger" für's ausklappen. Ergo ist auch keine GPO mit ihr verknüpft - die GPO wird normalerweise unterhalb der OU an der sie verlinkt ist angezeigt.Poste doch bitte mal das Ergebnis von gpresult von deiner Test-Machine.
lg,
Slainte
2 Paar Schuhe
1x GPO und deren Anwendung
1x Software-Installation ausführen
Für die Ausführung der Installation muss
E.
1x GPO und deren Anwendung
1x Software-Installation ausführen
Für die Ausführung der Installation muss
- der Client netzwerktechnich an die Freigabe kommen - Routing, Firewall-Regeln
- das AD-Computerobjekt des Clients benötigt Lese-Rechte für die Installationsdateien
- das Installationspaket muss kompatibel sein mit dem OS des Clients
- das Netzwerk muss schnell genug online sein
- beachte hier die Richtlinie "Bei Neustart und Anmeldung immer auf das Netzwerk warten"
E.
