8
Gruppenmitgliedschaft für Domänencomputer wird nicht aktualisiert
Hallo liebe Kollegen,
ich habe folgendes Szenario:
Ich möchte im Netzwerk auf einigen Clients eine Software verteilen. Dazu habe ich im Active Directory eine lokale Sicherheitsgruppe erstellt, in der die Clients Mitglied sind.
Unser Tool für die Softwareverteilung (Desktop Authority) führt den Befehl für die Installation genau für diese Gruppe aus.
Das Problem ist:
Manche Clients bekommen partout die Information der neuen Gruppenmitgliedschaft nicht mit. Auch nach mehrfachem "gpupdate /force" und Reboot zeigt mir "gpresult /r" (als Admin ausgeführt) unter "Der Computer ist Mitglied der folgenden Sicherheitsgruppen" die entsprechende Gruppe nicht an.
Nach ungefähr einem Tag funktioniert dann die Installation plötzlich.
Es scheint so, als ob ein Timeout erreicht sein muss, damit der Client sich die Information der Gruppenmitgliedschaft neu holt.
Auf anderen Geräten wiederum klappt es problemlos (nach gpupdate /force und Reboot).
Das Problem betrifft sowohl Windows 10 (Build 16299.431), als auch Windows 7.
Ich habe auch überprüft, dass beide DCs die Gruppenmitgliedschaft korrekt anzeigen.
Gibt es einen Befehl, wie ich die Neuabfrage der Gruppenmitgliedschaft erzwingen kann?
VG kleinerbub
ich habe folgendes Szenario:
Ich möchte im Netzwerk auf einigen Clients eine Software verteilen. Dazu habe ich im Active Directory eine lokale Sicherheitsgruppe erstellt, in der die Clients Mitglied sind.
Unser Tool für die Softwareverteilung (Desktop Authority) führt den Befehl für die Installation genau für diese Gruppe aus.
Das Problem ist:
Manche Clients bekommen partout die Information der neuen Gruppenmitgliedschaft nicht mit. Auch nach mehrfachem "gpupdate /force" und Reboot zeigt mir "gpresult /r" (als Admin ausgeführt) unter "Der Computer ist Mitglied der folgenden Sicherheitsgruppen" die entsprechende Gruppe nicht an.
Nach ungefähr einem Tag funktioniert dann die Installation plötzlich.
Es scheint so, als ob ein Timeout erreicht sein muss, damit der Client sich die Information der Gruppenmitgliedschaft neu holt.
Auf anderen Geräten wiederum klappt es problemlos (nach gpupdate /force und Reboot).
Das Problem betrifft sowohl Windows 10 (Build 16299.431), als auch Windows 7.
Ich habe auch überprüft, dass beide DCs die Gruppenmitgliedschaft korrekt anzeigen.
Gibt es einen Befehl, wie ich die Neuabfrage der Gruppenmitgliedschaft erzwingen kann?
VG kleinerbub
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 526792
Url: https://administrator.de/contentid/526792
Printed on: April 26, 2024 at 22:04 o'clock
8 Comments
Latest comment
Manuell erzwingen kann man die Erneuerung des Kerberos Tickets des Computers mit
Das ist aber die Holzhammer-Methode, ansonsten erneuert ein Neustart das Token, oder 10 Stunden warten bis die Kerberos Lifetime abgelaufen ist.
klist –li 0x3e7 purge
1
Hi,
Das GPUPDATE aktualisiert keine Gruppenmitgliedschaft.
Bei Windows 10 würde ich entweder den Fast Boot deaktivieren oder den Client explizit herunterfahren und dann neu einschalten. Sonst kommt es bekanntermaßen zu Problemen bei der Anwendung von GPO's, welche ausschließlich beim Start angewendet werden können. Eben z.B. bei Software-Installationen oder Startupscripts.
E.
Das GPUPDATE aktualisiert keine Gruppenmitgliedschaft.
und Reboot
Aber der Neustart. Meines Wissens aktualisieren aber Computer ihre Mitgliedschaft auch ohne Neustart alle 90 (?) Minuten.Bei Windows 10 würde ich entweder den Fast Boot deaktivieren oder den Client explizit herunterfahren und dann neu einschalten. Sonst kommt es bekanntermaßen zu Problemen bei der Anwendung von GPO's, welche ausschließlich beim Start angewendet werden können. Eben z.B. bei Software-Installationen oder Startupscripts.
Nach ungefähr einem Tag funktioniert dann die Installation plötzlich.
s.o.Auf anderen Geräten wiederum klappt es problemlos (nach gpupdate /force und Reboot).
Das GPUPDATE vor dem Reboot kannst Du Dir sparen, weil die geänderte Gruppenmitgliedschaft ja eh noch nicht wirkt.Ich habe auch überprüft, dass beide DCs die Gruppenmitgliedschaft korrekt anzeigen.
Wie hast Du das überprüft?Gibt es einen Befehl, wie ich die Neuabfrage der Gruppenmitgliedschaft erzwingen kann?
Du könntest im SYSTEM-Kontext mit "klist purge" das Ticket löschen. Also z.B. Scheduled Task unter "SYSTEM" ausführen oder mit "PSEXEC -s".E.
Moin
Wie groß ist das Netzwerk? Wieviele DCs?
OK
OK
Das Problem ist:
Manche Clients bekommen partout die Information der neuen Gruppenmitgliedschaft nicht mit. Auch nach mehrfachem "gpupdate /force" und Reboot zeigt mir "gpresult /r" (als Admin ausgeführt) unter "Der Computer ist Mitglied der folgenden Sicherheitsgruppen" die entsprechende Gruppe nicht an.
gpupdate hat mit Gruppenmitgliedschaften nichts zu tun. Das erneuert die Gruppenrichtlinien und nicht die Gruppenmitgliedschaften.
Nach ungefähr einem Tag funktioniert dann die Installation plötzlich.
Aha.
Es scheint so, als ob ein Timeout erreicht sein muss, damit der Client sich die Information der Gruppenmitgliedschaft neu holt.
Auf anderen Geräten wiederum klappt es problemlos (nach gpupdate /force und Reboot).
Das Problem betrifft sowohl Windows 10 (Build 16299.431), als auch Windows 7.
Ich habe auch überprüft, dass beide DCs die Gruppenmitgliedschaft korrekt anzeigen.
Es gibt also zwei DCs. Wie hast Du geprüft, dass beide die Gruppenmitgliedschaft schon repliziert haben?
Liebe Grüße
Erik
Zitat von @kleinerbub:
Hallo liebe Kollegen,
ich habe folgendes Szenario:
Ich möchte im Netzwerk auf einigen Clients eine Software verteilen.
Hallo liebe Kollegen,
ich habe folgendes Szenario:
Ich möchte im Netzwerk auf einigen Clients eine Software verteilen.
Wie groß ist das Netzwerk? Wieviele DCs?
Dazu habe ich im Active Directory eine lokale Sicherheitsgruppe erstellt, in der die Clients Mitglied sind.
OK
Unser Tool für die Softwareverteilung (Desktop Authority) führt den Befehl für die Installation genau für diese Gruppe aus
OK
Das Problem ist:
Manche Clients bekommen partout die Information der neuen Gruppenmitgliedschaft nicht mit. Auch nach mehrfachem "gpupdate /force" und Reboot zeigt mir "gpresult /r" (als Admin ausgeführt) unter "Der Computer ist Mitglied der folgenden Sicherheitsgruppen" die entsprechende Gruppe nicht an.
gpupdate hat mit Gruppenmitgliedschaften nichts zu tun. Das erneuert die Gruppenrichtlinien und nicht die Gruppenmitgliedschaften.
Nach ungefähr einem Tag funktioniert dann die Installation plötzlich.
Aha.
Es scheint so, als ob ein Timeout erreicht sein muss, damit der Client sich die Information der Gruppenmitgliedschaft neu holt.
Auf anderen Geräten wiederum klappt es problemlos (nach gpupdate /force und Reboot).
Das Problem betrifft sowohl Windows 10 (Build 16299.431), als auch Windows 7.
Ich habe auch überprüft, dass beide DCs die Gruppenmitgliedschaft korrekt anzeigen.
Es gibt also zwei DCs. Wie hast Du geprüft, dass beide die Gruppenmitgliedschaft schon repliziert haben?
Liebe Grüße
Erik
Danke für die Hinweise.
klist –li 0x3e7 purge und klist purge hatte ich auch probiert. Allerdings nur im Admin-Kontext.
Brachte beides leider nichts. Ich werde es morgen nochmal als System versuchen.
Und was fast boot anbelangt, das gab's doch unter Windows 7 noch gar nicht. Oder täusch ich mich da? Auf Win7 Clients hatten wir jedenfalls wie beschrieben das selbe Problem.
kleinerbub
klist –li 0x3e7 purge und klist purge hatte ich auch probiert. Allerdings nur im Admin-Kontext.
Brachte beides leider nichts. Ich werde es morgen nochmal als System versuchen.
Und was fast boot anbelangt, das gab's doch unter Windows 7 noch gar nicht. Oder täusch ich mich da? Auf Win7 Clients hatten wir jedenfalls wie beschrieben das selbe Problem.
kleinerbub
Zitat von @kleinerbub:
Und was fast boot anbelangt, das gab's doch unter Windows 7 noch gar nicht. Oder täusch ich mich da? Auf Win7 Clients hatten wir jedenfalls
Das ist richtig. Ich hatte mich ja auch explizit auf Win10 bezogen. Das war nur am Rande bemerkt.Und was fast boot anbelangt, das gab's doch unter Windows 7 noch gar nicht. Oder täusch ich mich da? Auf Win7 Clients hatten wir jedenfalls
Weil es auch mit Win7 nicht funktioniert, tippe ich auf die DC-Replikation.
Wie groß ist das Netzwerk? Wieviele DCs?
~400 Clients, ~80 Server, 2 DCsEs gibt also zwei DCs. Wie hast Du geprüft, dass beide die Gruppenmitgliedschaft schon repliziert haben?
Ich habe auf beiden DCs in "Active Directory-Benutzer und -Computer" in die Gruppe geschaut.Zitat von @kleinerbub:
Ich habe auf beiden DCs in "Active Directory-Benutzer und -Computer" in die Gruppe geschaut.
Das allein reicht nicht. Auch auf einem 2. DC wird diese sich standardmäßig mit dem PDC-Emulator verbinden. Du kannst das von nur einem Computer aus testen, indem Du die MMC der Reihe nach explizit mit jedem DC verbindest.Ich habe auf beiden DCs in "Active Directory-Benutzer und -Computer" in die Gruppe geschaut.
Ja, das ginge auch. Ich habe auf jedem DC aber die mmc direkt mit dem jeweiligen DC verbunden, was im Effekt auf das selbe hinauslaufen sollte.