9
Gruppenrichtlinie für Benutzer greift nur auf Domänen Ebene
Hallo,
habe hier ein Problem was uns schon länger beschäftigt.
Wir haben eine Windows 2008 Domäne mit dem Domänenlevel "Windows 2008 R2" und drei DC.
Alle Benutzer werden in eine OU "Company User" von uns geschoben die direkt unter der Domäne "Company" liegt.
Die dazugehörigen Computer werden nach Standort aufgeteilt und in die jeweilige OU geschoben z.b. so:
Company -> Germany -> Hamburg -> Computers -> Desktops
Folgende Gruppenrichtlinien hängen an den OU:
Company
- Default Domain Policy
- Outlook Settings
- Kerberos Token Size
Company\Germany\Hamburg\Computers
- Proxy
Company User
- Network Drive Mapping F
Bis Freitag hat auch alles funktioniert, am Montag bekam keiner mehr das Laufwerk F verbunden. Die Richtlinie tauchte auch nicht im gpresult auf, alle anderen schon.
Wir haben jetzt rausgefunden, dass wenn wir die Richtlinie "Network Drive Mapping F" entweder auf Domänenebene oder an die OU "Company\Germany\Hamburg\Computers" verlinken es funktioniert. Ebenso wenn der Computer im Container "Computers" steht.
Sobald aber die Richtlinie für sich allein steht funktioniert es nicht mehr und wir wissen nicht wieso.
Selbst im Group Policy Results wird sie nicht angezeigt, nur in der Modellierung.
In der Richtlinie ist GPP aktiviert für Laufwerk F mit Targeting als Update, also ausschließlich eine User Konfiguration. Das "Security Filtering" steht auf "Authenticated User" und die Rechte dafür sind mit "Read" und "Apply Group Policy" richtig gesetzt.
Wir haben alles möglich probiert:
- gpresult
- gpotool.exe mit /checkacl
- RSOP
- User in neue und andere OU
- Computer in neue und andere OU
- Neue GPO erstellt und an OU verlinkt -> gleiches Resultat
- Loopback Modus
- geprüft ob "Apply once and don not Reapply" aktiv ist und Registrierungsschlüssel geprüft
- UserENV Logging, kein Eintrag der Policy
- Replikation mit repadmin geprüft
- Sicherheits- und Freigabeeinstellungen auf Sysvol Ordner geprüft
- Reconnect Haken ist in der GPO nicht gesetzt
- Keine Event Log Einträge für fehlerhafte Übernahme oder Zugriff verweigert
Mit "net use" können wir die Freigaben verbinden, der User hat alle Zugriffsrechte.
Weiß noch einer einen Rat?
habe hier ein Problem was uns schon länger beschäftigt.
Wir haben eine Windows 2008 Domäne mit dem Domänenlevel "Windows 2008 R2" und drei DC.
Alle Benutzer werden in eine OU "Company User" von uns geschoben die direkt unter der Domäne "Company" liegt.
Die dazugehörigen Computer werden nach Standort aufgeteilt und in die jeweilige OU geschoben z.b. so:
Company -> Germany -> Hamburg -> Computers -> Desktops
Folgende Gruppenrichtlinien hängen an den OU:
Company
- Default Domain Policy
- Outlook Settings
- Kerberos Token Size
Company\Germany\Hamburg\Computers
- Proxy
Company User
- Network Drive Mapping F
Bis Freitag hat auch alles funktioniert, am Montag bekam keiner mehr das Laufwerk F verbunden. Die Richtlinie tauchte auch nicht im gpresult auf, alle anderen schon.
Wir haben jetzt rausgefunden, dass wenn wir die Richtlinie "Network Drive Mapping F" entweder auf Domänenebene oder an die OU "Company\Germany\Hamburg\Computers" verlinken es funktioniert. Ebenso wenn der Computer im Container "Computers" steht.
Sobald aber die Richtlinie für sich allein steht funktioniert es nicht mehr und wir wissen nicht wieso.
Selbst im Group Policy Results wird sie nicht angezeigt, nur in der Modellierung.
In der Richtlinie ist GPP aktiviert für Laufwerk F mit Targeting als Update, also ausschließlich eine User Konfiguration. Das "Security Filtering" steht auf "Authenticated User" und die Rechte dafür sind mit "Read" und "Apply Group Policy" richtig gesetzt.
Wir haben alles möglich probiert:
- gpresult
- gpotool.exe mit /checkacl
- RSOP
- User in neue und andere OU
- Computer in neue und andere OU
- Neue GPO erstellt und an OU verlinkt -> gleiches Resultat
- Loopback Modus
- geprüft ob "Apply once and don not Reapply" aktiv ist und Registrierungsschlüssel geprüft
- UserENV Logging, kein Eintrag der Policy
- Replikation mit repadmin geprüft
- Sicherheits- und Freigabeeinstellungen auf Sysvol Ordner geprüft
- Reconnect Haken ist in der GPO nicht gesetzt
- Keine Event Log Einträge für fehlerhafte Übernahme oder Zugriff verweigert
Mit "net use" können wir die Freigaben verbinden, der User hat alle Zugriffsrechte.
Weiß noch einer einen Rat?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 195831
Url: https://administrator.de/contentid/195831
Ausgedruckt am: 25.11.2024 um 10:11 Uhr
9 Kommentare
Neuester Kommentar
Hi,
was ich jetzt nicht rauslesen kann, wo und wie ihr in der Policy das Mapping des Laufwerks F definiert habt?
Gruß
Marcus
was ich jetzt nicht rauslesen kann, wo und wie ihr in der Policy das Mapping des Laufwerks F definiert habt?
Gruß
Marcus
@Onitnarat
ist die GPO so eingestellt das sie bei Fehler abbricht? Wird die Verbindung beim ausloggen des Benutzers getrennt? Habt ihr es schon mit ersetzen probiert.
Company User
- Network Drive Mapping F
Bis Freitag hat auch alles funktioniert, am Montag bekam keiner mehr das Laufwerk F verbunden. Die Richtlinie tauchte...
- Network Drive Mapping F
Bis Freitag hat auch alles funktioniert, am Montag bekam keiner mehr das Laufwerk F verbunden. Die Richtlinie tauchte...
ist die GPO so eingestellt das sie bei Fehler abbricht? Wird die Verbindung beim ausloggen des Benutzers getrennt? Habt ihr es schon mit ersetzen probiert.
@B4ZTI4N
Offensichtlich habe ich mich nicht verständlich ausgedrückt. Was ich meinte war, wo in der Policy das definiert wird (Computer- oder Benutzerkonfiguration) und wie es gemacht wird...per Skript oder per Windows-Einstellung.
Ich hoffe das ist klarer?
Gruß
Marcus
Offensichtlich habe ich mich nicht verständlich ausgedrückt. Was ich meinte war, wo in der Policy das definiert wird (Computer- oder Benutzerkonfiguration) und wie es gemacht wird...per Skript oder per Windows-Einstellung.
Ich hoffe das ist klarer?
Gruß
Marcus
@Onitnarat
Das wird direkt in der Policy eingestellt über Preferences (Benutzereinstellungen), es läuft kein Script im Hintergrund.
User Configruation -> Preferences -> Windows Settings -> Drive Maps
Das wird direkt in der Policy eingestellt über Preferences (Benutzereinstellungen), es läuft kein Script im Hintergrund.
User Configruation -> Preferences -> Windows Settings -> Drive Maps
Zitat von @B4ZTI4N:
@Onitnarat
> Company User
> - Network Drive Mapping F
>
> Bis Freitag hat auch alles funktioniert, am Montag bekam keiner mehr das Laufwerk F verbunden. Die Richtlinie tauchte...
ist die GPO so eingestellt das sie bei Fehler abbricht? Wird die Verbindung beim ausloggen des Benutzers getrennt? Habt ihr es
schon mit ersetzen probiert.
@Onitnarat
> Company User
> - Network Drive Mapping F
>
> Bis Freitag hat auch alles funktioniert, am Montag bekam keiner mehr das Laufwerk F verbunden. Die Richtlinie tauchte...
ist die GPO so eingestellt das sie bei Fehler abbricht? Wird die Verbindung beim ausloggen des Benutzers getrennt? Habt ihr es
schon mit ersetzen probiert.
Ja mit Ersetzen haben wir es schon probiert, da taucht das gleiche Problem auf.
Wie stellt man denn eine GPO ein das Sie bei Fehler abbricht?
Übrigens funktioniert es ein- zweimal und danach tauchen die Laufwerke nicht mehr auf.
Beim Ausloggen werden die Laufwerke getrennt, da wir di Option persistent auf no eingestellt haben.
@Komabaer
dort wo du das ersetzen einstellst, dort wird auch auf der nächsten Registerkarte festgelegt wie sie sich bei Fehlern verhalten soll. Hattet ihr nicht gesagt das die Drivemaps in der gpo eingestellt habt. Meines wissens nach gibts das persistent (aus batchdateien bekannt) dort nicht. Ich selbst hatte den Fall das er bei einigen nicht richtig trennt und dann Problemen beim neuverbinden hat. Was habt ihr noch probiert?
dort wo du das ersetzen einstellst, dort wird auch auf der nächsten Registerkarte festgelegt wie sie sich bei Fehlern verhalten soll. Hattet ihr nicht gesagt das die Drivemaps in der gpo eingestellt habt. Meines wissens nach gibts das persistent (aus batchdateien bekannt) dort nicht. Ich selbst hatte den Fall das er bei einigen nicht richtig trennt und dann Problemen beim neuverbinden hat. Was habt ihr noch probiert?
@B4ZTI4N
Du meinst den Reiter Common?
Da ist außer der letzten Option "Item-level targeting" nichts weiter aktiviert.
Ja die Drive Maps gehen über Gpo und da gibt es Persistent nicht, das ist korrekt.
Nun, trennen tut er augenscheinlich schon richtig, weil die Laufwerke unter dem Explorer nicht erscheinen und wir auch manuell mit der Hand getrennt haben.
Wir haben jetzt eine neue OU erstellt mit den gleichen Unterstrukturen wie die OU in der die Laufwerke nicht gemappt werden, aber auch hier keine Veränderung.
Es sscheint wirklich so zu sein, dass die Richtlinie auch auf den OU in der der Computer steht angewendet werden muss, sonst funktioniert sie nicht.
Du meinst den Reiter Common?
Da ist außer der letzten Option "Item-level targeting" nichts weiter aktiviert.
Ja die Drive Maps gehen über Gpo und da gibt es Persistent nicht, das ist korrekt.
Nun, trennen tut er augenscheinlich schon richtig, weil die Laufwerke unter dem Explorer nicht erscheinen und wir auch manuell mit der Hand getrennt haben.
Wir haben jetzt eine neue OU erstellt mit den gleichen Unterstrukturen wie die OU in der die Laufwerke nicht gemappt werden, aber auch hier keine Veränderung.
Es sscheint wirklich so zu sein, dass die Richtlinie auch auf den OU in der der Computer steht angewendet werden muss, sonst funktioniert sie nicht.
Habt ihr bei der GPO den Punkt Verbindung wiederherstellen mit angeben? Sonst wird sie ja nur einmal verarbeitet.
Zitat von @B4ZTI4N:
Habt ihr bei der GPO den Punkt Verbindung wiederherstellen mit angeben? Sonst wird sie ja nur einmal verarbeitet.
Habt ihr bei der GPO den Punkt Verbindung wiederherstellen mit angeben? Sonst wird sie ja nur einmal verarbeitet.
Du meinst den Punkt "Reconnect"? Nein die Option ist nicht ausgewählt.
Die Richtlinie kommt ja nichtmal bei dem Client an, kein gpresult oder sonsteine Einstellung zeigt diese auf dem Client an. Es ist so als ob diese nicht für den Benutzer greift, dabei ist es eine reine Benutzereinstellung.
Im Internet habe ich schon was von Scope of Management gelesen, konnte damit aber auch nicht viel anfangen.
