Gruppenrichtlinie überschreibt Reg.Schlüssel nicht bei händisch eingetragenen Werten sondern nur durch ein expliztes gpupdate force
Ich habe folgendes Verhalten festgestellt:
Eine Gruppenrichtlinie setzt eine Einstellung auf den Clients. Diese wird korrekt in rsop.msc angezeigt. Auch in der Registry wird der Schlüssel korrekt gesetzt. Soweit, so gut.
Angenommen ich ändere jetzt händisch in der Registry diesen Schlüssel. Leider wird die Gruppenrichtlinie dann nicht übernommen, es sei denn ich mache ein gpupdate /force. Neustart hilft auch nicht und warten auch nicht, der in die Registry hardgecodete Wert wird nicht wieder durch die Domain Gruppenrichtlinie überschrieben.
Interessant: Ändere ich diese Gruppenrichtlinie ab, so wird die Änderung anstandslos, z. B. nach einem Neustart, übernommen. Ich vermute, durch die Änderung wird ein /force erzwungen. Ändere ich in der Registry den Wert direkt, weiß die GPO ja nicht, das der Wert geändert wurde?
Halten wir also fest: Gruppenrichtlinien werden immer übernommen, es sei denn der Schlüssel in der Registry wurde händisch geändert. Die GPO taucht dann zwar im Richtlinienergebnissatz auf, überschreibt aber nicht den geänderten Wert in der Registry. Dann hilft nur ein gpupdate /force. Klar könnte ich gpudate /force jetzt ins loginscript etc. hauen, darum geht es hier jetzt aber nicht. Mich interessiert jetzt das grundsätzliche Verhalten, warum hardgecodete Reg. Schlüssel nur durch ein /force überschrieben werden. Ich dachte immer, ein Neustart macht auch ein gpupdate /force.
Kann mir jemand dieses Verhalten erklären? Haben wir in unserem AD etwas falsch konfiguriert? Wir nutzen ein AD auf einem Win2003Svr. Die Gruppenrichtlinie (in diesem Fall teste ich mit einem dem Einträgen zu WSUS, aber auch bei der Firewall Richtlinie haben wir Probleme) ist in der richtigen OU, der Client zieht die Richtlinie auch (steht ja auch korrekt im Richtlinienergebnissatz).
Vielen Dank für die Antworten.
Eine Gruppenrichtlinie setzt eine Einstellung auf den Clients. Diese wird korrekt in rsop.msc angezeigt. Auch in der Registry wird der Schlüssel korrekt gesetzt. Soweit, so gut.
Angenommen ich ändere jetzt händisch in der Registry diesen Schlüssel. Leider wird die Gruppenrichtlinie dann nicht übernommen, es sei denn ich mache ein gpupdate /force. Neustart hilft auch nicht und warten auch nicht, der in die Registry hardgecodete Wert wird nicht wieder durch die Domain Gruppenrichtlinie überschrieben.
Interessant: Ändere ich diese Gruppenrichtlinie ab, so wird die Änderung anstandslos, z. B. nach einem Neustart, übernommen. Ich vermute, durch die Änderung wird ein /force erzwungen. Ändere ich in der Registry den Wert direkt, weiß die GPO ja nicht, das der Wert geändert wurde?
Halten wir also fest: Gruppenrichtlinien werden immer übernommen, es sei denn der Schlüssel in der Registry wurde händisch geändert. Die GPO taucht dann zwar im Richtlinienergebnissatz auf, überschreibt aber nicht den geänderten Wert in der Registry. Dann hilft nur ein gpupdate /force. Klar könnte ich gpudate /force jetzt ins loginscript etc. hauen, darum geht es hier jetzt aber nicht. Mich interessiert jetzt das grundsätzliche Verhalten, warum hardgecodete Reg. Schlüssel nur durch ein /force überschrieben werden. Ich dachte immer, ein Neustart macht auch ein gpupdate /force.
Kann mir jemand dieses Verhalten erklären? Haben wir in unserem AD etwas falsch konfiguriert? Wir nutzen ein AD auf einem Win2003Svr. Die Gruppenrichtlinie (in diesem Fall teste ich mit einem dem Einträgen zu WSUS, aber auch bei der Firewall Richtlinie haben wir Probleme) ist in der richtigen OU, der Client zieht die Richtlinie auch (steht ja auch korrekt im Richtlinienergebnissatz).
Vielen Dank für die Antworten.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 114116
Url: https://administrator.de/contentid/114116
Ausgedruckt am: 23.11.2024 um 02:11 Uhr
1 Kommentar
wuerde auch mir interessieren, hab ich auch gleiches, sozusagen, seltsames problem
es geht um eine WSUS gruppe, wenn ich manuell gruppenamen reinschreibe, mit gpupdate /force geht, aber weder reboot, oder automatisches gpo refresh passiert nichts, hab alles ueberprueft, zeit fuer autoerfrishung ist auf 1 stunde gesaetz, und fuer neue gpo version muss man nicht standart 16 studne warten, aber irgendwie diese option bleibt unverendaert ((((
es geht um eine WSUS gruppe, wenn ich manuell gruppenamen reinschreibe, mit gpupdate /force geht, aber weder reboot, oder automatisches gpo refresh passiert nichts, hab alles ueberprueft, zeit fuer autoerfrishung ist auf 1 stunde gesaetz, und fuer neue gpo version muss man nicht standart 16 studne warten, aber irgendwie diese option bleibt unverendaert ((((