Gruppenrichtlinien: Computerrichtlinie greift, Benutzerrichtlinie greift nicht
Die Gruppenrichtlinien wurden auf einem Server 2012r2 erstellt der gleichzeitig DomainController und DNS-Server ist.
Die Namensauflösung funktioniert in beide Richtungen. Sowohl auf Server als auch auf dem Windows 7 Professional 64bit Client. Beide sind auf einem ESXi-Host virtualisiert.
Ich habe begonnen Gruppenrichtlinien einzuführen. Bislang habe ich folgenden OU-Aufbau:
Benutzer
- Werkstatt
Computer
- Werkstatt
Ich habe für den Anfang zwei Richtlinien angelegt:
- CLIENT WindowsUpdateEinstellungen (Computer)
- CLIENT InternetExplorerEinstellungen (Benutzer)
Ob sich die Richtlinie auf Benutzer oder Computer bezieht kann man an den Klammern erkennen. Die Richtlinie "CLIENT InternetExplorerEinstellungen (Benutzer)" habe ich an der OU "Werkstatt" unter "Benutzer" verknüpft (aktiviert, nicht erzwungen). Die Richtlinie "CLIENT WindowsUpdateEinstellungen (Computer)" habe ich unter der OU "Werkstatt" unter "Computer" verknüpft. (Aktiviert, nicht erzwungen)
Ich habe lediglich einen (Domänen-)Benutzer und einen Computer zur jeweiligen OU hinzugefügt. In den OUs haben die Authentifizierten Benutzer Vollzugriff und können die Richtlinie verarbeiten.
Auf dem Client werden die Update Einstellungen prima verarbeitet (Computerbezogen), allerdings nicht die Internet Einstellungen. Ein "gpresult /r" sagt mir, nach meinem Kenntnissstand, dass die InternetExplorer Richtlinie verarbeitet wird.
Hier sieht man einen Ausschnitt aus "gpresult /r" und den WindowsUpdate sowie InternetExplorerEinstellungen (die ich ja unter dem Benutzer gar nicht öffnen können dürfte). Die Befehle und Screenshots sind natürlich auf dem Testclient in der OU durchgeführt worden.
Ich habe auch versucht die "CLIENT WindowsUpdateEinstellungen (Computer)" Richtlinie zu deaktivieren oder zu "entknüpfen" um zu sehen ob dies Auswirkungen auf die Richtlinie "CLIENT InternetExplorerEinstellungen (Benutzer)" haben könnte. Hat keine Besserung gebracht. Die Richtlinien sind richtig verknüpft und es sind auch die richtigen Einstellungen darin (Benutzer/Computer) gesetzt.
Was kann ich noch tun?
Die Namensauflösung funktioniert in beide Richtungen. Sowohl auf Server als auch auf dem Windows 7 Professional 64bit Client. Beide sind auf einem ESXi-Host virtualisiert.
Ich habe begonnen Gruppenrichtlinien einzuführen. Bislang habe ich folgenden OU-Aufbau:
Benutzer
- Werkstatt
Computer
- Werkstatt
Ich habe für den Anfang zwei Richtlinien angelegt:
- CLIENT WindowsUpdateEinstellungen (Computer)
- CLIENT InternetExplorerEinstellungen (Benutzer)
Ob sich die Richtlinie auf Benutzer oder Computer bezieht kann man an den Klammern erkennen. Die Richtlinie "CLIENT InternetExplorerEinstellungen (Benutzer)" habe ich an der OU "Werkstatt" unter "Benutzer" verknüpft (aktiviert, nicht erzwungen). Die Richtlinie "CLIENT WindowsUpdateEinstellungen (Computer)" habe ich unter der OU "Werkstatt" unter "Computer" verknüpft. (Aktiviert, nicht erzwungen)
Ich habe lediglich einen (Domänen-)Benutzer und einen Computer zur jeweiligen OU hinzugefügt. In den OUs haben die Authentifizierten Benutzer Vollzugriff und können die Richtlinie verarbeiten.
Auf dem Client werden die Update Einstellungen prima verarbeitet (Computerbezogen), allerdings nicht die Internet Einstellungen. Ein "gpresult /r" sagt mir, nach meinem Kenntnissstand, dass die InternetExplorer Richtlinie verarbeitet wird.
Hier sieht man einen Ausschnitt aus "gpresult /r" und den WindowsUpdate sowie InternetExplorerEinstellungen (die ich ja unter dem Benutzer gar nicht öffnen können dürfte). Die Befehle und Screenshots sind natürlich auf dem Testclient in der OU durchgeführt worden.
Ich habe auch versucht die "CLIENT WindowsUpdateEinstellungen (Computer)" Richtlinie zu deaktivieren oder zu "entknüpfen" um zu sehen ob dies Auswirkungen auf die Richtlinie "CLIENT InternetExplorerEinstellungen (Benutzer)" haben könnte. Hat keine Besserung gebracht. Die Richtlinien sind richtig verknüpft und es sind auch die richtigen Einstellungen darin (Benutzer/Computer) gesetzt.
Was kann ich noch tun?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 291446
Url: https://administrator.de/forum/gruppenrichtlinien-computerrichtlinie-greift-benutzerrichtlinie-greift-nicht-291446.html
Ausgedruckt am: 07.04.2025 um 02:04 Uhr
10 Kommentare
Neuester Kommentar
Hallo,
warum Vollzugriff? Das Lese- und Registrieren-Recht reicht aus, damit eine GPO auf das entsprechende AD-Objekt (Benutzer/Gruppe/Computer) angewendet wird. Damit kommen wir auch schon zum Verständnis von der Funktion "Erzwungen", welches oft missverstanden wird. Eine GPO wird immer innerhalb der verknüpften OU angewendet sofern die eben genannten Berechtigungen stimmen und die Voraussetzungen der gesetzten Einstellungen innerhalb der GPO erfüllt sind. "Erzwungen" setzt nur "Vererbung deaktiveren" außer Kraft. Habe ich also eine GPO, welche global angewendet werden soll, außer in einer OU, dann aktiviere ich in der OU Vererbung deaktiveren und keine GPO, welche oberhalb der OU verknüpft ist wird angewendet. Soll in dieser OU jedoch bestimmte GPO's trotzdem angewendet werden, dann aktiviere ich für diese GPO's "Erzwungen". Oder ich mache es einfacher und übersichtlicher verknüpfe in der OU einfach diese bestimmten GPO's nochmal.
Das nur so als Information
Was sind das denn für Interneteinstellungen? Geht es um den IE11? Wenn ja und du hast nicht bedacht, dass man in der GPO in den GPP des Internetexplorers eine IE10-GPP erstellen muss und unter "Zielgruppenadressierung auf Elementebene" die maximale Version auf 99.0.0.0 stellen muss, greift keine Einstellung und die GPO wird nicht angewendet, da sie "leer" ist.
Teste auch mal den Gruppenrichtlinienmodellierung in der Gruppenrichtlinienverwaltung ganz unten.
Grüße Winary
warum Vollzugriff? Das Lese- und Registrieren-Recht reicht aus, damit eine GPO auf das entsprechende AD-Objekt (Benutzer/Gruppe/Computer) angewendet wird. Damit kommen wir auch schon zum Verständnis von der Funktion "Erzwungen", welches oft missverstanden wird. Eine GPO wird immer innerhalb der verknüpften OU angewendet sofern die eben genannten Berechtigungen stimmen und die Voraussetzungen der gesetzten Einstellungen innerhalb der GPO erfüllt sind. "Erzwungen" setzt nur "Vererbung deaktiveren" außer Kraft. Habe ich also eine GPO, welche global angewendet werden soll, außer in einer OU, dann aktiviere ich in der OU Vererbung deaktiveren und keine GPO, welche oberhalb der OU verknüpft ist wird angewendet. Soll in dieser OU jedoch bestimmte GPO's trotzdem angewendet werden, dann aktiviere ich für diese GPO's "Erzwungen". Oder ich mache es einfacher und übersichtlicher verknüpfe in der OU einfach diese bestimmten GPO's nochmal.
Das nur so als Information
Was sind das denn für Interneteinstellungen? Geht es um den IE11? Wenn ja und du hast nicht bedacht, dass man in der GPO in den GPP des Internetexplorers eine IE10-GPP erstellen muss und unter "Zielgruppenadressierung auf Elementebene" die maximale Version auf 99.0.0.0 stellen muss, greift keine Einstellung und die GPO wird nicht angewendet, da sie "leer" ist.
Teste auch mal den Gruppenrichtlinienmodellierung in der Gruppenrichtlinienverwaltung ganz unten.
Grüße Winary
Ganz schön spät 
Das sieht soweit ganz gut aus. Nur mach aus 0.0.0.0 mal 10.0.0.0 ;) Unter IE10 hast du denke ich sowieso nichts im Einsatz und selbst wenn gibt es die GPP für IE 9, 8 und 7.
Unter Pfad musst du noch den Dateipfad zur iexplore.exe einfügen. Also "%ProgramFilesDir%\Internet Explorer\iexplore.exe" (ohne ""). Benutze besser den Butten mit den drei Punkten rechts; ist sicherer.
Die Datei wird verglichen, es wird festgestellt, dass sie vorhanden ist und die Version zwischen 10.0.0.0 und 99.0.0.0 liegt, was ja beides für den IE 11(.0.0.0) zutrifft und die GPP wird angewendet.
Grüße
Das sieht soweit ganz gut aus. Nur mach aus 0.0.0.0 mal 10.0.0.0 ;) Unter IE10 hast du denke ich sowieso nichts im Einsatz und selbst wenn gibt es die GPP für IE 9, 8 und 7.
Unter Pfad musst du noch den Dateipfad zur iexplore.exe einfügen. Also "%ProgramFilesDir%\Internet Explorer\iexplore.exe" (ohne ""). Benutze besser den Butten mit den drei Punkten rechts; ist sicherer.
Die Datei wird verglichen, es wird festgestellt, dass sie vorhanden ist und die Version zwischen 10.0.0.0 und 99.0.0.0 liegt, was ja beides für den IE 11(.0.0.0) zutrifft und die GPP wird angewendet.
Grüße
Achso, es geht komplett um Internetoptionen sperren.
GPP sind Voreinstellungen. Das heißt die GPO mit diesen Preferences sind vorgegeben, lassen sich von den Nutzern allerdings ändern. Ich habe mal gelesen, dass man Richtlinien und Voreinstellungen nicht zusammen in eine GPO packen sollte um diverse Komplikationen zu unterbinden. Sicher bin ich mir da aber gerade nicht.
Ich bin gerade auf den Artikel gestoßen. Anscheinend muss man das mit der Zielgruppenadressierung auf Elementebene gar nicht mehr machen. Seit 2 Jahren schon und ich hab das nicht mitbekommen.
Sorry für den Tipp. https://support.microsoft.com/de-de/kb/2898604
Haben die angemeldeten Nutzer/Computerkonten auch wirklich das Lese- und Registrierenrecht für die GPO?
Ist dein Server 2012 R2 auf einem aktuellen Updatestand?
Hast du noch andere ältere Domänencontroller von denen deine Clients GPO's beziehen können?
Was sagt denn die Gruppenrichtlinienmodellierung? Wird die GPO von DIESEM Benutzer an DIESEM PC von DIESEM DC (dein Server 2012) geladen und angewendet?
Benutzt du vielleicht einen zentralen Speicher für deine GPO's in dem die Administrativen Vorlagen (aktuelle inetres.admx und inetres.adml) für den IE11 fehlen? https://technet.microsoft.com/en-us/library/dn321438.aspx
Wenn alles passt solltest du unter folgendem GPO-Pfad die Reiter der Internetoptionen deaktivieren können:
Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung
GPP sind Voreinstellungen. Das heißt die GPO mit diesen Preferences sind vorgegeben, lassen sich von den Nutzern allerdings ändern. Ich habe mal gelesen, dass man Richtlinien und Voreinstellungen nicht zusammen in eine GPO packen sollte um diverse Komplikationen zu unterbinden. Sicher bin ich mir da aber gerade nicht.
Ich bin gerade auf den Artikel gestoßen. Anscheinend muss man das mit der Zielgruppenadressierung auf Elementebene gar nicht mehr machen. Seit 2 Jahren schon und ich hab das nicht mitbekommen.
Haben die angemeldeten Nutzer/Computerkonten auch wirklich das Lese- und Registrierenrecht für die GPO?
Ist dein Server 2012 R2 auf einem aktuellen Updatestand?
Hast du noch andere ältere Domänencontroller von denen deine Clients GPO's beziehen können?
Was sagt denn die Gruppenrichtlinienmodellierung? Wird die GPO von DIESEM Benutzer an DIESEM PC von DIESEM DC (dein Server 2012) geladen und angewendet?
Benutzt du vielleicht einen zentralen Speicher für deine GPO's in dem die Administrativen Vorlagen (aktuelle inetres.admx und inetres.adml) für den IE11 fehlen? https://technet.microsoft.com/en-us/library/dn321438.aspx
Wenn alles passt solltest du unter folgendem GPO-Pfad die Reiter der Internetoptionen deaktivieren können:
Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung
Designfehler? Keine Ahnung.
Wenn ich dazu komme teste ich das auch mal bei mir. Ich hatte gestern mal nach dem entsprechenden Registry-Eintrag gesucht, aber nichts gefunden, was auf den IE11 zutrifft.
Ich hab das hier gefunden, aber den Registry-Schlüssel "Control Panel" gibt es bei mir nicht, weder Server noch Clients; den Schlüssel und den DWORD-Wert anlegen hat auch nichts gebracht.
Mit den grünen und roten Linien hab ich mich damals auch sehr gewundert, warum man jede einzelne Einstellung dort separat mit F5 (entfernen mit F10) bestätigen muss. Ich weiß es auch nur weil es eine Prüfungsfrage dazu gab für den MCSA Server 2012.
Wenigstens kann man ja die Reiter ausblenden
Schöne Feiertage noch.
Ich hab das hier gefunden, aber den Registry-Schlüssel "Control Panel" gibt es bei mir nicht, weder Server noch Clients; den Schlüssel und den DWORD-Wert anlegen hat auch nichts gebracht.
Mit den grünen und roten Linien hab ich mich damals auch sehr gewundert, warum man jede einzelne Einstellung dort separat mit F5 (entfernen mit F10) bestätigen muss. Ich weiß es auch nur weil es eine Prüfungsfrage dazu gab für den MCSA Server 2012.
Wenigstens kann man ja die Reiter ausblenden
Schöne Feiertage noch.