10
Gruppenrichtlinien: Computerrichtlinie greift, Benutzerrichtlinie greift nicht
Die Gruppenrichtlinien wurden auf einem Server 2012r2 erstellt der gleichzeitig DomainController und DNS-Server ist.
Die Namensauflösung funktioniert in beide Richtungen. Sowohl auf Server als auch auf dem Windows 7 Professional 64bit Client. Beide sind auf einem ESXi-Host virtualisiert.
Ich habe begonnen Gruppenrichtlinien einzuführen. Bislang habe ich folgenden OU-Aufbau:
Benutzer
- Werkstatt
Computer
- Werkstatt
Ich habe für den Anfang zwei Richtlinien angelegt:
- CLIENT WindowsUpdateEinstellungen (Computer)
- CLIENT InternetExplorerEinstellungen (Benutzer)
Ob sich die Richtlinie auf Benutzer oder Computer bezieht kann man an den Klammern erkennen. Die Richtlinie "CLIENT InternetExplorerEinstellungen (Benutzer)" habe ich an der OU "Werkstatt" unter "Benutzer" verknüpft (aktiviert, nicht erzwungen). Die Richtlinie "CLIENT WindowsUpdateEinstellungen (Computer)" habe ich unter der OU "Werkstatt" unter "Computer" verknüpft. (Aktiviert, nicht erzwungen)
Ich habe lediglich einen (Domänen-)Benutzer und einen Computer zur jeweiligen OU hinzugefügt. In den OUs haben die Authentifizierten Benutzer Vollzugriff und können die Richtlinie verarbeiten.
Auf dem Client werden die Update Einstellungen prima verarbeitet (Computerbezogen), allerdings nicht die Internet Einstellungen. Ein "gpresult /r" sagt mir, nach meinem Kenntnissstand, dass die InternetExplorer Richtlinie verarbeitet wird.
Hier sieht man einen Ausschnitt aus "gpresult /r" und den WindowsUpdate sowie InternetExplorerEinstellungen (die ich ja unter dem Benutzer gar nicht öffnen können dürfte). Die Befehle und Screenshots sind natürlich auf dem Testclient in der OU durchgeführt worden.
Ich habe auch versucht die "CLIENT WindowsUpdateEinstellungen (Computer)" Richtlinie zu deaktivieren oder zu "entknüpfen" um zu sehen ob dies Auswirkungen auf die Richtlinie "CLIENT InternetExplorerEinstellungen (Benutzer)" haben könnte. Hat keine Besserung gebracht. Die Richtlinien sind richtig verknüpft und es sind auch die richtigen Einstellungen darin (Benutzer/Computer) gesetzt.
Was kann ich noch tun?
Die Namensauflösung funktioniert in beide Richtungen. Sowohl auf Server als auch auf dem Windows 7 Professional 64bit Client. Beide sind auf einem ESXi-Host virtualisiert.
Ich habe begonnen Gruppenrichtlinien einzuführen. Bislang habe ich folgenden OU-Aufbau:
Benutzer
- Werkstatt
Computer
- Werkstatt
Ich habe für den Anfang zwei Richtlinien angelegt:
- CLIENT WindowsUpdateEinstellungen (Computer)
- CLIENT InternetExplorerEinstellungen (Benutzer)
Ob sich die Richtlinie auf Benutzer oder Computer bezieht kann man an den Klammern erkennen. Die Richtlinie "CLIENT InternetExplorerEinstellungen (Benutzer)" habe ich an der OU "Werkstatt" unter "Benutzer" verknüpft (aktiviert, nicht erzwungen). Die Richtlinie "CLIENT WindowsUpdateEinstellungen (Computer)" habe ich unter der OU "Werkstatt" unter "Computer" verknüpft. (Aktiviert, nicht erzwungen)
Ich habe lediglich einen (Domänen-)Benutzer und einen Computer zur jeweiligen OU hinzugefügt. In den OUs haben die Authentifizierten Benutzer Vollzugriff und können die Richtlinie verarbeiten.
Auf dem Client werden die Update Einstellungen prima verarbeitet (Computerbezogen), allerdings nicht die Internet Einstellungen. Ein "gpresult /r" sagt mir, nach meinem Kenntnissstand, dass die InternetExplorer Richtlinie verarbeitet wird.
Hier sieht man einen Ausschnitt aus "gpresult /r" und den WindowsUpdate sowie InternetExplorerEinstellungen (die ich ja unter dem Benutzer gar nicht öffnen können dürfte). Die Befehle und Screenshots sind natürlich auf dem Testclient in der OU durchgeführt worden.
Ich habe auch versucht die "CLIENT WindowsUpdateEinstellungen (Computer)" Richtlinie zu deaktivieren oder zu "entknüpfen" um zu sehen ob dies Auswirkungen auf die Richtlinie "CLIENT InternetExplorerEinstellungen (Benutzer)" haben könnte. Hat keine Besserung gebracht. Die Richtlinien sind richtig verknüpft und es sind auch die richtigen Einstellungen darin (Benutzer/Computer) gesetzt.
Was kann ich noch tun?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 291446
Url: https://administrator.de/contentid/291446
Printed on: April 26, 2024 at 12:04 o'clock
10 Comments
Latest comment
Hallo,
warum Vollzugriff? Das Lese- und Registrieren-Recht reicht aus, damit eine GPO auf das entsprechende AD-Objekt (Benutzer/Gruppe/Computer) angewendet wird. Damit kommen wir auch schon zum Verständnis von der Funktion "Erzwungen", welches oft missverstanden wird. Eine GPO wird immer innerhalb der verknüpften OU angewendet sofern die eben genannten Berechtigungen stimmen und die Voraussetzungen der gesetzten Einstellungen innerhalb der GPO erfüllt sind. "Erzwungen" setzt nur "Vererbung deaktiveren" außer Kraft. Habe ich also eine GPO, welche global angewendet werden soll, außer in einer OU, dann aktiviere ich in der OU Vererbung deaktiveren und keine GPO, welche oberhalb der OU verknüpft ist wird angewendet. Soll in dieser OU jedoch bestimmte GPO's trotzdem angewendet werden, dann aktiviere ich für diese GPO's "Erzwungen". Oder ich mache es einfacher und übersichtlicher verknüpfe in der OU einfach diese bestimmten GPO's nochmal.
Das nur so als Information
Was sind das denn für Interneteinstellungen? Geht es um den IE11? Wenn ja und du hast nicht bedacht, dass man in der GPO in den GPP des Internetexplorers eine IE10-GPP erstellen muss und unter "Zielgruppenadressierung auf Elementebene" die maximale Version auf 99.0.0.0 stellen muss, greift keine Einstellung und die GPO wird nicht angewendet, da sie "leer" ist.
Teste auch mal den Gruppenrichtlinienmodellierung in der Gruppenrichtlinienverwaltung ganz unten.
Grüße Winary
warum Vollzugriff? Das Lese- und Registrieren-Recht reicht aus, damit eine GPO auf das entsprechende AD-Objekt (Benutzer/Gruppe/Computer) angewendet wird. Damit kommen wir auch schon zum Verständnis von der Funktion "Erzwungen", welches oft missverstanden wird. Eine GPO wird immer innerhalb der verknüpften OU angewendet sofern die eben genannten Berechtigungen stimmen und die Voraussetzungen der gesetzten Einstellungen innerhalb der GPO erfüllt sind. "Erzwungen" setzt nur "Vererbung deaktiveren" außer Kraft. Habe ich also eine GPO, welche global angewendet werden soll, außer in einer OU, dann aktiviere ich in der OU Vererbung deaktiveren und keine GPO, welche oberhalb der OU verknüpft ist wird angewendet. Soll in dieser OU jedoch bestimmte GPO's trotzdem angewendet werden, dann aktiviere ich für diese GPO's "Erzwungen". Oder ich mache es einfacher und übersichtlicher verknüpfe in der OU einfach diese bestimmten GPO's nochmal.
Das nur so als Information
Was sind das denn für Interneteinstellungen? Geht es um den IE11? Wenn ja und du hast nicht bedacht, dass man in der GPO in den GPP des Internetexplorers eine IE10-GPP erstellen muss und unter "Zielgruppenadressierung auf Elementebene" die maximale Version auf 99.0.0.0 stellen muss, greift keine Einstellung und die GPO wird nicht angewendet, da sie "leer" ist.
Teste auch mal den Gruppenrichtlinienmodellierung in der Gruppenrichtlinienverwaltung ganz unten.
Grüße Winary
Hallo Winary,
danke für den Exkurs in Sachen "Richtlinie erzwingen"
Ist die Einstellung, wie ich sie im Screenshot unten gemacht habe, richtig? Welches Element muss ich unter "Zielgruppenadressierung auf Elementebene" auswählen?
danke für den Exkurs in Sachen "Richtlinie erzwingen"
Ist die Einstellung, wie ich sie im Screenshot unten gemacht habe, richtig? Welches Element muss ich unter "Zielgruppenadressierung auf Elementebene" auswählen?
Ganz schön spät
Das sieht soweit ganz gut aus. Nur mach aus 0.0.0.0 mal 10.0.0.0 ;) Unter IE10 hast du denke ich sowieso nichts im Einsatz und selbst wenn gibt es die GPP für IE 9, 8 und 7.
Unter Pfad musst du noch den Dateipfad zur iexplore.exe einfügen. Also "%ProgramFilesDir%\Internet Explorer\iexplore.exe" (ohne ""). Benutze besser den Butten mit den drei Punkten rechts; ist sicherer.
Die Datei wird verglichen, es wird festgestellt, dass sie vorhanden ist und die Version zwischen 10.0.0.0 und 99.0.0.0 liegt, was ja beides für den IE 11(.0.0.0) zutrifft und die GPP wird angewendet.
Grüße
Das sieht soweit ganz gut aus. Nur mach aus 0.0.0.0 mal 10.0.0.0 ;) Unter IE10 hast du denke ich sowieso nichts im Einsatz und selbst wenn gibt es die GPP für IE 9, 8 und 7.
Unter Pfad musst du noch den Dateipfad zur iexplore.exe einfügen. Also "%ProgramFilesDir%\Internet Explorer\iexplore.exe" (ohne ""). Benutze besser den Butten mit den drei Punkten rechts; ist sicherer.
Die Datei wird verglichen, es wird festgestellt, dass sie vorhanden ist und die Version zwischen 10.0.0.0 und 99.0.0.0 liegt, was ja beides für den IE 11(.0.0.0) zutrifft und die GPP wird angewendet.
Grüße
Ja, mir lässt das keine Ruhe
Das sieht soweit ganz gut aus. Nur mach aus 0.0.0.0 mal 10.0.0.0 ;) Unter IE10 hast du denke ich sowieso nichts im Einsatz und selbst wenn gibt es die GPP für IE 9, 8 und 7.
Unter Pfad musst du noch den Dateipfad zur iexplore.exe einfügen. Also "%ProgramFilesDir%\Internet Explorer\iexplore.exe" (ohne ""). Benutze besser den Butten mit den drei Punkten rechts; ist sicherer.
Die Datei wird verglichen, es wird festgestellt, dass sie vorhanden ist und die Version zwischen 10.0.0.0 und 99.0.0.0 liegt, was ja beides für den IE 11(.0.0.0) zutrifft und die GPP wird angewendet.
Grüße
Unter Pfad musst du noch den Dateipfad zur iexplore.exe einfügen. Also "%ProgramFilesDir%\Internet Explorer\iexplore.exe" (ohne ""). Benutze besser den Butten mit den drei Punkten rechts; ist sicherer.
Die Datei wird verglichen, es wird festgestellt, dass sie vorhanden ist und die Version zwischen 10.0.0.0 und 99.0.0.0 liegt, was ja beides für den IE 11(.0.0.0) zutrifft und die GPP wird angewendet.
Grüße
Ich habe die Richtlinie nun nochmal gelöscht und neu erstellt. In folgenden Bildern habe ich die Einstellungen denke ich soweit richtig gesetzt. Primär geht es mir darum, die Internetoptionen unter dem Zahnrädchen im Internet Explorer für die User unzugänglich zu machen. So funktioniert das leider noch nicht. Das Problem scheint an anderer Stelle fest zu sitzen
Achso, es geht komplett um Internetoptionen sperren.
GPP sind Voreinstellungen. Das heißt die GPO mit diesen Preferences sind vorgegeben, lassen sich von den Nutzern allerdings ändern. Ich habe mal gelesen, dass man Richtlinien und Voreinstellungen nicht zusammen in eine GPO packen sollte um diverse Komplikationen zu unterbinden. Sicher bin ich mir da aber gerade nicht.
Ich bin gerade auf den Artikel gestoßen. Anscheinend muss man das mit der Zielgruppenadressierung auf Elementebene gar nicht mehr machen. Seit 2 Jahren schon und ich hab das nicht mitbekommen.
Sorry für den Tipp. https://support.microsoft.com/de-de/kb/2898604
Haben die angemeldeten Nutzer/Computerkonten auch wirklich das Lese- und Registrierenrecht für die GPO?
Ist dein Server 2012 R2 auf einem aktuellen Updatestand?
Hast du noch andere ältere Domänencontroller von denen deine Clients GPO's beziehen können?
Was sagt denn die Gruppenrichtlinienmodellierung? Wird die GPO von DIESEM Benutzer an DIESEM PC von DIESEM DC (dein Server 2012) geladen und angewendet?
Benutzt du vielleicht einen zentralen Speicher für deine GPO's in dem die Administrativen Vorlagen (aktuelle inetres.admx und inetres.adml) für den IE11 fehlen? https://technet.microsoft.com/en-us/library/dn321438.aspx
Wenn alles passt solltest du unter folgendem GPO-Pfad die Reiter der Internetoptionen deaktivieren können:
Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung
GPP sind Voreinstellungen. Das heißt die GPO mit diesen Preferences sind vorgegeben, lassen sich von den Nutzern allerdings ändern. Ich habe mal gelesen, dass man Richtlinien und Voreinstellungen nicht zusammen in eine GPO packen sollte um diverse Komplikationen zu unterbinden. Sicher bin ich mir da aber gerade nicht.
Ich bin gerade auf den Artikel gestoßen. Anscheinend muss man das mit der Zielgruppenadressierung auf Elementebene gar nicht mehr machen. Seit 2 Jahren schon und ich hab das nicht mitbekommen.
Sorry für den Tipp. https://support.microsoft.com/de-de/kb/2898604Haben die angemeldeten Nutzer/Computerkonten auch wirklich das Lese- und Registrierenrecht für die GPO?
Ist dein Server 2012 R2 auf einem aktuellen Updatestand?
Hast du noch andere ältere Domänencontroller von denen deine Clients GPO's beziehen können?
Was sagt denn die Gruppenrichtlinienmodellierung? Wird die GPO von DIESEM Benutzer an DIESEM PC von DIESEM DC (dein Server 2012) geladen und angewendet?
Benutzt du vielleicht einen zentralen Speicher für deine GPO's in dem die Administrativen Vorlagen (aktuelle inetres.admx und inetres.adml) für den IE11 fehlen? https://technet.microsoft.com/en-us/library/dn321438.aspx
Wenn alles passt solltest du unter folgendem GPO-Pfad die Reiter der Internetoptionen deaktivieren können:
Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung
Zitat von @Winary:
Achso, es geht komplett um Internetoptionen sperren.
GPP sind Voreinstellungen. Das heißt die GPO mit diesen Preferences sind vorgegeben, lassen sich von den Nutzern allerdings ändern. Ich habe mal gelesen, dass man Richtlinien und Voreinstellungen nicht zusammen in eine GPO packen sollte um diverse Komplikationen zu unterbinden. Sicher bin ich mir da aber gerade nicht.
Ich bin gerade auf den Artikel gestoßen. Anscheinend muss man das mit der Zielgruppenadressierung auf Elementebene gar nicht mehr machen. Seit 2 Jahren schon und ich hab das nicht mitbekommen. Sorry für den Tipp. https://support.microsoft.com/de-de/kb/2898604
Achso, es geht komplett um Internetoptionen sperren.
GPP sind Voreinstellungen. Das heißt die GPO mit diesen Preferences sind vorgegeben, lassen sich von den Nutzern allerdings ändern. Ich habe mal gelesen, dass man Richtlinien und Voreinstellungen nicht zusammen in eine GPO packen sollte um diverse Komplikationen zu unterbinden. Sicher bin ich mir da aber gerade nicht.
Ich bin gerade auf den Artikel gestoßen. Anscheinend muss man das mit der Zielgruppenadressierung auf Elementebene gar nicht mehr machen. Seit 2 Jahren schon und ich hab das nicht mitbekommen.
Sorry für den Tipp. https://support.microsoft.com/de-de/kb/2898604Kein Problem, schadet sicher nicht das zu wissen
Haben die angemeldeten Nutzer/Computerkonten auch wirklich das Lese- und Registrierenrecht für die GPO?
Ist dein Server 2012 R2 auf einem aktuellen Updatestand?
Hast du noch andere ältere Domänencontroller von denen deine Clients GPO's beziehen können?
Was sagt denn die Gruppenrichtlinienmodellierung? Wird die GPO von DIESEM Benutzer an DIESEM PC von DIESEM DC (dein Server 2012) geladen und angewendet?
Benutzt du vielleicht einen zentralen Speicher für deine GPO's in dem die Administrativen Vorlagen (aktuelle inetres.admx und inetres.adml) für den IE11 fehlen? https://technet.microsoft.com/en-us/library/dn321438.aspx
Wenn alles passt solltest du unter folgendem GPO-Pfad die Reiter der Internetoptionen deaktivieren können:
Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung
Ist dein Server 2012 R2 auf einem aktuellen Updatestand?
Hast du noch andere ältere Domänencontroller von denen deine Clients GPO's beziehen können?
Was sagt denn die Gruppenrichtlinienmodellierung? Wird die GPO von DIESEM Benutzer an DIESEM PC von DIESEM DC (dein Server 2012) geladen und angewendet?
Benutzt du vielleicht einen zentralen Speicher für deine GPO's in dem die Administrativen Vorlagen (aktuelle inetres.admx und inetres.adml) für den IE11 fehlen? https://technet.microsoft.com/en-us/library/dn321438.aspx
Wenn alles passt solltest du unter folgendem GPO-Pfad die Reiter der Internetoptionen deaktivieren können:
Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung
Bevor ich diese Fragen abarbeite, muss ich sagen, dass ich die Einstellungen die ich unzugänglich machen möchte nun andersweitig sperren konnte (siehe Screenshot). Jetzt möchte ich nur noch die Startseite vorgeben können. Das habe ich in einer extra Richtlinie als GPP mit IE10 erstellt und darin eben die Startseite eingetippt + den Haken bei "Mit Startseite starten" darunter angehakt. Jedoch wirkt das nicht.
Bleibt nur die Frage, weshalb die Richtlinie, die Internetoptionen ganz zu sperren (siehe Bilder weiter oben) nicht wirkt, aber die Richtlinien "Seite "Erweitert" deaktivieren" und "Seite "Allgemein" deaktivieren" wirkt.
Sorry für die blöde Frage, aber hast du nach dem Eintippen der URL in der GPP auch F5 gedrückt um die Eingabe zu bestätigen? Also dass aus der gestrichelten roten Linie eine durchgezogene grüne Linie wird. Das wird ganz gerne vergessen.
Zitat von @Winary:
Sorry für die blöde Frage, aber hast du nach dem Eintippen der URL in der GPP auch F5 gedrückt um die Eingabe zu bestätigen? Also dass aus der gestrichelten roten Linie eine durchgezogene grüne Linie wird. Das wird ganz gerne vergessen.
Sorry für die blöde Frage, aber hast du nach dem Eintippen der URL in der GPP auch F5 gedrückt um die Eingabe zu bestätigen? Also dass aus der gestrichelten roten Linie eine durchgezogene grüne Linie wird. Das wird ganz gerne vergessen.
Natürlich wurde von mir kein F5 gedrückt. Ich wusste es auch nicht.
Danke Winary. Du hast mir sehr geholfen.
Bleibt nur noch die Frage offen weshalb die Richtlinie nicht greift, die unter "Erweitert" die "Internetoptionen" ausgraut.
Designfehler? Keine Ahnung. Wenn ich dazu komme teste ich das auch mal bei mir. Ich hatte gestern mal nach dem entsprechenden Registry-Eintrag gesucht, aber nichts gefunden, was auf den IE11 zutrifft.
Ich hab das hier gefunden, aber den Registry-Schlüssel "Control Panel" gibt es bei mir nicht, weder Server noch Clients; den Schlüssel und den DWORD-Wert anlegen hat auch nichts gebracht.
Mit den grünen und roten Linien hab ich mich damals auch sehr gewundert, warum man jede einzelne Einstellung dort separat mit F5 (entfernen mit F10) bestätigen muss. Ich weiß es auch nur weil es eine Prüfungsfrage dazu gab für den MCSA Server 2012.
Wenigstens kann man ja die Reiter ausblenden
Schöne Feiertage noch.
Wenn ich dazu komme teste ich das auch mal bei mir. Ich hatte gestern mal nach dem entsprechenden Registry-Eintrag gesucht, aber nichts gefunden, was auf den IE11 zutrifft.Ich hab das hier gefunden, aber den Registry-Schlüssel "Control Panel" gibt es bei mir nicht, weder Server noch Clients; den Schlüssel und den DWORD-Wert anlegen hat auch nichts gebracht.
Mit den grünen und roten Linien hab ich mich damals auch sehr gewundert, warum man jede einzelne Einstellung dort separat mit F5 (entfernen mit F10) bestätigen muss. Ich weiß es auch nur weil es eine Prüfungsfrage dazu gab für den MCSA Server 2012.
Wenigstens kann man ja die Reiter ausblenden
Schöne Feiertage noch.
Zitat von @Winary:
Designfehler? Keine Ahnung. Wenn ich dazu komme teste ich das auch mal bei mir. Ich hatte gestern mal nach dem entsprechenden Registry-Eintrag gesucht, aber nichts gefunden, was auf den IE11 zutrifft.
Ich hab das hier gefunden, aber den Registry-Schlüssel "Control Panel" gibt es bei mir nicht, weder Server noch Clients; den Schlüssel und den DWORD-Wert anlegen hat auch nichts gebracht.
Mit den grünen und roten Linien hab ich mich damals auch sehr gewundert, warum man jede einzelne Einstellung dort separat mit F5 (entfernen mit F10) bestätigen muss. Ich weiß es auch nur weil es eine Prüfungsfrage dazu gab für den MCSA Server 2012.
Wenigstens kann man ja die Reiter ausblenden
Designfehler? Keine Ahnung.
Wenn ich dazu komme teste ich das auch mal bei mir. Ich hatte gestern mal nach dem entsprechenden Registry-Eintrag gesucht, aber nichts gefunden, was auf den IE11 zutrifft.Ich hab das hier gefunden, aber den Registry-Schlüssel "Control Panel" gibt es bei mir nicht, weder Server noch Clients; den Schlüssel und den DWORD-Wert anlegen hat auch nichts gebracht.
Mit den grünen und roten Linien hab ich mich damals auch sehr gewundert, warum man jede einzelne Einstellung dort separat mit F5 (entfernen mit F10) bestätigen muss. Ich weiß es auch nur weil es eine Prüfungsfrage dazu gab für den MCSA Server 2012.
Wenigstens kann man ja die Reiter ausblenden
Gut, ich hab auch mal gelernt nicht immer alles bis ins Detail zu hinterfragen. "Keep it simple and stupid". Solange der Zweck mir meiner aktuellen Konfiguration erfüllt ist, frage ich nicht weiter nach
Vielen Dank für Deine Hilfe! Hast mir wirklich sehr weitergeholfen!
Schöne Feiertage noch.
Danke, ebenso