6
Gruppenrichtlinien werden korrekt oder gar nicht geladen
Hallo miteinander!
Ich hoffe das mir hier eventuell geholfen werden kann, da ich mittlerweile mit meinem Latein am Ende bin und in dem Forum von Zentyal mir so auch niemand weiterhelfen konnte.
Kommen wir erstmal zu dem Grundsätzlichen wie hier das Netzwerk aufgebaut ist und wie die Einstellungen getroffen wurden.
Es arbeitet hier ein Zentyal 3.2.6 als primärer Domaincontroller der zeitgleich 5 Freigaben zur Verfügung stellt, als Anmeldeserver dient und zusätzlich als Updateserver für die Windowsclients. Der Rest des Netzwerks besteht aus Win XP Prof, Win 7 Prof (32bit) und Win 8 Pro (64bit). Auf allen Clients funktioniert die Anmeldung via Domainlogin, alle Freigaben werden geladen und angezeigt und die Clients beziehen ebenfalls ihre Updates.
Was nun derzeit nicht funktioniert ist das Laden der Gruppenrichtlinien die ich über den Gruppenrichtlinieneditor erstellt habe. Dabei habe ich einmal die Gruppenrichtlinien über einen Win 7-Client (für Win 7 und Win XP) bearbeitet und zusätzlich für die Win 8-Clients über einen Win 8-Client. Das hinzufügen hat so ohne weiteres auch funktioniert, da die Logonscripte auch einwandfrei geladen werden. Was jetzt nun nicht funktioniert ist das der gesamte Rest an Einstellungen nicht geladen werden bei einem Userlogin. Darunter fällt zum Beispiel das auch Google Chrome auf dem entsprechenden Client installiert werden soll und die Verknüpfung für den Internet Explorer gelöscht wird.
Selbst nach einem "gpupdate" auf einem entsprechenden Client oder per Logonscript weigert sich der Clientrechner die GPO korrekt anzunehmen oder lädt sie erst gar nicht und die User dürfen nach wie vor soweit alles an den Rechner machen was die lokalen Sicherheitseinstellungen zulassen (was nicht geplant ist).
Daher frage ich mich jetzt ob ich generell etwas falsch gemacht habe in Bezug auf die GPO in Verbindung mit Samba4 oder das ganze nach wie vor nicht korrekt funktioniert, da die Samba-Entwickler diese Möglichkeit noch nicht vollständig implementiert haben.
Sollte jemand eine Idee haben immer her damit, auch wenn es der berühmte mit Wink mit dem Zaunpfahl ist weil ich den Wald vor lauter Bäumen nicht gesehen habe.
Gruß liquid
p.s.: Sollten noch Infos fehlen immer danach fragen und insofern ich sie posten kann, werde ich das nachholen.
Ich hoffe das mir hier eventuell geholfen werden kann, da ich mittlerweile mit meinem Latein am Ende bin und in dem Forum von Zentyal mir so auch niemand weiterhelfen konnte.
Kommen wir erstmal zu dem Grundsätzlichen wie hier das Netzwerk aufgebaut ist und wie die Einstellungen getroffen wurden.
Es arbeitet hier ein Zentyal 3.2.6 als primärer Domaincontroller der zeitgleich 5 Freigaben zur Verfügung stellt, als Anmeldeserver dient und zusätzlich als Updateserver für die Windowsclients. Der Rest des Netzwerks besteht aus Win XP Prof, Win 7 Prof (32bit) und Win 8 Pro (64bit). Auf allen Clients funktioniert die Anmeldung via Domainlogin, alle Freigaben werden geladen und angezeigt und die Clients beziehen ebenfalls ihre Updates.
Was nun derzeit nicht funktioniert ist das Laden der Gruppenrichtlinien die ich über den Gruppenrichtlinieneditor erstellt habe. Dabei habe ich einmal die Gruppenrichtlinien über einen Win 7-Client (für Win 7 und Win XP) bearbeitet und zusätzlich für die Win 8-Clients über einen Win 8-Client. Das hinzufügen hat so ohne weiteres auch funktioniert, da die Logonscripte auch einwandfrei geladen werden. Was jetzt nun nicht funktioniert ist das der gesamte Rest an Einstellungen nicht geladen werden bei einem Userlogin. Darunter fällt zum Beispiel das auch Google Chrome auf dem entsprechenden Client installiert werden soll und die Verknüpfung für den Internet Explorer gelöscht wird.
Selbst nach einem "gpupdate" auf einem entsprechenden Client oder per Logonscript weigert sich der Clientrechner die GPO korrekt anzunehmen oder lädt sie erst gar nicht und die User dürfen nach wie vor soweit alles an den Rechner machen was die lokalen Sicherheitseinstellungen zulassen (was nicht geplant ist).
Daher frage ich mich jetzt ob ich generell etwas falsch gemacht habe in Bezug auf die GPO in Verbindung mit Samba4 oder das ganze nach wie vor nicht korrekt funktioniert, da die Samba-Entwickler diese Möglichkeit noch nicht vollständig implementiert haben.
Sollte jemand eine Idee haben immer her damit, auch wenn es der berühmte mit Wink mit dem Zaunpfahl ist weil ich den Wald vor lauter Bäumen nicht gesehen habe.
Gruß liquid
p.s.: Sollten noch Infos fehlen immer danach fragen und insofern ich sie posten kann, werde ich das nachholen.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 227972
Url: https://administrator.de/contentid/227972
Ausgedruckt am: 04.12.2024 um 08:12 Uhr
6 Kommentare
Neuester Kommentar
Hallo,
was sagt gpresult /R ? Werden überhaupt die GPO aufgeführt? Irgendwelche auser der DDP?
Funktioniert nur Win8 ncht oder auch XP und Win7 nicht?
XP, Win7 und Win8 können nicht alle Einstellungen die du machen kannst verarbeiten.
Die Frage ist auch Wo sind die GPO verknüpft wie ist die GPO Stuktur etc.
Gruß
Chonta
was sagt gpresult /R ? Werden überhaupt die GPO aufgeführt? Irgendwelche auser der DDP?
Funktioniert nur Win8 ncht oder auch XP und Win7 nicht?
XP, Win7 und Win8 können nicht alle Einstellungen die du machen kannst verarbeiten.
Die Frage ist auch Wo sind die GPO verknüpft wie ist die GPO Stuktur etc.
Gruß
Chonta
Das wird mir bei gpresult /R ausgegeben:
Das die Default Domain Policy zum Teil geladen wird sehe ich daran das die Verknüpfungen für die Shares geladen werdern, was allerdings auch das einzige ist. Das ein Teil der Einstellungen nicht von allen System gleichermaßen verarbeiten werden weiß ich. Das ist soweit auch einkalkuliert und läßt sich derzeit nicht (wohl in naher Zukunft ebenso) nicht ändern.
Was die Verknüpfung betrifft ist die Default GPO direkt mit der Domain verlinkt. Zusätzlich habe ich in der Adminoberfläche des Zentyal die Option aktiv das die GPO erzwungen wird.
Betriebssystem Microsoft (R) Windows (R) Gruppenrichtlinienergebnis-Tool v2.0
Copyright (C) Microsoft Corp. 1981-2001
Am 28.01.2014, um 18:27:19 erstellt
RSOP-Daten fr KDT\hann auf V02C01: Protokollmodus
---------------------------------------------------
Betriebssystemkonfiguration: Mitglied der Dom„ne/Arbeitsgruppe
Betriebssystemversion: 6.1.7601
Standortname: Nicht zutreffend
Zwischengespeichertes Profil:\\kdtpdc.KDT.INTERN\profiles\hann.V2
Lokales Profil: C:\Users\hann.KDT
Langsame Verbindung? Nein
BENUTZEREINSTELLUNGEN
----------------------
CN=Christian Hann,CN=Users,DC=kdt,DC=intern
Letzte Gruppenrichtlinienanwendung: 28.01.2014, um 17:23:31
Gruppenrichtlinieanwendung von: kdtpdc.kdt.intern
Schwellenwert fr langsame Verbindung:500 kbps
Dom„nenname: KDT
Dom„nentyp: Windows 2000
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Default Domain Policy
Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
----------------------------------------------------------------------
Richtlinien der lokalen Gruppe
Filterung: Nicht angewendet (Leer)
Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen
----------------------------------------------------------
Domain Users
Jeder
Benutzer
Administratoren
INTERAKTIV
KONSOLENANMELDUNG
Authentifizierte Benutzer
Diese Organisation
LOKAL
Domain Admins
Hohe VerbindlichkeitsstufeDas die Default Domain Policy zum Teil geladen wird sehe ich daran das die Verknüpfungen für die Shares geladen werdern, was allerdings auch das einzige ist. Das ein Teil der Einstellungen nicht von allen System gleichermaßen verarbeiten werden weiß ich. Das ist soweit auch einkalkuliert und läßt sich derzeit nicht (wohl in naher Zukunft ebenso) nicht ändern.
Was die Verknüpfung betrifft ist die Default GPO direkt mit der Domain verlinkt. Zusätzlich habe ich in der Adminoberfläche des Zentyal die Option aktiv das die GPO erzwungen wird.
Man verändert nie die DDP!
Wenn andere Einstellungen gelten sollen, wird eine neue GPO angelegt.
Wenn Du eine Poicy erzwingst, werden deren Einstellungen immer durchgeführt, bis sie von einer anderen GPO die Dichter am Objekt ist und ebenfalls erzwungen wird überschrieben wird.
Die DDP muss man im übrigen nicht erzwingen, das führt gegebenenfalls zu Problemen.
Also mach die DDP wieder auf Default und lege für deine Zwecke eigene GPO an und schaue nach was gezogen wird und welche Einstellungen greifen.
Eine Win8 Adminstation für GPOs reicht, denn alles was XP kann ist da auch enthalten. Und GPO die mit z.B. Win angelegt wurden NIE mit einem XP oder Server 2003 bearbeiten, sonst geht deren Funktionalität verloren.
Haben nur Win7 oder Win8 nicht die erwarteten Einstellungne oder XP auch nicht?
Welche Version von Samba4 ist im Einsatz? Update möglich, Bekanntes Problem mit der verwendeten Version?
Ist mehr als ein Samba4 DC im Einsatz?
Gruß
Chonta
Wenn andere Einstellungen gelten sollen, wird eine neue GPO angelegt.
Wenn Du eine Poicy erzwingst, werden deren Einstellungen immer durchgeführt, bis sie von einer anderen GPO die Dichter am Objekt ist und ebenfalls erzwungen wird überschrieben wird.
Die DDP muss man im übrigen nicht erzwingen, das führt gegebenenfalls zu Problemen.
Also mach die DDP wieder auf Default und lege für deine Zwecke eigene GPO an und schaue nach was gezogen wird und welche Einstellungen greifen.
Eine Win8 Adminstation für GPOs reicht, denn alles was XP kann ist da auch enthalten. Und GPO die mit z.B. Win angelegt wurden NIE mit einem XP oder Server 2003 bearbeiten, sonst geht deren Funktionalität verloren.
Haben nur Win7 oder Win8 nicht die erwarteten Einstellungne oder XP auch nicht?
Welche Version von Samba4 ist im Einsatz? Update möglich, Bekanntes Problem mit der verwendeten Version?
Ist mehr als ein Samba4 DC im Einsatz?
Gruß
Chonta
Entschuldige die späte Antwort, aber momentan ist hier eine Menge Arbeit zu erledigen.
Das man im Normalfall die DDP nicht bearbeiten ist mir klar, hatte ich bei Windowsservern nicht anders gemacht. Da ich allerdings mit dem Zentyal meine ersten Kontakte hatte, habe ich damit mal gebrochen.
Windows 8 => einbinden der Shares läuft, Ordner werden umgestellt, Systemsteuerung bleibt, Startbildschirm ändert sich nicht
Windows 7 => einbinden der Shares läuft, Ordner werden umgestellt, Systemsteuerung verschwindet
Windows XP => einbinden der Shares läuft, ansonsten geht garnichts
Samba hat derzeit die Version 4.1.4 am laufen auf dem DC. Neuer ist glaube ich nur die Version im Git oder SVN. Derzeit ist der Zentyal der einzige Server hier im Einsatz, ein weiterer ist auch nicht geplant oder kann ich auch erst gar nicht anschaffen.
Das nächste was ich machen werde ist das ich die DDP wieder änder und das ganze in eine eigene GPO gieße. Melde mich danach nochmal ob es dann geht und werde das ganze dann auch direkt von einem Windows 8-Client aus machen anstatt wie bisher von Windows 7 und Windows 8.
Das man im Normalfall die DDP nicht bearbeiten ist mir klar, hatte ich bei Windowsservern nicht anders gemacht. Da ich allerdings mit dem Zentyal meine ersten Kontakte hatte, habe ich damit mal gebrochen.
Windows 8 => einbinden der Shares läuft, Ordner werden umgestellt, Systemsteuerung bleibt, Startbildschirm ändert sich nicht
Windows 7 => einbinden der Shares läuft, Ordner werden umgestellt, Systemsteuerung verschwindet
Windows XP => einbinden der Shares läuft, ansonsten geht garnichts
Samba hat derzeit die Version 4.1.4 am laufen auf dem DC. Neuer ist glaube ich nur die Version im Git oder SVN. Derzeit ist der Zentyal der einzige Server hier im Einsatz, ein weiterer ist auch nicht geplant oder kann ich auch erst gar nicht anschaffen.
Das nächste was ich machen werde ist das ich die DDP wieder änder und das ganze in eine eigene GPO gieße. Melde mich danach nochmal ob es dann geht und werde das ganze dann auch direkt von einem Windows 8-Client aus machen anstatt wie bisher von Windows 7 und Windows 8.
Hallo,
OK, dann die DDP auf default Werte zurück setzen und dann.
Eine GPO für Windows XP mit einem XP erstellen und niemals mit Win7/8 auch nur anschauen
Eine GPO für Windows 7 mit Windows 7 ertellen und nur mit windows 7 bearbeiten
Eine GPO mit der höchsten Windows 8 Version erstellen und bearbeiten, evtl geht diese GPO auch für Windows7, musst Du mal schauen.
Eigentlich sollten die GPO die mit Win8 erstellt werden auch auf allen laufen, wenn wa snicht gezogen wird, dann kann das Clientsystem die Einstellung auch nicht.
Da das verbinden von Netzlaufwerken bei allen Systemen identisch ist, geht das auch.
Gruß
Chonta
OK, dann die DDP auf default Werte zurück setzen und dann.
Eine GPO für Windows XP mit einem XP erstellen und niemals mit Win7/8 auch nur anschauen
Eine GPO für Windows 7 mit Windows 7 ertellen und nur mit windows 7 bearbeiten
Eine GPO mit der höchsten Windows 8 Version erstellen und bearbeiten, evtl geht diese GPO auch für Windows7, musst Du mal schauen.
Eigentlich sollten die GPO die mit Win8 erstellt werden auch auf allen laufen, wenn wa snicht gezogen wird, dann kann das Clientsystem die Einstellung auch nicht.
Da das verbinden von Netzlaufwerken bei allen Systemen identisch ist, geht das auch.
Gruß
Chonta
Mittlerweile funktioniert es so wie es gedacht war.
Nachdem ich die DDP wieder geleert und für jede Benutzergruppe eine eigene GPO erstellt habe ging es plötzlich. Wenn ich mich gleich von Anfang an daran gehalten hätte wie ich GPO's unter Windows Server erstelle hätte ich das Problem wohl nicht gehabt.
Allerdings habe ich alle GPO's mit einem Windows 8-Client erstellt um auch wirklich alles abdecken zu können, war in der Hinsicht die einfachste Lösung gewesen (auch wenn es mehr Arbeit bedeutet hat).
Funktioniert jetzt aber so wie es soll und danke Chonta für den Hinweis in die richtige Richtung, ich hatte ihn wie gesagt vollkommen ausgeblendet weil Linux und Samba.
Nachdem ich die DDP wieder geleert und für jede Benutzergruppe eine eigene GPO erstellt habe ging es plötzlich. Wenn ich mich gleich von Anfang an daran gehalten hätte wie ich GPO's unter Windows Server erstelle hätte ich das Problem wohl nicht gehabt.
Allerdings habe ich alle GPO's mit einem Windows 8-Client erstellt um auch wirklich alles abdecken zu können, war in der Hinsicht die einfachste Lösung gewesen (auch wenn es mehr Arbeit bedeutet hat).
Funktioniert jetzt aber so wie es soll und danke Chonta für den Hinweis in die richtige Richtung, ich hatte ihn wie gesagt vollkommen ausgeblendet weil Linux und Samba.
