liquidbase
Jan 28, 2014, updated at Feb 02, 2014 (UTC)
view13839
view6
0
Goto Top

Gruppenrichtlinien werden korrekt oder gar nicht geladen

GermansolvedQuestionSambaLinux
Hallo miteinander!

Ich hoffe das mir hier eventuell geholfen werden kann, da ich mittlerweile mit meinem Latein am Ende bin und in dem Forum von Zentyal mir so auch niemand weiterhelfen konnte.

Kommen wir erstmal zu dem Grundsätzlichen wie hier das Netzwerk aufgebaut ist und wie die Einstellungen getroffen wurden.

Es arbeitet hier ein Zentyal 3.2.6 als primärer Domaincontroller der zeitgleich 5 Freigaben zur Verfügung stellt, als Anmeldeserver dient und zusätzlich als Updateserver für die Windowsclients. Der Rest des Netzwerks besteht aus Win XP Prof, Win 7 Prof (32bit) und Win 8 Pro (64bit). Auf allen Clients funktioniert die Anmeldung via Domainlogin, alle Freigaben werden geladen und angezeigt und die Clients beziehen ebenfalls ihre Updates.

Was nun derzeit nicht funktioniert ist das Laden der Gruppenrichtlinien die ich über den Gruppenrichtlinieneditor erstellt habe. Dabei habe ich einmal die Gruppenrichtlinien über einen Win 7-Client (für Win 7 und Win XP) bearbeitet und zusätzlich für die Win 8-Clients über einen Win 8-Client. Das hinzufügen hat so ohne weiteres auch funktioniert, da die Logonscripte auch einwandfrei geladen werden. Was jetzt nun nicht funktioniert ist das der gesamte Rest an Einstellungen nicht geladen werden bei einem Userlogin. Darunter fällt zum Beispiel das auch Google Chrome auf dem entsprechenden Client installiert werden soll und die Verknüpfung für den Internet Explorer gelöscht wird.
Selbst nach einem "gpupdate" auf einem entsprechenden Client oder per Logonscript weigert sich der Clientrechner die GPO korrekt anzunehmen oder lädt sie erst gar nicht und die User dürfen nach wie vor soweit alles an den Rechner machen was die lokalen Sicherheitseinstellungen zulassen (was nicht geplant ist).

Daher frage ich mich jetzt ob ich generell etwas falsch gemacht habe in Bezug auf die GPO in Verbindung mit Samba4 oder das ganze nach wie vor nicht korrekt funktioniert, da die Samba-Entwickler diese Möglichkeit noch nicht vollständig implementiert haben.

Sollte jemand eine Idee haben immer her damit, auch wenn es der berühmte mit Wink mit dem Zaunpfahl ist weil ich den Wald vor lauter Bäumen nicht gesehen habe.

Gruß liquid

p.s.: Sollten noch Infos fehlen immer danach fragen und insofern ich sie posten kann, werde ich das nachholen.
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 227972

Url: https://administrator.de/contentid/227972

Printed on: April 19, 2024 at 21:04 o'clock

6 Comments
Latest comment
Goto Top
Member: Chonta
Chonta Jan 28, 2014 at 17:08:27 (UTC)
Goto Top
Hallo,

was sagt gpresult /R ? Werden überhaupt die GPO aufgeführt? Irgendwelche auser der DDP?

Funktioniert nur Win8 ncht oder auch XP und Win7 nicht?

XP, Win7 und Win8 können nicht alle Einstellungen die du machen kannst verarbeiten.
Die Frage ist auch Wo sind die GPO verknüpft wie ist die GPO Stuktur etc.

Gruß

Chonta
Member: liquidbase
liquidbase Jan 28, 2014 at 17:46:02 (UTC)
Goto Top
Das wird mir bei gpresult /R ausgegeben:

Betriebssystem Microsoft (R) Windows (R) Gruppenrichtlinienergebnis-Tool v2.0
Copyright (C) Microsoft Corp. 1981-2001

Am 28.01.2014, um 18:27:19 erstellt



RSOP-Daten fr KDT\hann auf V02C01: Protokollmodus
---------------------------------------------------

Betriebssystemkonfiguration: Mitglied der Dom„ne/Arbeitsgruppe
Betriebssystemversion:       6.1.7601
Standortname:                Nicht zutreffend
Zwischengespeichertes Profil:\\kdtpdc.KDT.INTERN\profiles\hann.V2
Lokales Profil:              C:\Users\hann.KDT
Langsame Verbindung?         Nein


BENUTZEREINSTELLUNGEN
----------------------
    CN=Christian Hann,CN=Users,DC=kdt,DC=intern
    Letzte Gruppenrichtlinienanwendung:   28.01.2014, um 17:23:31
    Gruppenrichtlinieanwendung von:       kdtpdc.kdt.intern
    Schwellenwert fr langsame Verbindung:500 kbps
    Dom„nenname:                          KDT
    Dom„nentyp:                           Windows 2000
    
    Angewendete Gruppenrichtlinienobjekte
    --------------------------------------
        Default Domain Policy

    Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
    ----------------------------------------------------------------------
        Richtlinien der lokalen Gruppe
            Filterung:  Nicht angewendet (Leer)

    Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen
    ----------------------------------------------------------
        Domain Users
        Jeder
        Benutzer
        Administratoren
        INTERAKTIV
        KONSOLENANMELDUNG
        Authentifizierte Benutzer
        Diese Organisation
        LOKAL
        Domain Admins
        Hohe Verbindlichkeitsstufe

Das die Default Domain Policy zum Teil geladen wird sehe ich daran das die Verknüpfungen für die Shares geladen werdern, was allerdings auch das einzige ist. Das ein Teil der Einstellungen nicht von allen System gleichermaßen verarbeiten werden weiß ich. Das ist soweit auch einkalkuliert und läßt sich derzeit nicht (wohl in naher Zukunft ebenso) nicht ändern.
Was die Verknüpfung betrifft ist die Default GPO direkt mit der Domain verlinkt. Zusätzlich habe ich in der Adminoberfläche des Zentyal die Option aktiv das die GPO erzwungen wird.
Member: Chonta
Chonta Jan 29, 2014 at 07:33:32 (UTC)
Goto Top
Man verändert nie die DDP!
Wenn andere Einstellungen gelten sollen, wird eine neue GPO angelegt.
Wenn Du eine Poicy erzwingst, werden deren Einstellungen immer durchgeführt, bis sie von einer anderen GPO die Dichter am Objekt ist und ebenfalls erzwungen wird überschrieben wird.
Die DDP muss man im übrigen nicht erzwingen, das führt gegebenenfalls zu Problemen.

Also mach die DDP wieder auf Default und lege für deine Zwecke eigene GPO an und schaue nach was gezogen wird und welche Einstellungen greifen.
Eine Win8 Adminstation für GPOs reicht, denn alles was XP kann ist da auch enthalten. Und GPO die mit z.B. Win angelegt wurden NIE mit einem XP oder Server 2003 bearbeiten, sonst geht deren Funktionalität verloren.

Haben nur Win7 oder Win8 nicht die erwarteten Einstellungne oder XP auch nicht?
Welche Version von Samba4 ist im Einsatz? Update möglich, Bekanntes Problem mit der verwendeten Version?
Ist mehr als ein Samba4 DC im Einsatz?

Gruß

Chonta
Member: liquidbase
liquidbase Jan 30, 2014 updated at 13:40:10 (UTC)
Goto Top
Entschuldige die späte Antwort, aber momentan ist hier eine Menge Arbeit zu erledigen.

Das man im Normalfall die DDP nicht bearbeiten ist mir klar, hatte ich bei Windowsservern nicht anders gemacht. Da ich allerdings mit dem Zentyal meine ersten Kontakte hatte, habe ich damit mal gebrochen.

Windows 8 => einbinden der Shares läuft, Ordner werden umgestellt, Systemsteuerung bleibt, Startbildschirm ändert sich nicht
Windows 7 => einbinden der Shares läuft, Ordner werden umgestellt, Systemsteuerung verschwindet
Windows XP => einbinden der Shares läuft, ansonsten geht garnichts

Samba hat derzeit die Version 4.1.4 am laufen auf dem DC. Neuer ist glaube ich nur die Version im Git oder SVN. Derzeit ist der Zentyal der einzige Server hier im Einsatz, ein weiterer ist auch nicht geplant oder kann ich auch erst gar nicht anschaffen.

Das nächste was ich machen werde ist das ich die DDP wieder änder und das ganze in eine eigene GPO gieße. Melde mich danach nochmal ob es dann geht und werde das ganze dann auch direkt von einem Windows 8-Client aus machen anstatt wie bisher von Windows 7 und Windows 8.
Member: Chonta
Solution Chonta Jan 31, 2014, updated at Feb 02, 2014 at 09:44:20 (UTC)
Goto Top
Hallo,

OK, dann die DDP auf default Werte zurück setzen und dann.

Eine GPO für Windows XP mit einem XP erstellen und niemals mit Win7/8 auch nur anschauen face-wink
Eine GPO für Windows 7 mit Windows 7 ertellen und nur mit windows 7 bearbeiten
Eine GPO mit der höchsten Windows 8 Version erstellen und bearbeiten, evtl geht diese GPO auch für Windows7, musst Du mal schauen.

Eigentlich sollten die GPO die mit Win8 erstellt werden auch auf allen laufen, wenn wa snicht gezogen wird, dann kann das Clientsystem die Einstellung auch nicht.
Da das verbinden von Netzlaufwerken bei allen Systemen identisch ist, geht das auch.

Gruß

Chonta
Member: liquidbase
liquidbase Feb 02, 2014 at 09:44:16 (UTC)
Goto Top
Mittlerweile funktioniert es so wie es gedacht war.

Nachdem ich die DDP wieder geleert und für jede Benutzergruppe eine eigene GPO erstellt habe ging es plötzlich. Wenn ich mich gleich von Anfang an daran gehalten hätte wie ich GPO's unter Windows Server erstelle hätte ich das Problem wohl nicht gehabt.
Allerdings habe ich alle GPO's mit einem Windows 8-Client erstellt um auch wirklich alles abdecken zu können, war in der Hinsicht die einfachste Lösung gewesen (auch wenn es mehr Arbeit bedeutet hat).

Funktioniert jetzt aber so wie es soll und danke Chonta für den Hinweis in die richtige Richtung, ich hatte ihn wie gesagt vollkommen ausgeblendet weil Linux und Samba.
GermansolvedQuestionSambaLinux
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 3 CommentsAlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 3 CommentsDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment