hannes.hutmacher
Goto Top

Importierte Lokale GPOs nach "CIS Benchmark Windows Server 2016" sorgen für Ärger

Hallo zusammen,

seit einigen Monaten setzen wir die Empfehlungen des CIS für Windows Server 2016 ein. Im Konkreten heißt das, dass ein Kollege die GPOs ein mal auf einer VM erstellt hat, diese per LGPO.exe exportiert hat und wir auf allen Maschinen importieren. Bis heute gab es keine Probleme damit und die gewünschte Restriktivität ist wie erwartet vorhanden. Allerdings haben wir nun einen WinSrv2016 auf dem das nicht so ganz funktioniert. Nach dem Import und "gpupdate /force" gehen auf dem EINEN Server einige Programme nicht mehr zu starten. Darunter bspw. "rsop", Systemsteuerung, InternetExplorer usw. Nach zurücksetzen der GPOs und erneutem Import geht dann auch das Startmenü nicht mehr.

Ich suche mich schon den halben Tag dumm und dusselig, aber finde einfach die verantwortliche GPO nicht. Außerdem frage ich mich wieso das bei diesem einen Server so ist und bei den anderen nicht. Es sind alles die gleichen Maschinen auf aktuellem Updatestand. Hat jemand eine Idee? In der Ereignisanzeige gibt es auch keine Info darüber. face-sad

Danke schon mal im Voraus.

Content-Key: 495897

Url: https://administrator.de/contentid/495897

Printed on: March 2, 2024 at 16:03 o'clock

Member: emeriks
emeriks Sep 18, 2019 updated at 11:29:38 (UTC)
Goto Top
Hi,
ist da ein AD im Einsatz?
Falls ja, warum wird dann mit lokalen GPO's gearbeitet? Und warum dann der Ex- und Import?

E.
Member: hannes.hutmacher
hannes.hutmacher Sep 18, 2019 at 11:52:51 (UTC)
Goto Top
Wir setzen hier kein AD ein. Das macht das Adminleben nicht gerade leichter, aber ich kann (darf) es nicht ändern. Das ist aber ein anderes Thema. face-smile
Member: emeriks
emeriks Sep 18, 2019 at 12:07:03 (UTC)
Goto Top
Zitat von @hannes.hutmacher:
Ich suche mich schon den halben Tag dumm und dusselig, aber finde einfach die verantwortliche GPO nicht. Außerdem frage ich mich wieso das bei diesem einen Server so ist und bei den anderen nicht. Es sind alles die gleichen Maschinen auf aktuellem Updatestand. Hat jemand eine Idee? In der Ereignisanzeige gibt es auch keine Info darüber. face-sad
Na dann könntest Du doch von einem Server, wo es funktioniert, exportieren und dann auf einem anderen importieren?
Member: hannes.hutmacher
hannes.hutmacher Sep 18, 2019 at 12:20:13 (UTC)
Goto Top
Genau das habe ich schon gemacht. Das Ergebnis ist das Selbe. Importiere ich unkonfigurierte GPOs (Windows Auslieferungszustand), dann ist alles wieder gut.