Problem beim Verteilen einer Aufgabe via GPO
Hallo zusammen,
ich habe ein Problem beim verteilen einer geplanten Aufgabe via GPO. Und zwar geht es um folgendes. Wir möchten gerne den Zugriff auf den Windows-Store für die Benutzer sperren.
Bislang lief das ganz gut über eine GPO. Store-App deaktivieren und alles war gut. Aber die Funktioniert seit geraumer Zeit nicht mehr zuverlässig. Der Grund:
https://docs.microsoft.com/de-de/troubleshoot/windows-client/group-polic ...
Also sind wir auf einen anderen Weg umgestiegen und haben den Store einfach bei der Anmeldung deinstalliert. Auch das war kein Problem:
Ja ich weiß, MS empfiehlt das nicht, aber darum geht es nicht. Wir wollen halt nicht, dass die User den Store nutzen können um Apps herunter zu laden, da die Apps teilweise alles andere als gut geprüft sind (Stichwort Sicherheitslücken) auf der anderen Seite kann man damit Spiele ohne Adminrechte installieren und auch das wollen wir verständlicherweise nicht. Auf der anderen Seite ist der Store aber erforderlich damit Apps funktionieren.
Kurzes Beispiel: Der Taschenrechner (nur ein Beispiel) kann bei einigen Anwendern nicht gestartet werden und muss aus dem Shop neu herunter geladen werden. Das trifft vor allem die Kollegen, die mit Roaming-Profilen arbeiten müssen. Umstellung auf FSLogix ist an der Stelle nicht möglich und auch keine wirkliche Option, da selbst mit FSLogix der Store noch verfügbar wäre.
Also habe ich mir überlegt den Store ganz einfach über die Aufgabenplanung zu schließen sofern er geöffnet wird. Ich habe dafür eine Aufgabe erstellt mit folgendem Trigger: Bei einem Ereignis im Protokoll Microsoft-Windows-Store/Operational aus der Quelle Store wird Powershell.exe mit dem Befehl ausgeführt. Funktioniert super. Also wollte ich das ganze per GPO verteilen, allerdings stoße ich jetzt auf ein Problem:
Wenn ich in der GPO eine geplante Aufgabe erstelle, dann habe ich zwar das Protokoll zur Verfügung, aber keine Quelle Store, sondern nur die Quelle Microsoft-Windows-Store. Klar habe ich auch noch andere Quellen in diesem Protokoll aber sie haben steht ein Microsoft-Windows vor dem Namen im Vergleich zum Windows 10 Client.
Nun bekomme ich beim GPUPdate folgende Fehlermeldung:
Ich bin dann in die Policies unter Domain\Policies\SID\Machine\Preferences\ScheduledTaks gegangen und habe dort in der xml das "überflüssige" Microsoft-Windows gelöscht, so dass die Quelle in der XML mit der Quelle auf dem Client überein stimmt, aber das brachte keine Änderung in der Fehlermeldung.
Im nächsten Schritt habe ich in der GPO den Trigger anstelle der Option Minimal über die Option Benutzerdefiniert angepasst. Hier muss ich die XML per Hand ausfüllen und kann den SystemProvider Name auf Sore festlegen. Dies ändert aber nichts an der Fehlermeldung und an dem Verhalten der GPO. Die geplante Aufgabe wird nicht hinzugefügt und das GPupdate endet mit dem beschriebenen Fehler.
Also hier jetzt dir Frage:
Wie kann ich einen Trigger definieren, der sich auf Systemprotokolle bezieht, die auf dem DC einen anderen Namen haben als auf dem Zielgerät? Was mach ich falsch, bzw. was übersehe ich?
Gruß
Doskias
PS: händisch die Aufgabe zu exportieren und auf einem anderen Rechner zu importieren funktioniert Problemlos, ist aber für eine dreistellige Anzahl an betroffenen Clients keine Option
ich habe ein Problem beim verteilen einer geplanten Aufgabe via GPO. Und zwar geht es um folgendes. Wir möchten gerne den Zugriff auf den Windows-Store für die Benutzer sperren.
Bislang lief das ganz gut über eine GPO. Store-App deaktivieren und alles war gut. Aber die Funktioniert seit geraumer Zeit nicht mehr zuverlässig. Der Grund:
https://docs.microsoft.com/de-de/troubleshoot/windows-client/group-polic ...
Also sind wir auf einen anderen Weg umgestiegen und haben den Store einfach bei der Anmeldung deinstalliert. Auch das war kein Problem:
Remove-AppxPackage (Get-AppxPackage -Name *WindowsStore*)
Ja ich weiß, MS empfiehlt das nicht, aber darum geht es nicht. Wir wollen halt nicht, dass die User den Store nutzen können um Apps herunter zu laden, da die Apps teilweise alles andere als gut geprüft sind (Stichwort Sicherheitslücken) auf der anderen Seite kann man damit Spiele ohne Adminrechte installieren und auch das wollen wir verständlicherweise nicht. Auf der anderen Seite ist der Store aber erforderlich damit Apps funktionieren.
Kurzes Beispiel: Der Taschenrechner (nur ein Beispiel) kann bei einigen Anwendern nicht gestartet werden und muss aus dem Shop neu herunter geladen werden. Das trifft vor allem die Kollegen, die mit Roaming-Profilen arbeiten müssen. Umstellung auf FSLogix ist an der Stelle nicht möglich und auch keine wirkliche Option, da selbst mit FSLogix der Store noch verfügbar wäre.
Also habe ich mir überlegt den Store ganz einfach über die Aufgabenplanung zu schließen sofern er geöffnet wird. Ich habe dafür eine Aufgabe erstellt mit folgendem Trigger: Bei einem Ereignis im Protokoll Microsoft-Windows-Store/Operational aus der Quelle Store wird Powershell.exe mit dem Befehl
Remove-AppxPackage (Get-AppxPackage -Name *WindowsStore*)
Wenn ich in der GPO eine geplante Aufgabe erstelle, dann habe ich zwar das Protokoll zur Verfügung, aber keine Quelle Store, sondern nur die Quelle Microsoft-Windows-Store. Klar habe ich auch noch andere Quellen in diesem Protokoll aber sie haben steht ein Microsoft-Windows vor dem Namen im Vergleich zum Windows 10 Client.
Nun bekomme ich beim GPUPdate folgende Fehlermeldung:
"Das Computer "Store_beenden"-Einstellungselement im Gruppenrichtlinienobjekt "MS-Sore deaktivieren" {GPO-SID} wurde aufgrund eines Fehlers nicht angewendet. Fehlercode "0x80041318 Die Aufgaben-XML enthält einen Wert, der entweder falsch formatiert ist oder sich außerhalb des Bereichs befinden." Dieser Fehler wurde unterdrückt.
Ich bin dann in die Policies unter Domain\Policies\SID\Machine\Preferences\ScheduledTaks gegangen und habe dort in der xml das "überflüssige" Microsoft-Windows gelöscht, so dass die Quelle in der XML mit der Quelle auf dem Client überein stimmt, aber das brachte keine Änderung in der Fehlermeldung.
Im nächsten Schritt habe ich in der GPO den Trigger anstelle der Option Minimal über die Option Benutzerdefiniert angepasst. Hier muss ich die XML per Hand ausfüllen und kann den SystemProvider Name auf Sore festlegen. Dies ändert aber nichts an der Fehlermeldung und an dem Verhalten der GPO. Die geplante Aufgabe wird nicht hinzugefügt und das GPupdate endet mit dem beschriebenen Fehler.
Also hier jetzt dir Frage:
Wie kann ich einen Trigger definieren, der sich auf Systemprotokolle bezieht, die auf dem DC einen anderen Namen haben als auf dem Zielgerät? Was mach ich falsch, bzw. was übersehe ich?
Gruß
Doskias
PS: händisch die Aufgabe zu exportieren und auf einem anderen Rechner zu importieren funktioniert Problemlos, ist aber für eine dreistellige Anzahl an betroffenen Clients keine Option
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2043675849
Url: https://administrator.de/forum/problem-beim-verteilen-einer-aufgabe-via-gpo-2043675849.html
Ausgedruckt am: 22.12.2024 um 08:12 Uhr
5 Kommentare
Neuester Kommentar
Moin.
Hat sich der Task wirklich nicht geändert?
Ich schätze, wenn Du auf einem Win10 RSAT installierst, dass du über RSAT die richtige Quelle setzen kannst.
Ich bin dann in die Policies unter Domain\Policies\SID\Machine\Preferences\ScheduledTaks gegangen und habe dort in der xml das "überflüssige" Microsoft-Windows gelöscht, so dass die Quelle in der XML mit der Quelle auf dem Client überein stimmt, aber das brachte keine Änderung in der Fehlermeldung.
Nach dieser Anpassung, die funktionieren sollte, hast Du am Client ein Gpupdate /force gemacht? Sonst bekommt der Client davon nichts mit, da sich ja nicht einmal die Revision der GPO ändert bei manueller Anpassung.Hat sich der Task wirklich nicht geändert?
Ich schätze, wenn Du auf einem Win10 RSAT installierst, dass du über RSAT die richtige Quelle setzen kannst.
Moin,
Hast du mal probiert, den exportierten Task per Powershell zu importieren?
https://petri.com/import-scheduled-tasks-powershell
Gruß
em-pie
Hast du mal probiert, den exportierten Task per Powershell zu importieren?
https://petri.com/import-scheduled-tasks-powershell
Gruß
em-pie
Und selbst wenn es mit installiertem RSAT ginge
...was Dich zum Test 5 Minuten kostet...macht es ja keinen Sinn einem Großteil der Anwender die AdminTools auf den Rechner zu installieren. face-smile
Nein, dafür brauchen die Clients doch kein RSAT. RSAT nutzt nur Deine Gegebenheiten für die Verwaltung. Weiteres Beispiel: Du willst die Startart des Dienstes Blablubb, der auf den Clients (unter anderem auf deinem eigenen) installiert ist, per GPO ändern. Machst Du das auf dem DC, so wirst Du diesen Dienst nicht im Menü sehen können. machst Du das über RSAT von deinem aus, wirst Du ihn sehen können. Auf die Clients musst Du nichts installieren.