5
Sicherheitsfilterung auf Gruppen geht nicht. Warum?
Hallo an alle,
ich habe eine Gruppenrichtlinie erstellt, welche ein MSI Paket auf bestimmte Benutzer/Computer ausgerollt wird.
Ich habe 2 Varianten getestet. Variante 1 funktioniert und Variante 2 leider nicht. Woran kann das liegen?
Variante 1:
GPO verknüpft auf OU "User" in welcher die Domänenbenutzer liegen.
In der Sicherheitsfilterung 2 Benutzer eingetragen.
WMI Filter auf Windows 7 gestellt.
Die GPO ist auf Benutzerebene eingestellt.
Wenn ich mich nun auf einem Windows 7 Rechner mit einem der eingetragenen Benutzern anmelde, wird das Softwarepaket ausgerollt. (Funktioniert super!)
Variante 2:
Identisch zu Variante 1, außer, dass ich anstelle von einzelnen Benutzern bei der Sicherheitsfilterung eine AD Gruppe angegeben habe.
In dieser AD Gruppe sind die gleichen Einzeluser Mitglieder.
Wenn ich mich nun auf einen Windows 7 Rechner anmelde, wird die Software leider nicht ausgerollt.
Ein gpupdate /force oder ein Neustart hilft leider auch nicht.
Woran könnte das liegen, dass die Ausrollung bei der Verwendung von einzelnen Usern in der Sicherheitsfilterung funktioniert und bei AD Gruppen nicht?
Als AD Gruppe habe ich als Gruppenbereich "Global" und Gruppentyp "Sicherheit" gewählt.
Danke schon mal im Voraus für die Unterstützung.
lg
Nino
ich habe eine Gruppenrichtlinie erstellt, welche ein MSI Paket auf bestimmte Benutzer/Computer ausgerollt wird.
Ich habe 2 Varianten getestet. Variante 1 funktioniert und Variante 2 leider nicht. Woran kann das liegen?
Variante 1:
GPO verknüpft auf OU "User" in welcher die Domänenbenutzer liegen.
In der Sicherheitsfilterung 2 Benutzer eingetragen.
WMI Filter auf Windows 7 gestellt.
Die GPO ist auf Benutzerebene eingestellt.
Wenn ich mich nun auf einem Windows 7 Rechner mit einem der eingetragenen Benutzern anmelde, wird das Softwarepaket ausgerollt. (Funktioniert super!)
Variante 2:
Identisch zu Variante 1, außer, dass ich anstelle von einzelnen Benutzern bei der Sicherheitsfilterung eine AD Gruppe angegeben habe.
In dieser AD Gruppe sind die gleichen Einzeluser Mitglieder.
Wenn ich mich nun auf einen Windows 7 Rechner anmelde, wird die Software leider nicht ausgerollt.
Ein gpupdate /force oder ein Neustart hilft leider auch nicht.
Woran könnte das liegen, dass die Ausrollung bei der Verwendung von einzelnen Usern in der Sicherheitsfilterung funktioniert und bei AD Gruppen nicht?
Als AD Gruppe habe ich als Gruppenbereich "Global" und Gruppentyp "Sicherheit" gewählt.
Danke schon mal im Voraus für die Unterstützung.
lg
Nino
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 275952
Url: https://administrator.de/contentid/275952
Ausgedruckt am: 22.11.2024 um 04:11 Uhr
5 Kommentare
Neuester Kommentar
Hi,
was liefert "GPRESULT" im Benutzerkontext ausgeführt?
E.
was liefert "GPRESULT" im Benutzerkontext ausgeführt?
E.
Was genau möchtest du denn von der Ausgabe wissen? Ist ja eine längere Liste wenn ich gpresult /S rechnername /U username /R eingebe.
Ich sehe bei den Benutzereinstellungen "Angewandten Gruppenrichtlinienobjekten", dass meine GPO angewendet wird.
Ich sehe auch, dass mein Benutzer in der angewendeten Gruppen enthalten ist. ("Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen")
Ich sehe bei den Benutzereinstellungen "Angewandten Gruppenrichtlinienobjekten", dass meine GPO angewendet wird.
Ich sehe auch, dass mein Benutzer in der angewendeten Gruppen enthalten ist. ("Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen")
Ich sehe bei den Benutzereinstellungen "Angewandten Gruppenrichtlinienobjekten", dass meine GPO angewendet wird.
Das ist der interessante Punkt.Wenn die GPO also angewendet wurde aber nicht wirkt, dann muss entweder die GPO fehlerhaft sein oder die Rahmenbedingungen.
- Wie erfolgt die Zugriffberechtigung für das MSI-Paket? Über dieselbe Gruppe, eine andere oder direkt über den Benutzer? (NTFS- und Freigabe-Berechtigungen)
- Der Benutzer kann in seiner laufendenen Sitzung von diesem PC über denselben UNC-Pfad das Paket starten?
- Was steht im Eventlog des PC bzgl. Gruppenrichtlinienbearbeitung?
E.
Danke für die Rückmeldung.
Die GPO ist recht simpel aufgebaut:
In der OU "Benutzer" liegen die AD Benutzer und die AD Gruppen.
Bei der Richtlinie in den Verknüpfungen wird auf die OU "Benutzer" unter "Verknüpfungen" verwiesen.
Bei der Sicherheitsfilterung wird auf die AD Gruppe "XYZ Gruppe" verwiesen.
In der GPO habe ich unter Benutzerkonfiguration - Richtlinien - Softwareeinstellungen - Softwareinstallation das Softwarepaket angegeben.
(Zugewiesen, Anwendung bei Anmeldung installieren, Maximum)
Zu 1) Ich habe das MSI Paket am Domain Controller liegen und freigegeben. Unter Sicherheit und Freigabe habe ich Jeder(Lesen) und XYZ Gruppe(Lesen) eingetragen.
Zu 2) Von meinem Client aus kann ich ohne Probleme auf den UNC Pfad zugreifen und das Paket installieren.
Zu 3) Die Ereignisanzeige zeigt mir folgendes:
Es werden Systemaufrufe durchgeführt, um auf die angegebene Datei zuzugreifen
\\xxx.local\SysVol\xxx.local\Policies\{YYYYYYY-1D45-4DE6-85E6-EA02FDXXXXXX}\gpt.ini
Die Systemaufrufe zum Zugreifen auf die angegebene Datei sind abgeschlossen.
\\xxx.local\SysVol\xxx.local\Policies\{YYYYYYY-1D45-4DE6-85E6-EA02FDXXXXXX}\gpt.ini
Der Aufruf wurde in 0 Millisekunden abgeschlossen.
Die Verarbeitung der Software Installation-Erweiterung wird gestartet.
Liste der anwendbaren Gruppenrichtlinienobjekte: (Änderungen wurden ermittelt.)
U_Software_Deployment
Die Verarbeitung der Software Installation-Erweiterung wurde in 31 Millisekunden abgeschlossen.
Wie gesagt funktioniert die GPO wenn ich die einzelnen Benutzer eintrage ganz normal. Nur wenn ich versuche es mit einer AD Gruppe zu lösen, passiert nichts.
Und die Ereignisanzeige sieht soweit für mich auch in Ordnung aus.
Hast du noch eine Idee?
Die GPO ist recht simpel aufgebaut:
In der OU "Benutzer" liegen die AD Benutzer und die AD Gruppen.
Bei der Richtlinie in den Verknüpfungen wird auf die OU "Benutzer" unter "Verknüpfungen" verwiesen.
Bei der Sicherheitsfilterung wird auf die AD Gruppe "XYZ Gruppe" verwiesen.
In der GPO habe ich unter Benutzerkonfiguration - Richtlinien - Softwareeinstellungen - Softwareinstallation das Softwarepaket angegeben.
(Zugewiesen, Anwendung bei Anmeldung installieren, Maximum)
Zu 1) Ich habe das MSI Paket am Domain Controller liegen und freigegeben. Unter Sicherheit und Freigabe habe ich Jeder(Lesen) und XYZ Gruppe(Lesen) eingetragen.
Zu 2) Von meinem Client aus kann ich ohne Probleme auf den UNC Pfad zugreifen und das Paket installieren.
Zu 3) Die Ereignisanzeige zeigt mir folgendes:
Es werden Systemaufrufe durchgeführt, um auf die angegebene Datei zuzugreifen
\\xxx.local\SysVol\xxx.local\Policies\{YYYYYYY-1D45-4DE6-85E6-EA02FDXXXXXX}\gpt.ini
Die Systemaufrufe zum Zugreifen auf die angegebene Datei sind abgeschlossen.
\\xxx.local\SysVol\xxx.local\Policies\{YYYYYYY-1D45-4DE6-85E6-EA02FDXXXXXX}\gpt.ini
Der Aufruf wurde in 0 Millisekunden abgeschlossen.
Die Verarbeitung der Software Installation-Erweiterung wird gestartet.
Liste der anwendbaren Gruppenrichtlinienobjekte: (Änderungen wurden ermittelt.)
U_Software_Deployment
Die Verarbeitung der Software Installation-Erweiterung wurde in 31 Millisekunden abgeschlossen.
Wie gesagt funktioniert die GPO wenn ich die einzelnen Benutzer eintrage ganz normal. Nur wenn ich versuche es mit einer AD Gruppe zu lösen, passiert nichts.
Und die Ereignisanzeige sieht soweit für mich auch in Ordnung aus.
Hast du noch eine Idee?
Hat noch jemand einen Ansatz für mich?
