lnino1982
Goto Top

Sicherheitsfilterung auf Gruppen geht nicht. Warum?

Hallo an alle,

ich habe eine Gruppenrichtlinie erstellt, welche ein MSI Paket auf bestimmte Benutzer/Computer ausgerollt wird.

Ich habe 2 Varianten getestet. Variante 1 funktioniert und Variante 2 leider nicht. Woran kann das liegen?

Variante 1:
GPO verknüpft auf OU "User" in welcher die Domänenbenutzer liegen.
In der Sicherheitsfilterung 2 Benutzer eingetragen.
WMI Filter auf Windows 7 gestellt.
Die GPO ist auf Benutzerebene eingestellt.
Wenn ich mich nun auf einem Windows 7 Rechner mit einem der eingetragenen Benutzern anmelde, wird das Softwarepaket ausgerollt. (Funktioniert super!)

Variante 2:
Identisch zu Variante 1, außer, dass ich anstelle von einzelnen Benutzern bei der Sicherheitsfilterung eine AD Gruppe angegeben habe.
In dieser AD Gruppe sind die gleichen Einzeluser Mitglieder.
Wenn ich mich nun auf einen Windows 7 Rechner anmelde, wird die Software leider nicht ausgerollt.
Ein gpupdate /force oder ein Neustart hilft leider auch nicht.

Woran könnte das liegen, dass die Ausrollung bei der Verwendung von einzelnen Usern in der Sicherheitsfilterung funktioniert und bei AD Gruppen nicht?
Als AD Gruppe habe ich als Gruppenbereich "Global" und Gruppentyp "Sicherheit" gewählt.

Danke schon mal im Voraus für die Unterstützung.

lg
Nino

Content-ID: 275952

Url: https://administrator.de/forum/sicherheitsfilterung-auf-gruppen-geht-nicht-warum-275952.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

emeriks
emeriks 29.06.2015 um 10:50:13 Uhr
Goto Top
Hi,
was liefert "GPRESULT" im Benutzerkontext ausgeführt?

E.
lnino1982
lnino1982 29.06.2015 um 11:33:49 Uhr
Goto Top
Was genau möchtest du denn von der Ausgabe wissen? Ist ja eine längere Liste wenn ich gpresult /S rechnername /U username /R eingebe.

Ich sehe bei den Benutzereinstellungen "Angewandten Gruppenrichtlinienobjekten", dass meine GPO angewendet wird.
Ich sehe auch, dass mein Benutzer in der angewendeten Gruppen enthalten ist. ("Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen")
emeriks
emeriks 29.06.2015 um 12:25:43 Uhr
Goto Top
Ich sehe bei den Benutzereinstellungen "Angewandten Gruppenrichtlinienobjekten", dass meine GPO angewendet wird.
Das ist der interessante Punkt.

Wenn die GPO also angewendet wurde aber nicht wirkt, dann muss entweder die GPO fehlerhaft sein oder die Rahmenbedingungen.
  • Wie erfolgt die Zugriffberechtigung für das MSI-Paket? Über dieselbe Gruppe, eine andere oder direkt über den Benutzer? (NTFS- und Freigabe-Berechtigungen)
  • Der Benutzer kann in seiner laufendenen Sitzung von diesem PC über denselben UNC-Pfad das Paket starten?
  • Was steht im Eventlog des PC bzgl. Gruppenrichtlinienbearbeitung?

E.
lnino1982
lnino1982 29.06.2015 um 13:19:59 Uhr
Goto Top
Danke für die Rückmeldung.

Die GPO ist recht simpel aufgebaut:
In der OU "Benutzer" liegen die AD Benutzer und die AD Gruppen.
Bei der Richtlinie in den Verknüpfungen wird auf die OU "Benutzer" unter "Verknüpfungen" verwiesen.
Bei der Sicherheitsfilterung wird auf die AD Gruppe "XYZ Gruppe" verwiesen.
In der GPO habe ich unter Benutzerkonfiguration - Richtlinien - Softwareeinstellungen - Softwareinstallation das Softwarepaket angegeben.
(Zugewiesen, Anwendung bei Anmeldung installieren, Maximum)

Zu 1) Ich habe das MSI Paket am Domain Controller liegen und freigegeben. Unter Sicherheit und Freigabe habe ich Jeder(Lesen) und XYZ Gruppe(Lesen) eingetragen.
Zu 2) Von meinem Client aus kann ich ohne Probleme auf den UNC Pfad zugreifen und das Paket installieren.
Zu 3) Die Ereignisanzeige zeigt mir folgendes:

Es werden Systemaufrufe durchgeführt, um auf die angegebene Datei zuzugreifen
\\xxx.local\SysVol\xxx.local\Policies\{YYYYYYY-1D45-4DE6-85E6-EA02FDXXXXXX}\gpt.ini

Die Systemaufrufe zum Zugreifen auf die angegebene Datei sind abgeschlossen.
\\xxx.local\SysVol\xxx.local\Policies\{YYYYYYY-1D45-4DE6-85E6-EA02FDXXXXXX}\gpt.ini
Der Aufruf wurde in 0 Millisekunden abgeschlossen.

Die Verarbeitung der Software Installation-Erweiterung wird gestartet.
Liste der anwendbaren Gruppenrichtlinienobjekte: (Änderungen wurden ermittelt.)
U_Software_Deployment

Die Verarbeitung der Software Installation-Erweiterung wurde in 31 Millisekunden abgeschlossen.

Wie gesagt funktioniert die GPO wenn ich die einzelnen Benutzer eintrage ganz normal. Nur wenn ich versuche es mit einer AD Gruppe zu lösen, passiert nichts.
Und die Ereignisanzeige sieht soweit für mich auch in Ordnung aus.

Hast du noch eine Idee?
lnino1982
lnino1982 30.06.2015 um 08:19:08 Uhr
Goto Top
Hat noch jemand einen Ansatz für mich?