ozricxx
Goto Top

Trotz Löschung GPO immer noch aktiv

Ein Proxy wurde per GPO an IE weitergegeben. Trotz Löschung der GPO Proxy jedes mal aktiv.

Guten Morgen,
ich kämpfe schon seit Wochen mit einem Problem in unserer Infrastruktur.

Via GPO war mal ein Proxy im IE der Clients eingetragen. DIeser wird nicht mehr benötigt (Hardware Gateway).
Nun, die GPO ist schon Wochen/Monate raus, trotzdem kommen oft Mitarbeiter die nicht surfen können, da der Proxy in den internetoptionen eingetragen ist.

Ich habe extra meinen Vorgänger angerufen, hätte ja sein können das er noch auf eine andere Art u. Weise ausgeliefert wird.
Aber er meinte es war nur die Richtlinie...

Hat jemand eine Idee wie mand as in den griff kriegt?

LG

Content-ID: 182409

Url: https://administrator.de/forum/trotz-loeschung-gpo-immer-noch-aktiv-182409.html

Ausgedruckt am: 26.12.2024 um 01:12 Uhr

jsysde
jsysde 22.03.2012 um 10:32:05 Uhr
Goto Top
Moin,

expected behaviour - durch das Löschen einer GPO werden die durch sie gemachten Einstellungen _NICHT!_ rückgängig gemacht!
Du hättest innerhalb der GPO die Einstellung auf "Nicht konfiguriert" setzen und die GPO dann anwenden müssen, dann wären die Einstellungen raus.

Cheers,
jsysde

EDIT:
Hat jemand eine Idee wie mand as in den griff kriegt?
Ja - neue GPO erstellen und die Einstellungen darüber "rauskonfigurieren"; ggf. "Erzwingen" für diese GPO einstellen.
ozricXX
ozricXX 22.03.2012 um 10:39:08 Uhr
Goto Top
Zitat von @jsysde:
Moin,

expected behaviour - durch das Löschen einer GPO werden die durch sie gemachten Einstellungen _NICHT!_ rückgängig
gemacht!
Du hättest innerhalb der GPO die Einstellung auf "Nicht konfiguriert" setzen und die GPO dann anwenden müssen,
dann wären die Einstellungen raus.

Cheers,
jsysde

EDIT:
> Hat jemand eine Idee wie mand as in den griff kriegt?
Ja - neue GPO erstellen und die Einstellungen darüber "rauskonfigurieren"; ggf. "Erzwingen" für
diese GPO einstellen.

Hallo, danke für die Antwort.

Ich habe unter Benutzerkonfiguration-Einstellungen-Systemsteuerungseinstellungen-Internetexplorer unter den Lan Einstellungen den Proxy deaktiviert.

Wo sollte ich es denn noch machen?
jsysde
jsysde 22.03.2012 um 10:41:35 Uhr
Goto Top
Moin,

Ich habe unter Benutzerkonfiguration-Einstellungen-Systemsteuerungseinstellungen-Internetexplorer unter den Lan Einstellungen den
Proxy deaktiviert.
Wie das, ich dachte, die GPO wäre gelöscht?
Oder hast du bereits eine neue GPO angelegt?

Cheers,
jsysde
ozricXX
ozricXX 22.03.2012 um 10:51:52 Uhr
Goto Top
Habe mich unklar ausgedrückt, habe die alte GPO umkonfiguriert.

Grüße,
ozric
d4shoerncheN
d4shoerncheN 22.03.2012 um 11:01:51 Uhr
Goto Top
Wird die GPO den angewandt?
Was sagt die Ausgabe von
C:\>gpresult /H GPReport.html
DerWoWusste
DerWoWusste 22.03.2012 um 11:09:38 Uhr
Goto Top
@jsysde
expected behaviour - durch das Löschen einer GPO werden die durch sie gemachten Einstellungen _NICHT!_ rückgängig gemacht!
Oh oh... face-smile gefährliches Halbwissen macht sich breit. Das stimmt längst nicht mehr.
http://www.gpoguy.com/FAQs/Whitepapers/tabid/63/articleType/ArticleView ...
ozricXX
ozricXX 22.03.2012 um 11:23:53 Uhr
Goto Top
Zitat von @d4shoerncheN:
Wird die GPO den angewandt?
Was sagt die Ausgabe von
> C:\>gpresult /H GPReport.html

Dort hat er den Proxy unter Benutzerkonfiguration-Windows-Einstellungen-Internet Explorer-Wartung-Verbindung-Proxyeinstellungen den alten Proxy. Aber auf dem DC ist kein Häckchen in Proxyserver verwenden und alles ausgegraut...
Sehr strange.
d4shoerncheN
d4shoerncheN 22.03.2012 um 11:25:09 Uhr
Goto Top
Zitat von @ozricXX:
> Zitat von @d4shoerncheN:
> ----
> Wird die GPO den angewandt?
> Was sagt die Ausgabe von
> > C:\>gpresult /H GPReport.html

Dort hat er den Proxy unter Benutzerkonfiguration-Windows-Einstellungen-Internet Explorer-Wartung-Verbindung-Proxyeinstellungen
den alten Proxy. Aber auf dem DC ist kein Häckchen in Proxyserver verwenden und alles ausgegraut...
Sehr strange.
Mal am Client "gpupdate /force" ausgeführt. Eigentlich sollte er sich alle 90 Minuten die neuen GPO's holen, aber vielleicht gibt es da Probleme.
jsysde
jsysde 22.03.2012 um 13:36:01 Uhr
Goto Top
@DerWoWusste:
Netter Text, aber irgendwie finde ich den Bezug nicht so ganz. Davon abgesehen: Halbwissen?
Genau die vom TE angefragte Einstellung wird definitiv _NICHT!_ gelöscht, wenn man die zu Grunde liegende GPO entfernt.

Cheers,
jsysde
DerWoWusste
DerWoWusste 22.03.2012 um 13:40:45 Uhr
Goto Top
Hi.

Ich schätze, Du hast es in der Zwischenzeit getestet?
Im Normalfall wird, wie auch im verlinkten Text und bei MS nachzulesen ist, kein Tattooing der registry durchgeführt. Wird eine Policy nicht mehr angewendet, wird in der registry automatisch aufgeräumt und auf Null gesetzt - ein Überschreiben/Negieren/Enforcen ist definitiv nicht nötig.
jsysde
jsysde 22.03.2012 um 13:43:10 Uhr
Goto Top
Moin,

Ich schätze, Du hast es in der Zwischenzeit getestet?
Da brauchte ich nicht viel testen, wir haben grad in einem Kundennetz genau diesen Fall gehabt. Die Lösung war eben, eine neue GPO zu erstellen, in der diese Werte auf "Nicht konfiguriert" gestellt sind und deren Anwendung zu erzwingen.

Ich weiß, warum ich wpad mag. face-wink

Cheers,
jsysde
DerWoWusste
DerWoWusste 22.03.2012 um 14:07:40 Uhr
Goto Top
Gut, bei Euch war es so. Aber, wie Du an besagten Stellen und auch bei MS nachlesen kannst: das ist nicht normal. Deshalb habe ich widersprochen. Ich habe es getestet, ja.
ozricXX
ozricXX 22.03.2012 um 14:43:22 Uhr
Goto Top
Zitat von @d4shoerncheN:
> Zitat von @ozricXX:
> ----
> > Zitat von @d4shoerncheN:
> > ----
> > Wird die GPO den angewandt?
> > Was sagt die Ausgabe von
> > > C:\>gpresult /H GPReport.html
>
> Dort hat er den Proxy unter Benutzerkonfiguration-Windows-Einstellungen-Internet
Explorer-Wartung-Verbindung-Proxyeinstellungen
> den alten Proxy. Aber auf dem DC ist kein Häckchen in Proxyserver verwenden und alles ausgegraut...
> Sehr strange.
Mal am Client "gpupdate /force" ausgeführt. Eigentlich sollte er sich alle 90 Minuten die neuen GPO's holen,
aber vielleicht gibt es da Probleme.

Jep, mit gpupdate /force hats geklappt.

WO kann das Problem liegen? Kann ja jetzt nicht immer den Befehl ausführen.

Vielöe Grüße
d4shoerncheN
d4shoerncheN 22.03.2012 um 14:47:52 Uhr
Goto Top
Siehe Post unten!
ozricXX
ozricXX 22.03.2012 um 15:14:12 Uhr
Goto Top
Es funktioniert ja, wenn ich eben gpupdate /force am Client eingebe.
Aber es sollte natürlich automatisch funktionieren. Wo könnte da der Fehle rliegen?

LG
d4shoerncheN
d4shoerncheN 22.03.2012 um 15:15:32 Uhr
Goto Top
Sind die Clients in der Domäne integriert? Wie gesagt, alle integrierten Clients ziehen sich alle 90 Minuten die neuen Richtlinien. Bei DC alle 5 Minuten. Zumindest ist das mein letzter Stand.
ozricXX
ozricXX 22.03.2012 um 15:16:46 Uhr
Goto Top
Ja, die Clients sind in der Domäne integriert.

Tut mir leid, überlesen :X
d4shoerncheN
d4shoerncheN 22.03.2012 um 15:18:43 Uhr
Goto Top
Hier einmal schauen, welche Werte hinterlegt sind:

Für Computer:
computerkonfiguration -> adm. vorlagen -> system -> gruppenrichtlinien -> aktualisierungsintervall für computer

Für DC's:
computerkonfiguration -> adm. vorlagen -> system -> gruppenrichtlinien -> aktualisierungsintervall für domänencontroller

Für User:
benutzerkonfiguration -> adm. vorlagen -> system -> gruppenrichtlinien -> aktualisierungsintervall für benutzer


Eventuell mal das hier testen, aber nur im Notfall und vorher Sicherung der Registry
http://wiki.winboard.org/index.php/Aktualisierungsrate_der_Gruppenricht ...
ozricXX
ozricXX 22.03.2012 um 15:19:22 Uhr
Goto Top
Stehen alle auf Nicht konfiguriert. Zwingend erforderlich es jetzt zu konfigurieren? Oder sollten die Default Zeiten greifen?
d4shoerncheN
d4shoerncheN 22.03.2012 um 15:21:14 Uhr
Goto Top
Generell sollten die Defaultwerte greifen. Mal in der Ereignisanzeige des SBS geschaut, ob dort Fehler zu finden sind?

Sind für deine individuellen Einstellungen neue Gruppenrichtlinien angelegt worden, oder wurden die Defaults angepasst?

Ansonsten musst du den Befehl ja "nur" bei Neuerungen durchführen. Die Einstellungen behalten die Clients ja bei.
ozricXX
ozricXX 22.03.2012 um 15:26:09 Uhr
Goto Top
Zitat von @d4shoerncheN:
Generell sollten die Defaultwerte greifen. Mal in der Ereignisanzeige des SBS geschaut, ob dort Fehler zu finden sind?

Sind für deine individuellen Einstellungen neue Gruppenrichtlinien angelegt worden, oder wurden die Defaults angepasst?

Ansonsten musst du den Befehl ja "nur" bei Neuerungen durchführen. Die Einstellungen behalten die Clients ja bei.

In der Ereignisanzeige fällt nichts auf...

Es wurde (von meinem Vorgänger) Neue erstellt, wie ich das so sehe.
Naja, trotzdem, bei knapp 200 Rechnern immer den Befehl ausführen und kontrollieren, auf Dauer etwas doof.
d4shoerncheN
d4shoerncheN 22.03.2012 um 15:28:51 Uhr
Goto Top
Alternativ eine Gruppenrichtline erstellen, wo nach dem Bootvorgang ein Anmeldescript gestartet wird. Erstmal mit einem Computer testen, dieses Anmeldescript beinhaltet dann den oben geschriebenen Befehl. Wobei die Clients dieses eigentlich nach jedem Neustart automatisch eh aktualisieren sollten.

Vllt. hat jemand aus dem Forum hier ja noch eine konstruktive Lösung, wie man das Problem beheben kann. Denn mir ist sowas noch nicht bekannt, dass ein Client die GPO's nicht aktualisiert.
DerWoWusste
DerWoWusste 22.03.2012 um 15:51:29 Uhr
Goto Top
An jsysde und den Threadersteller:
Ich muss noch etwas revidieren: In meinem Link steht:
Any registry values placed under one of these 4 keys will be removed when the policy no longer applies. These 4 keys are:

HKEY_LOCAL_MACHINE\Software\Policies
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
HKEY_CURRENT_USER\Software\Policies
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

Dies trifft in diesem speziellen Fall nicht zu, da diese spezielle Policy gar nicht diesen Pfad verwendet! Deshalb ist es in der Tat so, wie jsysde empfiehlt - in diesem Fall muss überschrieben werden oder, wie der Threadersteller selbst bemerkt hat, forciert eingelesen werden über gpupdate /force. Generell jedoch, jsysde, ist Dein Hinweis mit dem "_NICHT_..." _NICHT KORREKT_ face-smile
ozricXX
ozricXX 22.03.2012 um 16:17:38 Uhr
Goto Top
Was mich interessieren würde...

Wie kann ich die Regel überschreiben lassen? (Es gibt ja nur Hacken gesetzt bzw nicht gesetzt, kann ja kein 0 als Proxyserver eintragen).

Bin ich dazu gezwungen jetzt per Anmeldescript alle Clients zu forcen?

Viele Grüße
DerWoWusste
DerWoWusste 22.03.2012 um 16:23:15 Uhr
Goto Top
Doch, Du kannst einen leeren Eintrag setzen lassen ->Haken setzen und nichts eintragen.
ozricXX
ozricXX 22.03.2012 um 16:29:03 Uhr
Goto Top
Okay, Danke !

Aber ich glaube das Problem ist damit nicht geklärt. Mir ist aufgefallen das for dem gpupdate /force auch andere Einstellungen (Drucker zb) geladen waren, nach dem gpupdate dann die aktuellen.
Also kann es (so denke ich, bin kein Experte) ja nicht nur an dieser Regel hängen?
DerWoWusste
DerWoWusste 22.03.2012 um 16:43:49 Uhr
Goto Top
Die Wege des Herrn mögen unergründlich sein...

vielleicht als Kompromiss einfach einen geplanten Task erstellen, der gpupdate /force einmal täglich um Highnoon absetzt? Geht über Group Policy Preferences und nimmt den "currently logged on user" (wobei der Admin dessen Kennwort nicht zu kennen braucht, einfach default settings wählen).
ozricXX
ozricXX 22.03.2012, aktualisiert am 18.10.2012 um 18:50:26 Uhr
Goto Top
Zitat von @DerWoWusste:
Die Wege des Herrn mögen unergründlich sein...

vielleicht als Kompromiss einfach einen geplanten Task erstellen, der gpupdate /force einmal täglich um Highnoon absetzt?
Geht über Group Policy Preferences und nimmt den "currently logged on user" (wobei der Admin dessen Kennwort nicht
zu kennen braucht, einfach default settings wählen).

Könnte ich nicht gpupdate /force in die aktuellen netlogon Scripts setzen (Die bringen das Laufwerksmapping etc.)?

Primären DC neu einrichten?

Hoffe die Aktion bringt das ganze wieder in eine saubere Bahn.
DerWoWusste
DerWoWusste 22.03.2012 um 17:41:44 Uhr
Goto Top
Doch klar. Nur verlängert das Ganze evtl. die Anmeldezeit. Mittags würde es wohl weniger auffallen. Kommt drauf an, wieviele Policies das sind und wie stark die PCs und vor allem, wie ungeduldig die User ;)
holli.zimmi
holli.zimmi 04.03.2016 um 12:58:26 Uhr
Goto Top
Hi,

was ist mit diesen regestry Schlüsseln:
KEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\

und

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy\

Gruß

Holli