30
Trotz Löschung GPO immer noch aktiv
Ein Proxy wurde per GPO an IE weitergegeben. Trotz Löschung der GPO Proxy jedes mal aktiv.
Guten Morgen,
ich kämpfe schon seit Wochen mit einem Problem in unserer Infrastruktur.
Via GPO war mal ein Proxy im IE der Clients eingetragen. DIeser wird nicht mehr benötigt (Hardware Gateway).
Nun, die GPO ist schon Wochen/Monate raus, trotzdem kommen oft Mitarbeiter die nicht surfen können, da der Proxy in den internetoptionen eingetragen ist.
Ich habe extra meinen Vorgänger angerufen, hätte ja sein können das er noch auf eine andere Art u. Weise ausgeliefert wird.
Aber er meinte es war nur die Richtlinie...
Hat jemand eine Idee wie mand as in den griff kriegt?
LG
Guten Morgen,
ich kämpfe schon seit Wochen mit einem Problem in unserer Infrastruktur.
Via GPO war mal ein Proxy im IE der Clients eingetragen. DIeser wird nicht mehr benötigt (Hardware Gateway).
Nun, die GPO ist schon Wochen/Monate raus, trotzdem kommen oft Mitarbeiter die nicht surfen können, da der Proxy in den internetoptionen eingetragen ist.
Ich habe extra meinen Vorgänger angerufen, hätte ja sein können das er noch auf eine andere Art u. Weise ausgeliefert wird.
Aber er meinte es war nur die Richtlinie...
Hat jemand eine Idee wie mand as in den griff kriegt?
LG
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 182409
Url: https://administrator.de/contentid/182409
Ausgedruckt am: 24.11.2024 um 14:11 Uhr
30 Kommentare
Neuester Kommentar
Moin,
expected behaviour - durch das Löschen einer GPO werden die durch sie gemachten Einstellungen _NICHT!_ rückgängig gemacht!
Du hättest innerhalb der GPO die Einstellung auf "Nicht konfiguriert" setzen und die GPO dann anwenden müssen, dann wären die Einstellungen raus.
Cheers,
jsysde
EDIT:
expected behaviour - durch das Löschen einer GPO werden die durch sie gemachten Einstellungen _NICHT!_ rückgängig gemacht!
Du hättest innerhalb der GPO die Einstellung auf "Nicht konfiguriert" setzen und die GPO dann anwenden müssen, dann wären die Einstellungen raus.
Cheers,
jsysde
EDIT:
Hat jemand eine Idee wie mand as in den griff kriegt?
Ja - neue GPO erstellen und die Einstellungen darüber "rauskonfigurieren"; ggf. "Erzwingen" für diese GPO einstellen.
Zitat von @jsysde:
Moin,
expected behaviour - durch das Löschen einer GPO werden die durch sie gemachten Einstellungen _NICHT!_ rückgängig
gemacht!
Du hättest innerhalb der GPO die Einstellung auf "Nicht konfiguriert" setzen und die GPO dann anwenden müssen,
dann wären die Einstellungen raus.
Cheers,
jsysde
EDIT:
> Hat jemand eine Idee wie mand as in den griff kriegt?
Ja - neue GPO erstellen und die Einstellungen darüber "rauskonfigurieren"; ggf. "Erzwingen" für
diese GPO einstellen.
Moin,
expected behaviour - durch das Löschen einer GPO werden die durch sie gemachten Einstellungen _NICHT!_ rückgängig
gemacht!
Du hättest innerhalb der GPO die Einstellung auf "Nicht konfiguriert" setzen und die GPO dann anwenden müssen,
dann wären die Einstellungen raus.
Cheers,
jsysde
EDIT:
> Hat jemand eine Idee wie mand as in den griff kriegt?
Ja - neue GPO erstellen und die Einstellungen darüber "rauskonfigurieren"; ggf. "Erzwingen" für
diese GPO einstellen.
Hallo, danke für die Antwort.
Ich habe unter Benutzerkonfiguration-Einstellungen-Systemsteuerungseinstellungen-Internetexplorer unter den Lan Einstellungen den Proxy deaktiviert.
Wo sollte ich es denn noch machen?
Moin,
Oder hast du bereits eine neue GPO angelegt?
Cheers,
jsysde
Ich habe unter Benutzerkonfiguration-Einstellungen-Systemsteuerungseinstellungen-Internetexplorer unter den Lan Einstellungen den
Proxy deaktiviert.
Wie das, ich dachte, die GPO wäre gelöscht?Proxy deaktiviert.
Oder hast du bereits eine neue GPO angelegt?
Cheers,
jsysde
Habe mich unklar ausgedrückt, habe die alte GPO umkonfiguriert.
Grüße,
ozric
Grüße,
ozric
Wird die GPO den angewandt?
Was sagt die Ausgabe von
Was sagt die Ausgabe von
C:\>gpresult /H GPReport.html
@jsysde
gefährliches Halbwissen macht sich breit. Das stimmt längst nicht mehr.
http://www.gpoguy.com/FAQs/Whitepapers/tabid/63/articleType/ArticleView ...
expected behaviour - durch das Löschen einer GPO werden die durch sie gemachten Einstellungen _NICHT!_ rückgängig gemacht!
Oh oh... gefährliches Halbwissen macht sich breit. Das stimmt längst nicht mehr.http://www.gpoguy.com/FAQs/Whitepapers/tabid/63/articleType/ArticleView ...
Zitat von @d4shoerncheN:
Wird die GPO den angewandt?
Was sagt die Ausgabe von
> C:\>gpresult /H GPReport.html
Wird die GPO den angewandt?
Was sagt die Ausgabe von
> C:\>gpresult /H GPReport.html
Dort hat er den Proxy unter Benutzerkonfiguration-Windows-Einstellungen-Internet Explorer-Wartung-Verbindung-Proxyeinstellungen den alten Proxy. Aber auf dem DC ist kein Häckchen in Proxyserver verwenden und alles ausgegraut...
Sehr strange.
Zitat von @ozricXX:
> Zitat von @d4shoerncheN:
> ----
> Wird die GPO den angewandt?
> Was sagt die Ausgabe von
> > C:\>gpresult /H GPReport.html
Dort hat er den Proxy unter Benutzerkonfiguration-Windows-Einstellungen-Internet Explorer-Wartung-Verbindung-Proxyeinstellungen
den alten Proxy. Aber auf dem DC ist kein Häckchen in Proxyserver verwenden und alles ausgegraut...
Sehr strange.
Mal am Client "gpupdate /force" ausgeführt. Eigentlich sollte er sich alle 90 Minuten die neuen GPO's holen, aber vielleicht gibt es da Probleme.> Zitat von @d4shoerncheN:
> ----
> Wird die GPO den angewandt?
> Was sagt die Ausgabe von
> > C:\>gpresult /H GPReport.html
Dort hat er den Proxy unter Benutzerkonfiguration-Windows-Einstellungen-Internet Explorer-Wartung-Verbindung-Proxyeinstellungen
den alten Proxy. Aber auf dem DC ist kein Häckchen in Proxyserver verwenden und alles ausgegraut...
Sehr strange.
@DerWoWusste:
Netter Text, aber irgendwie finde ich den Bezug nicht so ganz. Davon abgesehen: Halbwissen?
Genau die vom TE angefragte Einstellung wird definitiv _NICHT!_ gelöscht, wenn man die zu Grunde liegende GPO entfernt.
Cheers,
jsysde
Netter Text, aber irgendwie finde ich den Bezug nicht so ganz. Davon abgesehen: Halbwissen?
Genau die vom TE angefragte Einstellung wird definitiv _NICHT!_ gelöscht, wenn man die zu Grunde liegende GPO entfernt.
Cheers,
jsysde
Hi.
Ich schätze, Du hast es in der Zwischenzeit getestet?
Im Normalfall wird, wie auch im verlinkten Text und bei MS nachzulesen ist, kein Tattooing der registry durchgeführt. Wird eine Policy nicht mehr angewendet, wird in der registry automatisch aufgeräumt und auf Null gesetzt - ein Überschreiben/Negieren/Enforcen ist definitiv nicht nötig.
Ich schätze, Du hast es in der Zwischenzeit getestet?
Im Normalfall wird, wie auch im verlinkten Text und bei MS nachzulesen ist, kein Tattooing der registry durchgeführt. Wird eine Policy nicht mehr angewendet, wird in der registry automatisch aufgeräumt und auf Null gesetzt - ein Überschreiben/Negieren/Enforcen ist definitiv nicht nötig.
Moin,
Ich weiß, warum ich wpad mag.
Cheers,
jsysde
Ich schätze, Du hast es in der Zwischenzeit getestet?
Da brauchte ich nicht viel testen, wir haben grad in einem Kundennetz genau diesen Fall gehabt. Die Lösung war eben, eine neue GPO zu erstellen, in der diese Werte auf "Nicht konfiguriert" gestellt sind und deren Anwendung zu erzwingen.Ich weiß, warum ich wpad mag.
Cheers,
jsysde
Gut, bei Euch war es so. Aber, wie Du an besagten Stellen und auch bei MS nachlesen kannst: das ist nicht normal. Deshalb habe ich widersprochen. Ich habe es getestet, ja.
Zitat von @d4shoerncheN:
> Zitat von @ozricXX:
> ----
> > Zitat von @d4shoerncheN:
> > ----
> > Wird die GPO den angewandt?
> > Was sagt die Ausgabe von
> > > C:\>gpresult /H GPReport.html
>
> Dort hat er den Proxy unter Benutzerkonfiguration-Windows-Einstellungen-Internet
Explorer-Wartung-Verbindung-Proxyeinstellungen
> den alten Proxy. Aber auf dem DC ist kein Häckchen in Proxyserver verwenden und alles ausgegraut...
> Sehr strange.
Mal am Client "gpupdate /force" ausgeführt. Eigentlich sollte er sich alle 90 Minuten die neuen GPO's holen,
aber vielleicht gibt es da Probleme.
> Zitat von @ozricXX:
> ----
> > Zitat von @d4shoerncheN:
> > ----
> > Wird die GPO den angewandt?
> > Was sagt die Ausgabe von
> > > C:\>gpresult /H GPReport.html
>
> Dort hat er den Proxy unter Benutzerkonfiguration-Windows-Einstellungen-Internet
Explorer-Wartung-Verbindung-Proxyeinstellungen
> den alten Proxy. Aber auf dem DC ist kein Häckchen in Proxyserver verwenden und alles ausgegraut...
> Sehr strange.
Mal am Client "gpupdate /force" ausgeführt. Eigentlich sollte er sich alle 90 Minuten die neuen GPO's holen,
aber vielleicht gibt es da Probleme.
Jep, mit gpupdate /force hats geklappt.
WO kann das Problem liegen? Kann ja jetzt nicht immer den Befehl ausführen.
Vielöe Grüße
Siehe Post unten!
Es funktioniert ja, wenn ich eben gpupdate /force am Client eingebe.
Aber es sollte natürlich automatisch funktionieren. Wo könnte da der Fehle rliegen?
LG
Aber es sollte natürlich automatisch funktionieren. Wo könnte da der Fehle rliegen?
LG
Sind die Clients in der Domäne integriert? Wie gesagt, alle integrierten Clients ziehen sich alle 90 Minuten die neuen Richtlinien. Bei DC alle 5 Minuten. Zumindest ist das mein letzter Stand.
Ja, die Clients sind in der Domäne integriert.
Tut mir leid, überlesen :X
Tut mir leid, überlesen :X
Hier einmal schauen, welche Werte hinterlegt sind:
Für Computer:
Für DC's:
Für User:
Eventuell mal das hier testen, aber nur im Notfall und vorher Sicherung der Registry
http://wiki.winboard.org/index.php/Aktualisierungsrate_der_Gruppenricht ...
Für Computer:
computerkonfiguration -> adm. vorlagen -> system -> gruppenrichtlinien -> aktualisierungsintervall für computer
Für DC's:
computerkonfiguration -> adm. vorlagen -> system -> gruppenrichtlinien -> aktualisierungsintervall für domänencontroller
Für User:
benutzerkonfiguration -> adm. vorlagen -> system -> gruppenrichtlinien -> aktualisierungsintervall für benutzer
Eventuell mal das hier testen, aber nur im Notfall und vorher Sicherung der Registry
http://wiki.winboard.org/index.php/Aktualisierungsrate_der_Gruppenricht ...
Stehen alle auf Nicht konfiguriert. Zwingend erforderlich es jetzt zu konfigurieren? Oder sollten die Default Zeiten greifen?
Generell sollten die Defaultwerte greifen. Mal in der Ereignisanzeige des SBS geschaut, ob dort Fehler zu finden sind?
Sind für deine individuellen Einstellungen neue Gruppenrichtlinien angelegt worden, oder wurden die Defaults angepasst?
Ansonsten musst du den Befehl ja "nur" bei Neuerungen durchführen. Die Einstellungen behalten die Clients ja bei.
Sind für deine individuellen Einstellungen neue Gruppenrichtlinien angelegt worden, oder wurden die Defaults angepasst?
Ansonsten musst du den Befehl ja "nur" bei Neuerungen durchführen. Die Einstellungen behalten die Clients ja bei.
Zitat von @d4shoerncheN:
Generell sollten die Defaultwerte greifen. Mal in der Ereignisanzeige des SBS geschaut, ob dort Fehler zu finden sind?
Sind für deine individuellen Einstellungen neue Gruppenrichtlinien angelegt worden, oder wurden die Defaults angepasst?
Ansonsten musst du den Befehl ja "nur" bei Neuerungen durchführen. Die Einstellungen behalten die Clients ja bei.
Generell sollten die Defaultwerte greifen. Mal in der Ereignisanzeige des SBS geschaut, ob dort Fehler zu finden sind?
Sind für deine individuellen Einstellungen neue Gruppenrichtlinien angelegt worden, oder wurden die Defaults angepasst?
Ansonsten musst du den Befehl ja "nur" bei Neuerungen durchführen. Die Einstellungen behalten die Clients ja bei.
In der Ereignisanzeige fällt nichts auf...
Es wurde (von meinem Vorgänger) Neue erstellt, wie ich das so sehe.
Naja, trotzdem, bei knapp 200 Rechnern immer den Befehl ausführen und kontrollieren, auf Dauer etwas doof.
Alternativ eine Gruppenrichtline erstellen, wo nach dem Bootvorgang ein Anmeldescript gestartet wird. Erstmal mit einem Computer testen, dieses Anmeldescript beinhaltet dann den oben geschriebenen Befehl. Wobei die Clients dieses eigentlich nach jedem Neustart automatisch eh aktualisieren sollten.
Vllt. hat jemand aus dem Forum hier ja noch eine konstruktive Lösung, wie man das Problem beheben kann. Denn mir ist sowas noch nicht bekannt, dass ein Client die GPO's nicht aktualisiert.
Vllt. hat jemand aus dem Forum hier ja noch eine konstruktive Lösung, wie man das Problem beheben kann. Denn mir ist sowas noch nicht bekannt, dass ein Client die GPO's nicht aktualisiert.
An jsysde und den Threadersteller:
Ich muss noch etwas revidieren: In meinem Link steht:
Dies trifft in diesem speziellen Fall nicht zu, da diese spezielle Policy gar nicht diesen Pfad verwendet! Deshalb ist es in der Tat so, wie jsysde empfiehlt - in diesem Fall muss überschrieben werden oder, wie der Threadersteller selbst bemerkt hat, forciert eingelesen werden über gpupdate /force. Generell jedoch, jsysde, ist Dein Hinweis mit dem "_NICHT_..." _NICHT KORREKT_
Ich muss noch etwas revidieren: In meinem Link steht:
Any registry values placed under one of these 4 keys will be removed when the policy no longer applies. These 4 keys are:
HKEY_LOCAL_MACHINE\Software\Policies
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
HKEY_CURRENT_USER\Software\Policies
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
HKEY_LOCAL_MACHINE\Software\Policies
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
HKEY_CURRENT_USER\Software\Policies
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
Dies trifft in diesem speziellen Fall nicht zu, da diese spezielle Policy gar nicht diesen Pfad verwendet! Deshalb ist es in der Tat so, wie jsysde empfiehlt - in diesem Fall muss überschrieben werden oder, wie der Threadersteller selbst bemerkt hat, forciert eingelesen werden über gpupdate /force. Generell jedoch, jsysde, ist Dein Hinweis mit dem "_NICHT_..." _NICHT KORREKT_
Was mich interessieren würde...
Wie kann ich die Regel überschreiben lassen? (Es gibt ja nur Hacken gesetzt bzw nicht gesetzt, kann ja kein 0 als Proxyserver eintragen).
Bin ich dazu gezwungen jetzt per Anmeldescript alle Clients zu forcen?
Viele Grüße
Wie kann ich die Regel überschreiben lassen? (Es gibt ja nur Hacken gesetzt bzw nicht gesetzt, kann ja kein 0 als Proxyserver eintragen).
Bin ich dazu gezwungen jetzt per Anmeldescript alle Clients zu forcen?
Viele Grüße
Doch, Du kannst einen leeren Eintrag setzen lassen ->Haken setzen und nichts eintragen.
Okay, Danke !
Aber ich glaube das Problem ist damit nicht geklärt. Mir ist aufgefallen das for dem gpupdate /force auch andere Einstellungen (Drucker zb) geladen waren, nach dem gpupdate dann die aktuellen.
Also kann es (so denke ich, bin kein Experte) ja nicht nur an dieser Regel hängen?
Aber ich glaube das Problem ist damit nicht geklärt. Mir ist aufgefallen das for dem gpupdate /force auch andere Einstellungen (Drucker zb) geladen waren, nach dem gpupdate dann die aktuellen.
Also kann es (so denke ich, bin kein Experte) ja nicht nur an dieser Regel hängen?
Die Wege des Herrn mögen unergründlich sein...
vielleicht als Kompromiss einfach einen geplanten Task erstellen, der gpupdate /force einmal täglich um Highnoon absetzt? Geht über Group Policy Preferences und nimmt den "currently logged on user" (wobei der Admin dessen Kennwort nicht zu kennen braucht, einfach default settings wählen).
vielleicht als Kompromiss einfach einen geplanten Task erstellen, der gpupdate /force einmal täglich um Highnoon absetzt? Geht über Group Policy Preferences und nimmt den "currently logged on user" (wobei der Admin dessen Kennwort nicht zu kennen braucht, einfach default settings wählen).
Zitat von @DerWoWusste:
Die Wege des Herrn mögen unergründlich sein...
vielleicht als Kompromiss einfach einen geplanten Task erstellen, der gpupdate /force einmal täglich um Highnoon absetzt?
Geht über Group Policy Preferences und nimmt den "currently logged on user" (wobei der Admin dessen Kennwort nicht
zu kennen braucht, einfach default settings wählen).
Die Wege des Herrn mögen unergründlich sein...
vielleicht als Kompromiss einfach einen geplanten Task erstellen, der gpupdate /force einmal täglich um Highnoon absetzt?
Geht über Group Policy Preferences und nimmt den "currently logged on user" (wobei der Admin dessen Kennwort nicht
zu kennen braucht, einfach default settings wählen).
Könnte ich nicht gpupdate /force in die aktuellen netlogon Scripts setzen (Die bringen das Laufwerksmapping etc.)?
Primären DC neu einrichten?
Hoffe die Aktion bringt das ganze wieder in eine saubere Bahn.
Doch klar. Nur verlängert das Ganze evtl. die Anmeldezeit. Mittags würde es wohl weniger auffallen. Kommt drauf an, wieviele Policies das sind und wie stark die PCs und vor allem, wie ungeduldig die User ;)
Hi,
was ist mit diesen regestry Schlüsseln:
KEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\
und
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy\
Gruß
Holli
was ist mit diesen regestry Schlüsseln:
KEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\
und
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy\
Gruß
Holli
