Trotz Löschung GPO immer noch aktiv
Ein Proxy wurde per GPO an IE weitergegeben. Trotz Löschung der GPO Proxy jedes mal aktiv.
Guten Morgen,
ich kämpfe schon seit Wochen mit einem Problem in unserer Infrastruktur.
Via GPO war mal ein Proxy im IE der Clients eingetragen. DIeser wird nicht mehr benötigt (Hardware Gateway).
Nun, die GPO ist schon Wochen/Monate raus, trotzdem kommen oft Mitarbeiter die nicht surfen können, da der Proxy in den internetoptionen eingetragen ist.
Ich habe extra meinen Vorgänger angerufen, hätte ja sein können das er noch auf eine andere Art u. Weise ausgeliefert wird.
Aber er meinte es war nur die Richtlinie...
Hat jemand eine Idee wie mand as in den griff kriegt?
LG
Guten Morgen,
ich kämpfe schon seit Wochen mit einem Problem in unserer Infrastruktur.
Via GPO war mal ein Proxy im IE der Clients eingetragen. DIeser wird nicht mehr benötigt (Hardware Gateway).
Nun, die GPO ist schon Wochen/Monate raus, trotzdem kommen oft Mitarbeiter die nicht surfen können, da der Proxy in den internetoptionen eingetragen ist.
Ich habe extra meinen Vorgänger angerufen, hätte ja sein können das er noch auf eine andere Art u. Weise ausgeliefert wird.
Aber er meinte es war nur die Richtlinie...
Hat jemand eine Idee wie mand as in den griff kriegt?
LG
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 182409
Url: https://administrator.de/forum/trotz-loeschung-gpo-immer-noch-aktiv-182409.html
Ausgedruckt am: 26.12.2024 um 01:12 Uhr
30 Kommentare
Neuester Kommentar
Moin,
expected behaviour - durch das Löschen einer GPO werden die durch sie gemachten Einstellungen _NICHT!_ rückgängig gemacht!
Du hättest innerhalb der GPO die Einstellung auf "Nicht konfiguriert" setzen und die GPO dann anwenden müssen, dann wären die Einstellungen raus.
Cheers,
jsysde
EDIT:
expected behaviour - durch das Löschen einer GPO werden die durch sie gemachten Einstellungen _NICHT!_ rückgängig gemacht!
Du hättest innerhalb der GPO die Einstellung auf "Nicht konfiguriert" setzen und die GPO dann anwenden müssen, dann wären die Einstellungen raus.
Cheers,
jsysde
EDIT:
Hat jemand eine Idee wie mand as in den griff kriegt?
Ja - neue GPO erstellen und die Einstellungen darüber "rauskonfigurieren"; ggf. "Erzwingen" für diese GPO einstellen.
@jsysde
http://www.gpoguy.com/FAQs/Whitepapers/tabid/63/articleType/ArticleView ...
expected behaviour - durch das Löschen einer GPO werden die durch sie gemachten Einstellungen _NICHT!_ rückgängig gemacht!
Oh oh... gefährliches Halbwissen macht sich breit. Das stimmt längst nicht mehr.http://www.gpoguy.com/FAQs/Whitepapers/tabid/63/articleType/ArticleView ...
Zitat von @ozricXX:
> Zitat von @d4shoerncheN:
> ----
> Wird die GPO den angewandt?
> Was sagt die Ausgabe von
> > C:\>gpresult /H GPReport.html
Dort hat er den Proxy unter Benutzerkonfiguration-Windows-Einstellungen-Internet Explorer-Wartung-Verbindung-Proxyeinstellungen
den alten Proxy. Aber auf dem DC ist kein Häckchen in Proxyserver verwenden und alles ausgegraut...
Sehr strange.
Mal am Client "gpupdate /force" ausgeführt. Eigentlich sollte er sich alle 90 Minuten die neuen GPO's holen, aber vielleicht gibt es da Probleme.> Zitat von @d4shoerncheN:
> ----
> Wird die GPO den angewandt?
> Was sagt die Ausgabe von
> > C:\>gpresult /H GPReport.html
Dort hat er den Proxy unter Benutzerkonfiguration-Windows-Einstellungen-Internet Explorer-Wartung-Verbindung-Proxyeinstellungen
den alten Proxy. Aber auf dem DC ist kein Häckchen in Proxyserver verwenden und alles ausgegraut...
Sehr strange.
@DerWoWusste:
Netter Text, aber irgendwie finde ich den Bezug nicht so ganz. Davon abgesehen: Halbwissen?
Genau die vom TE angefragte Einstellung wird definitiv _NICHT!_ gelöscht, wenn man die zu Grunde liegende GPO entfernt.
Cheers,
jsysde
Netter Text, aber irgendwie finde ich den Bezug nicht so ganz. Davon abgesehen: Halbwissen?
Genau die vom TE angefragte Einstellung wird definitiv _NICHT!_ gelöscht, wenn man die zu Grunde liegende GPO entfernt.
Cheers,
jsysde
Hi.
Ich schätze, Du hast es in der Zwischenzeit getestet?
Im Normalfall wird, wie auch im verlinkten Text und bei MS nachzulesen ist, kein Tattooing der registry durchgeführt. Wird eine Policy nicht mehr angewendet, wird in der registry automatisch aufgeräumt und auf Null gesetzt - ein Überschreiben/Negieren/Enforcen ist definitiv nicht nötig.
Ich schätze, Du hast es in der Zwischenzeit getestet?
Im Normalfall wird, wie auch im verlinkten Text und bei MS nachzulesen ist, kein Tattooing der registry durchgeführt. Wird eine Policy nicht mehr angewendet, wird in der registry automatisch aufgeräumt und auf Null gesetzt - ein Überschreiben/Negieren/Enforcen ist definitiv nicht nötig.
Moin,
Ich weiß, warum ich wpad mag.
Cheers,
jsysde
Ich schätze, Du hast es in der Zwischenzeit getestet?
Da brauchte ich nicht viel testen, wir haben grad in einem Kundennetz genau diesen Fall gehabt. Die Lösung war eben, eine neue GPO zu erstellen, in der diese Werte auf "Nicht konfiguriert" gestellt sind und deren Anwendung zu erzwingen.Ich weiß, warum ich wpad mag.
Cheers,
jsysde
Hier einmal schauen, welche Werte hinterlegt sind:
Für Computer:
Für DC's:
Für User:
Eventuell mal das hier testen, aber nur im Notfall und vorher Sicherung der Registry
http://wiki.winboard.org/index.php/Aktualisierungsrate_der_Gruppenricht ...
Für Computer:
computerkonfiguration -> adm. vorlagen -> system -> gruppenrichtlinien -> aktualisierungsintervall für computer
Für DC's:
computerkonfiguration -> adm. vorlagen -> system -> gruppenrichtlinien -> aktualisierungsintervall für domänencontroller
Für User:
benutzerkonfiguration -> adm. vorlagen -> system -> gruppenrichtlinien -> aktualisierungsintervall für benutzer
Eventuell mal das hier testen, aber nur im Notfall und vorher Sicherung der Registry
http://wiki.winboard.org/index.php/Aktualisierungsrate_der_Gruppenricht ...
Generell sollten die Defaultwerte greifen. Mal in der Ereignisanzeige des SBS geschaut, ob dort Fehler zu finden sind?
Sind für deine individuellen Einstellungen neue Gruppenrichtlinien angelegt worden, oder wurden die Defaults angepasst?
Ansonsten musst du den Befehl ja "nur" bei Neuerungen durchführen. Die Einstellungen behalten die Clients ja bei.
Sind für deine individuellen Einstellungen neue Gruppenrichtlinien angelegt worden, oder wurden die Defaults angepasst?
Ansonsten musst du den Befehl ja "nur" bei Neuerungen durchführen. Die Einstellungen behalten die Clients ja bei.
Alternativ eine Gruppenrichtline erstellen, wo nach dem Bootvorgang ein Anmeldescript gestartet wird. Erstmal mit einem Computer testen, dieses Anmeldescript beinhaltet dann den oben geschriebenen Befehl. Wobei die Clients dieses eigentlich nach jedem Neustart automatisch eh aktualisieren sollten.
Vllt. hat jemand aus dem Forum hier ja noch eine konstruktive Lösung, wie man das Problem beheben kann. Denn mir ist sowas noch nicht bekannt, dass ein Client die GPO's nicht aktualisiert.
Vllt. hat jemand aus dem Forum hier ja noch eine konstruktive Lösung, wie man das Problem beheben kann. Denn mir ist sowas noch nicht bekannt, dass ein Client die GPO's nicht aktualisiert.
An jsysde und den Threadersteller:
Ich muss noch etwas revidieren: In meinem Link steht:
Dies trifft in diesem speziellen Fall nicht zu, da diese spezielle Policy gar nicht diesen Pfad verwendet! Deshalb ist es in der Tat so, wie jsysde empfiehlt - in diesem Fall muss überschrieben werden oder, wie der Threadersteller selbst bemerkt hat, forciert eingelesen werden über gpupdate /force. Generell jedoch, jsysde, ist Dein Hinweis mit dem "_NICHT_..." _NICHT KORREKT_
Ich muss noch etwas revidieren: In meinem Link steht:
Any registry values placed under one of these 4 keys will be removed when the policy no longer applies. These 4 keys are:
HKEY_LOCAL_MACHINE\Software\Policies
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
HKEY_CURRENT_USER\Software\Policies
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
HKEY_LOCAL_MACHINE\Software\Policies
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
HKEY_CURRENT_USER\Software\Policies
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
Dies trifft in diesem speziellen Fall nicht zu, da diese spezielle Policy gar nicht diesen Pfad verwendet! Deshalb ist es in der Tat so, wie jsysde empfiehlt - in diesem Fall muss überschrieben werden oder, wie der Threadersteller selbst bemerkt hat, forciert eingelesen werden über gpupdate /force. Generell jedoch, jsysde, ist Dein Hinweis mit dem "_NICHT_..." _NICHT KORREKT_
Die Wege des Herrn mögen unergründlich sein...
vielleicht als Kompromiss einfach einen geplanten Task erstellen, der gpupdate /force einmal täglich um Highnoon absetzt? Geht über Group Policy Preferences und nimmt den "currently logged on user" (wobei der Admin dessen Kennwort nicht zu kennen braucht, einfach default settings wählen).
vielleicht als Kompromiss einfach einen geplanten Task erstellen, der gpupdate /force einmal täglich um Highnoon absetzt? Geht über Group Policy Preferences und nimmt den "currently logged on user" (wobei der Admin dessen Kennwort nicht zu kennen braucht, einfach default settings wählen).