killtec
Goto Top

User GPOs werden nicht angewendet

Hallo,
ich habe hier eine Windows Serverumgebeung mit AD.
Nun habe ich fest gestellt, dass GPO's teilweise nicht angewendet werden, obwohl die GPO der richtigen OU zugewiesen ist.

Hier im Konkreten:
screenshot 2023-11-30 092742
Mein User ist in der OU Benutzer wo die GPO Netzlaufwerke_K... zugewiesen ist.
Bei einem gpresult /h wird diese, sowie auch die Drucker_... nicht angezeigt. Somit sind natürlich die Laufwerke und Drucker nicht automatisch gezogen worden.

Die Computerconfig ist deaktiviert.
screenshot 2023-11-30 093554

Das würde ich nun gerne lösen. Berechtigungen passen. Habe auch zusätzlich noch die Domain-Users mit Lesen berechtigt. Brachte jedoch kein Erfolg.

Content-Key: 22251353868

Url: https://administrator.de/contentid/22251353868

Printed on: March 2, 2024 at 07:03 o'clock

Member: Dirmhirn
Dirmhirn Nov 30, 2023 at 10:14:10 (UTC)
Goto Top
Hi,

hast du schon neue User/Computer GPOs erstellt und getestet ob die ankommen? Bzw Testuser/PC?
Fehler oder als Denied sind auch nicht in gpresult?

Sg Dirm
Member: Doskias
Doskias Nov 30, 2023 updated at 10:53:28 (UTC)
Goto Top
Moin,

ein leider viel zu selten genutztes Tool ist die Gruppenrichtlinienmodellierung in der Gruppenrichtlinienverwaltung. Simulier mal die Anmeldung mit der Gruppenrichtlinienmodellierung und schau was laut DC passieren sollte. Da siehst du auch warum GPOs nicht angewandt werden ohne, dass du den Client physisch aufsuchen musst.

Gruß
Doskias

Nachtrag: Noch eine allgemeine Anmerkung zu deinen GPOs: Energieoptionen und RDP Einstellungen solltest du wirklich nicht auf Domänenebene konfigurieren. Ebenso halte ich "disable Firewall" auf Domänenebene für grob fahrlässig. So wie du es hier abgebildet konfiguriert hast, gilt es für alle Clients, alle Server und auch für deine hyperV.
Member: killtec
killtec Nov 30, 2023 at 11:25:51 (UTC)
Goto Top
Zitat von @Dirmhirn:

Hi,

hast du schon neue User/Computer GPOs erstellt und getestet ob die ankommen? Bzw Testuser/PC?
Fehler oder als Denied sind auch nicht in gpresult?

Sg Dirm

Nein,
Weder noch.

Zitat von @Doskias:

Moin,

ein leider viel zu selten genutztes Tool ist die Gruppenrichtlinienmodellierung in der Gruppenrichtlinienverwaltung. Simulier mal die Anmeldung mit der Gruppenrichtlinienmodellierung und schau was laut DC passieren sollte. Da siehst du auch warum GPOs nicht angewandt werden ohne, dass du den Client physisch aufsuchen musst.


Kenne ich so noch gar nicht. Wo finde ich das Tool denn genau?

Gruß
Doskias

Nachtrag: Noch eine allgemeine Anmerkung zu deinen GPOs: Energieoptionen und RDP Einstellungen solltest du wirklich nicht auf Domänenebene konfigurieren. Ebenso halte ich "disable Firewall" auf Domänenebene für grob fahrlässig. So wie du es hier abgebildet konfiguriert hast, gilt es für alle Clients, alle Server und auch für deine hyperV.

Thema Firewall ist deshalb deaktiviert weil die nicht von MS Verwaltet wird. Es ist ein Zusatzprodukt installiert. Habe aber hier auch schon mal drüber nach gedacht beide Produkte zu aktivieren.
Member: Doskias
Doskias Nov 30, 2023 at 11:32:27 (UTC)
Goto Top
Zitat von @killtec:
Kenne ich so noch gar nicht. Wo finde ich das Tool denn genau?
Ganz unten in der Gruppenrichtlinienverwaltung (also da wo du deinen Screenshot gemacht hast). Ganz nach unten Scrollen in deiner Gesamtstruktur. Kommt nach Domäne und Standort.

Nachtrag: Noch eine allgemeine Anmerkung zu deinen GPOs: Energieoptionen und RDP Einstellungen solltest du wirklich nicht auf Domänenebene konfigurieren. Ebenso halte ich "disable Firewall" auf Domänenebene für grob fahrlässig. So wie du es hier abgebildet konfiguriert hast, gilt es für alle Clients, alle Server und auch für deine hyperV.

Thema Firewall ist deshalb deaktiviert weil die nicht von MS Verwaltet wird. Es ist ein Zusatzprodukt installiert. Habe aber hier auch schon mal drüber nach gedacht beide Produkte zu aktivieren.
Wirklich auf allen Geräten? Auch auf den HyperV-Servern? face-wink
Member: killtec
killtec Nov 30, 2023 at 11:37:12 (UTC)
Goto Top
Habe die Modellierung nun gefunden.
Lt. Modellierung wird die GPO angewendet. Komisch...
Member: killtec
killtec Nov 30, 2023 at 11:38:04 (UTC)
Goto Top
Zitat von @Doskias:
Wirklich auf allen Geräten? Auch auf den HyperV-Servern? face-wink
Die sind als Core Außen vor...
Member: mayho33
mayho33 Nov 30, 2023 at 16:02:22 (UTC)
Goto Top
Zitat von @killtec:

Habe die Modellierung nun gefunden.
Lt. Modellierung wird die GPO angewendet. Komisch...

Haben die entsprechenden User auch Rechte auf das Share das du einbinden willst? Dass es mit deinem Admin funktioniert will ich dir gerne glauben.

Grüße!
Member: Doskias
Doskias Dec 01, 2023 at 07:18:03 (UTC)
Goto Top
Zitat von @mayho33:

Zitat von @killtec:

Habe die Modellierung nun gefunden.
Lt. Modellierung wird die GPO angewendet. Komisch...

Haben die entsprechenden User auch Rechte auf das Share das du einbinden willst? Dass es mit deinem Admin funktioniert will ich dir gerne glauben.

Grüße!

Genau. Wenn dir die Modellierung sagt, dass die GPO angewendet wird, dann stimmt das in 99,9 % der Fälle auch. ich sage nicht 100%, weil ich es bislang noch nicht erlebt habe, dass es nicht funktioniert, aber es kann ja dennoch mal Fehlerhaft sein. Nächste Anhaltspunkte:

1. GPRESULT. Damit siehst du was der Client gemacht hat. Das stimmte bislang bei mir immer zu 100% mit der Modellierung überein. Du schreibst dazu:
Bei einem gpresult /h wird diese, sowie auch die Drucker_... nicht angezeigt. Somit sind natürlich die Laufwerke und Drucker nicht automatisch gezogen worden.
Wenn dein Rechner/User die GPO abgefragt hat, dann wird sie dir entweder bei den angewandten oder abgelehnten angezeigt. Wenn Sie gar nicht auftaucht, dann gibt es nur eine Option, wieso es nicht angezeigt wird und die klammern wir (hoffentlich) mal aus. dazu dann gleich mehr. Ggf stimmen deine Modellierungseinstellungen nicht mit dem Client überein.

2. Windows Logs. Wenn die GPO verarbeitet wurde und dennoch nicht auftaucht, dann findest du in den Windowslogs dazu eine Fehlermeldung. meistens sind es dann Zugriffsrechte. Wenn der User keinen Zugriff auf das Share/Drucker hat wird die GPO korrekt verarbeitet, durch fehlende Zugriffsrechte wird dir dennoch nichts angezeigt. Hast du irgendwelche Fehler direkt nach der Verarbeitung der GPO? In den Fehlermeldungen steht sogar der GPO Name drin. Sollte leicht zu finden sein.

Jetzt zur Ergänzung zu Punkt 1: Mir ist nur eine Option bekannt bei der die Gruppenrichtlinienmodellierung eine GPO korrekt verarbeitet und diese Gruppenrichtlinie dann per GPRESULT weder in als verarbeitet noch als abgelehnt angezeigt wird. Und zwar, wenn du zwei DC hast und die von dir erstellte Gruppenrichtlinie von DC A nicht auf den DC B synchronisiert wurde und dein Client aber seine Anmeldung über DC B vornimmt. Dann hättest asynchrone DC und solltest dich darum kümmern und nicht um einen Client. Hast du aber nur einen DC bzw. sind deine DCs synchron, dann hast du entweder bei GPRESULT nicht richtig hingeschaut oder bei der Modellierung nicht die Situation getreu nachgestellt.

Gruß
Doskias
Member: killtec
killtec Dec 04, 2023 at 08:04:09 (UTC)
Goto Top
Zitat von @Doskias:

Zitat von @mayho33:

Zitat von @killtec:

Habe die Modellierung nun gefunden.
Lt. Modellierung wird die GPO angewendet. Komisch...

Haben die entsprechenden User auch Rechte auf das Share das du einbinden willst? Dass es mit deinem Admin funktioniert will ich dir gerne glauben.

Grüße!

Genau. Wenn dir die Modellierung sagt, dass die GPO angewendet wird, dann stimmt das in 99,9 % der Fälle auch. ich sage nicht 100%, weil ich es bislang noch nicht erlebt habe, dass es nicht funktioniert, aber es kann ja dennoch mal Fehlerhaft sein. Nächste Anhaltspunkte:

1. GPRESULT. Damit siehst du was der Client gemacht hat. Das stimmte bislang bei mir immer zu 100% mit der Modellierung überein. Du schreibst dazu:
Bei einem gpresult /h wird diese, sowie auch die Drucker_... nicht angezeigt. Somit sind natürlich die Laufwerke und Drucker nicht automatisch gezogen worden.
Wenn dein Rechner/User die GPO abgefragt hat, dann wird sie dir entweder bei den angewandten oder abgelehnten angezeigt. Wenn Sie gar nicht auftaucht, dann gibt es nur eine Option, wieso es nicht angezeigt wird und die klammern wir (hoffentlich) mal aus. dazu dann gleich mehr. Ggf stimmen deine Modellierungseinstellungen nicht mit dem Client überein.
Das ist leider hier das Problem Sie tauchen gar nicht erst auf...
Bei der Modellierung habe ich für den User die entsprechende OU ausgewählt wo der User ist und bei Client die entsprechende wo der Client ist.


2. Windows Logs. Wenn die GPO verarbeitet wurde und dennoch nicht auftaucht, dann findest du in den Windowslogs dazu eine Fehlermeldung. meistens sind es dann Zugriffsrechte. Wenn der User keinen Zugriff auf das Share/Drucker hat wird die GPO korrekt verarbeitet, durch fehlende Zugriffsrechte wird dir dennoch nichts angezeigt. Hast du irgendwelche Fehler direkt nach der Verarbeitung der GPO? In den Fehlermeldungen steht sogar der GPO Name drin. Sollte leicht zu finden sein.

Leider nein. Unter Anwendung nur dass die GPO erfolgreich verarbeitet wurde und unter System dass er LAPS nicht installierten konnte (Ist bereits installiert).

Jetzt zur Ergänzung zu Punkt 1: Mir ist nur eine Option bekannt bei der die Gruppenrichtlinienmodellierung eine GPO korrekt verarbeitet und diese Gruppenrichtlinie dann per GPRESULT weder in als verarbeitet noch als abgelehnt angezeigt wird. Und zwar, wenn du zwei DC hast und die von dir erstellte Gruppenrichtlinie von DC A nicht auf den DC B synchronisiert wurde und dein Client aber seine Anmeldung über DC B vornimmt. Dann hättest asynchrone DC und solltest dich darum kümmern und nicht um einen Client. Hast du aber nur einen DC bzw. sind deine DCs synchron, dann hast du entweder bei GPRESULT nicht richtig hingeschaut oder bei der Modellierung nicht die Situation getreu nachgestellt.

Dann werde ich das mal nachschauen. Ich habe mehr als 2 DC'S... Je Standort einen und am Hauptstandort 2.
Hast du hier auf die Schnelle nen Tipp wie ich das abgleiche welcher nicht synchron ist / richtig repliziert ist?

Gruß
Doskias
Member: Doskias
Doskias Dec 04, 2023 at 09:57:45 (UTC)
Goto Top
Zitat von @killtec:
Das ist leider hier das Problem Sie tauchen gar nicht erst auf...
Bei der Modellierung habe ich für den User die entsprechende OU ausgewählt wo der User ist und bei Client die entsprechende wo der Client ist.
Du kannst die Modellierung auch genau für den Rechner und für jeden User einzeln simulieren. OU des Rechners sollte keine Rolle spielen, da du ja "nur" Benutzereinstellungen sehen willst. Wenn es aber in der Modellierung bei der OU funktioniert, aber beim User nicht, wäre mein vorgehen, die Modellierung nun nochmal für den User auszuführen und die Ergebnisse vergleichen. Für mich klingt es danach, dass der User entweder nicht in der OU ist oder nicht der Gruppe angehört, die im Sicherheitsfilter steht. Auf jeden Fall vergleichst du hier zwei unterschiedliche Dinge:

Anmeldung von einem User an einem PC (gpresult-Ergebnis) ist nicht das gleiche Wie OU an OU (deine Gruppenrichtlinienmodellierung) face-wink

Leider nein. Unter Anwendung nur dass die GPO erfolgreich verarbeitet wurde und unter System dass er LAPS nicht installierten konnte (Ist bereits installiert).

Dann hat er die GPO nicht einmal versucht zu verarbeiten. Entweder durch den falschen Sicherheitsfilter, WMI-Filter oder asynchronen DC.

Dann werde ich das mal nachschauen. Ich habe mehr als 2 DC'S... Je Standort einen und am Hauptstandort 2.
Hast du hier auf die Schnelle nen Tipp wie ich das abgleiche welcher nicht synchron ist / richtig repliziert ist?
Entweder manuell indem du einfach mal nachschaust ob an dem DC wo die Anmeldung stattgefunden hat, auch deine GPO zu sehen ist (vorausgesetzt du hast sie woanders angelegt) oder du nutzt das dafür den Replikationsadmin, kurz repadmin. Letzteres ist hier schön zusammengefasst, oder du googlst selbst face-wink

Viel Erfolg.
Member: killtec
killtec Dec 04, 2023 at 13:16:10 (UTC)
Goto Top
SO,
meine DC Replikation rennt wieder :D jetzt kann ich mich wieder den GPO's widmen.
Interessanterweise weil manche DC's andere nicht erreichen konnten. Habe nun ein paar Routen im VPN hinzugefügt.
Member: killtec
killtec Dec 04, 2023 at 14:44:06 (UTC)
Goto Top
Weitere Info dazu.
Neuer PC beim andren Benutzer: User GPO wird gezogen. Der User und meiner sind in der gleichen OU, lediglich die Clients nicht.
Member: killtec
killtec Dec 04, 2023 at 15:30:20 (UTC)
Goto Top
So, habe mal was getestet,
Ich habe den Rechner in eine andere GPO gepackt und er hat andere GPO's verarbeitet.
Ich habe da auch eine Vermutung...
Es gibt eine GPO die kürzere Bildschirmsperrzeigen hat. Statt 20 Minuten soll der PC nach 5 Min gesperrt werden.
ener1
ener2
ener3

Meine Vermutung ist die Loopbackverarbeitung? Kann das sein?
Wie sollte ich die Werte sonst überschreiben für diese Einstellungen?
Member: mayho33
mayho33 Dec 04, 2023 at 22:03:42 (UTC)
Goto Top
Ja, es gibt wohl GPOs die man explizit überschreiben muss, etwa solche die z.B. ein Netzlaufwerk entfernen. Eine GPO hat ja gerade den Zweck Settings zu überschreiben. Wäre ja noch schöner, wenn man auch hier noch bitten muss.

Eventuell grätscht dir hier ja eine GPO mit höherer Priorität rein? https://www.gruppenrichtlinien.de/artikel/vererbung-und-hierarchien

Willst du einem Laufwerksbuchstaben ein anderes Value zuordnen dann hilft der Haken bei "Update" oder "erzwingen"

Hier ist die Lösung den Hacken zu setzen bei "Beim Anmelden und Neustart immer auf Netzwerk warten".
GPO Laufwerk verbinden macht Probleme
Member: Dirmhirn
Dirmhirn Dec 04, 2023 at 22:56:36 (UTC)
Goto Top
Hi,
hab scho fast befürchtet, dass Loopback auch noch dazukommt face-big-smile

Funktionieren Teile von GPOs nicht oder ganze GPOs?
Tauchen die GPOs im gpresult Report irgendwo auf?
Habt ihr wenige große GPOs oder viele kleine mit paar Settings?
Auf Laufwerk oder Druckersettings sind keine Filter nach PC-Namen o.ä.?
Betrifft es einzelne User auf bestimmten PCs oder alle?

Eventuell grätscht dir hier ja eine GPO mit höherer Priorität rein?


Wenn nur einzelne User/PCs: gpupdate /force, lokale policy Dateien löschen, hast du auch schon probiert?
Zb Drucker in einer neuen GPO verbinden schon probiert. Also GPO mal nachbauen?

Eventuell grätscht dir hier ja eine GPO mit höherer Priorität rein?
Da müsste doch die andere GPO als winner beim Laufwerk K: in gpresult stehen. Wenn sie es zb löscht.
Member: killtec
killtec Dec 05, 2023 at 08:15:09 (UTC)
Goto Top
Zitat von @Dirmhirn:

Hi,
hab scho fast befürchtet, dass Loopback auch noch dazukommt face-big-smile

Funktionieren Teile von GPOs nicht oder ganze GPOs?
Tauchen die GPOs im gpresult Report irgendwo auf?

nein, die waren gar nicht erst zu sehen. Den Teil mit den kürzeren Sperrzeiten betrifft auch nur eine Hand voll Personen, da ist es noch nicht aufgefallen.

Habt ihr wenige große GPOs oder viele kleine mit paar Settings?
Ich versuche eher mehrere kleine GPOs zu erzeugen um hier etwas granularer zu arbeiten.

Auf Laufwerk oder Druckersettings sind keine Filter nach PC-Namen o.ä.?
Betrifft es einzelne User auf bestimmten PCs oder alle?
s. oben

Eventuell grätscht dir hier ja eine GPO mit höherer Priorität rein?

das wäre eine Vermutung. Diese habe ich ja durch die Loopback gehabt.

Wenn nur einzelne User/PCs: gpupdate /force, lokale policy Dateien löschen, hast du auch schon probiert?
Zb Drucker in einer neuen GPO verbinden schon probiert. Also GPO mal nachbauen?
nein.

Eventuell grätscht dir hier ja eine GPO mit höherer Priorität rein?
Da müsste doch die andere GPO als winner beim Laufwerk K: in gpresult stehen. Wenn sie es zb löscht.
Sollte. Schön wäre ja gewesen, wenn die GPO überhaupt gezogen wurde. Durch verschieben des Clients in eine andere OU hat er sie verarbeitet. Ich habe den Client nun wieder in die originale GPO verschoben. Meine Laufwerke sind noch da ;)
Hatte sie vorher manuell verbunden.