User GPOs werden nicht angewendet
Hallo,
ich habe hier eine Windows Serverumgebeung mit AD.
Nun habe ich fest gestellt, dass GPO's teilweise nicht angewendet werden, obwohl die GPO der richtigen OU zugewiesen ist.
Hier im Konkreten:
Mein User ist in der OU Benutzer wo die GPO Netzlaufwerke_K... zugewiesen ist.
Bei einem gpresult /h wird diese, sowie auch die Drucker_... nicht angezeigt. Somit sind natürlich die Laufwerke und Drucker nicht automatisch gezogen worden.
Die Computerconfig ist deaktiviert.
Das würde ich nun gerne lösen. Berechtigungen passen. Habe auch zusätzlich noch die Domain-Users mit Lesen berechtigt. Brachte jedoch kein Erfolg.
ich habe hier eine Windows Serverumgebeung mit AD.
Nun habe ich fest gestellt, dass GPO's teilweise nicht angewendet werden, obwohl die GPO der richtigen OU zugewiesen ist.
Hier im Konkreten:
Mein User ist in der OU Benutzer wo die GPO Netzlaufwerke_K... zugewiesen ist.
Bei einem gpresult /h wird diese, sowie auch die Drucker_... nicht angezeigt. Somit sind natürlich die Laufwerke und Drucker nicht automatisch gezogen worden.
Die Computerconfig ist deaktiviert.
Das würde ich nun gerne lösen. Berechtigungen passen. Habe auch zusätzlich noch die Domain-Users mit Lesen berechtigt. Brachte jedoch kein Erfolg.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 22251353868
Url: https://administrator.de/forum/user-gpos-werden-nicht-angewendet-22251353868.html
Ausgedruckt am: 24.12.2024 um 18:12 Uhr
16 Kommentare
Neuester Kommentar
Moin,
ein leider viel zu selten genutztes Tool ist die Gruppenrichtlinienmodellierung in der Gruppenrichtlinienverwaltung. Simulier mal die Anmeldung mit der Gruppenrichtlinienmodellierung und schau was laut DC passieren sollte. Da siehst du auch warum GPOs nicht angewandt werden ohne, dass du den Client physisch aufsuchen musst.
Gruß
Doskias
Nachtrag: Noch eine allgemeine Anmerkung zu deinen GPOs: Energieoptionen und RDP Einstellungen solltest du wirklich nicht auf Domänenebene konfigurieren. Ebenso halte ich "disable Firewall" auf Domänenebene für grob fahrlässig. So wie du es hier abgebildet konfiguriert hast, gilt es für alle Clients, alle Server und auch für deine hyperV.
ein leider viel zu selten genutztes Tool ist die Gruppenrichtlinienmodellierung in der Gruppenrichtlinienverwaltung. Simulier mal die Anmeldung mit der Gruppenrichtlinienmodellierung und schau was laut DC passieren sollte. Da siehst du auch warum GPOs nicht angewandt werden ohne, dass du den Client physisch aufsuchen musst.
Gruß
Doskias
Nachtrag: Noch eine allgemeine Anmerkung zu deinen GPOs: Energieoptionen und RDP Einstellungen solltest du wirklich nicht auf Domänenebene konfigurieren. Ebenso halte ich "disable Firewall" auf Domänenebene für grob fahrlässig. So wie du es hier abgebildet konfiguriert hast, gilt es für alle Clients, alle Server und auch für deine hyperV.
Ganz unten in der Gruppenrichtlinienverwaltung (also da wo du deinen Screenshot gemacht hast). Ganz nach unten Scrollen in deiner Gesamtstruktur. Kommt nach Domäne und Standort.
Thema Firewall ist deshalb deaktiviert weil die nicht von MS Verwaltet wird. Es ist ein Zusatzprodukt installiert. Habe aber hier auch schon mal drüber nach gedacht beide Produkte zu aktivieren.
Wirklich auf allen Geräten? Auch auf den HyperV-Servern?
Nachtrag: Noch eine allgemeine Anmerkung zu deinen GPOs: Energieoptionen und RDP Einstellungen solltest du wirklich nicht auf Domänenebene konfigurieren. Ebenso halte ich "disable Firewall" auf Domänenebene für grob fahrlässig. So wie du es hier abgebildet konfiguriert hast, gilt es für alle Clients, alle Server und auch für deine hyperV.
Thema Firewall ist deshalb deaktiviert weil die nicht von MS Verwaltet wird. Es ist ein Zusatzprodukt installiert. Habe aber hier auch schon mal drüber nach gedacht beide Produkte zu aktivieren.
Zitat von @killtec:
Habe die Modellierung nun gefunden.
Lt. Modellierung wird die GPO angewendet. Komisch...
Habe die Modellierung nun gefunden.
Lt. Modellierung wird die GPO angewendet. Komisch...
Haben die entsprechenden User auch Rechte auf das Share das du einbinden willst? Dass es mit deinem Admin funktioniert will ich dir gerne glauben.
Grüße!
Zitat von @mayho33:
Haben die entsprechenden User auch Rechte auf das Share das du einbinden willst? Dass es mit deinem Admin funktioniert will ich dir gerne glauben.
Grüße!
Zitat von @killtec:
Habe die Modellierung nun gefunden.
Lt. Modellierung wird die GPO angewendet. Komisch...
Habe die Modellierung nun gefunden.
Lt. Modellierung wird die GPO angewendet. Komisch...
Haben die entsprechenden User auch Rechte auf das Share das du einbinden willst? Dass es mit deinem Admin funktioniert will ich dir gerne glauben.
Grüße!
Genau. Wenn dir die Modellierung sagt, dass die GPO angewendet wird, dann stimmt das in 99,9 % der Fälle auch. ich sage nicht 100%, weil ich es bislang noch nicht erlebt habe, dass es nicht funktioniert, aber es kann ja dennoch mal Fehlerhaft sein. Nächste Anhaltspunkte:
1. GPRESULT. Damit siehst du was der Client gemacht hat. Das stimmte bislang bei mir immer zu 100% mit der Modellierung überein. Du schreibst dazu:
Bei einem gpresult /h wird diese, sowie auch die Drucker_... nicht angezeigt. Somit sind natürlich die Laufwerke und Drucker nicht automatisch gezogen worden.
Wenn dein Rechner/User die GPO abgefragt hat, dann wird sie dir entweder bei den angewandten oder abgelehnten angezeigt. Wenn Sie gar nicht auftaucht, dann gibt es nur eine Option, wieso es nicht angezeigt wird und die klammern wir (hoffentlich) mal aus. dazu dann gleich mehr. Ggf stimmen deine Modellierungseinstellungen nicht mit dem Client überein.2. Windows Logs. Wenn die GPO verarbeitet wurde und dennoch nicht auftaucht, dann findest du in den Windowslogs dazu eine Fehlermeldung. meistens sind es dann Zugriffsrechte. Wenn der User keinen Zugriff auf das Share/Drucker hat wird die GPO korrekt verarbeitet, durch fehlende Zugriffsrechte wird dir dennoch nichts angezeigt. Hast du irgendwelche Fehler direkt nach der Verarbeitung der GPO? In den Fehlermeldungen steht sogar der GPO Name drin. Sollte leicht zu finden sein.
Jetzt zur Ergänzung zu Punkt 1: Mir ist nur eine Option bekannt bei der die Gruppenrichtlinienmodellierung eine GPO korrekt verarbeitet und diese Gruppenrichtlinie dann per GPRESULT weder in als verarbeitet noch als abgelehnt angezeigt wird. Und zwar, wenn du zwei DC hast und die von dir erstellte Gruppenrichtlinie von DC A nicht auf den DC B synchronisiert wurde und dein Client aber seine Anmeldung über DC B vornimmt. Dann hättest asynchrone DC und solltest dich darum kümmern und nicht um einen Client. Hast du aber nur einen DC bzw. sind deine DCs synchron, dann hast du entweder bei GPRESULT nicht richtig hingeschaut oder bei der Modellierung nicht die Situation getreu nachgestellt.
Gruß
Doskias
Zitat von @killtec:
Das ist leider hier das Problem Sie tauchen gar nicht erst auf...
Bei der Modellierung habe ich für den User die entsprechende OU ausgewählt wo der User ist und bei Client die entsprechende wo der Client ist.
Du kannst die Modellierung auch genau für den Rechner und für jeden User einzeln simulieren. OU des Rechners sollte keine Rolle spielen, da du ja "nur" Benutzereinstellungen sehen willst. Wenn es aber in der Modellierung bei der OU funktioniert, aber beim User nicht, wäre mein vorgehen, die Modellierung nun nochmal für den User auszuführen und die Ergebnisse vergleichen. Für mich klingt es danach, dass der User entweder nicht in der OU ist oder nicht der Gruppe angehört, die im Sicherheitsfilter steht. Auf jeden Fall vergleichst du hier zwei unterschiedliche Dinge:Das ist leider hier das Problem Sie tauchen gar nicht erst auf...
Bei der Modellierung habe ich für den User die entsprechende OU ausgewählt wo der User ist und bei Client die entsprechende wo der Client ist.
Anmeldung von einem User an einem PC (gpresult-Ergebnis) ist nicht das gleiche Wie OU an OU (deine Gruppenrichtlinienmodellierung)
Leider nein. Unter Anwendung nur dass die GPO erfolgreich verarbeitet wurde und unter System dass er LAPS nicht installierten konnte (Ist bereits installiert).
Dann hat er die GPO nicht einmal versucht zu verarbeiten. Entweder durch den falschen Sicherheitsfilter, WMI-Filter oder asynchronen DC.
Dann werde ich das mal nachschauen. Ich habe mehr als 2 DC'S... Je Standort einen und am Hauptstandort 2.
Hast du hier auf die Schnelle nen Tipp wie ich das abgleiche welcher nicht synchron ist / richtig repliziert ist?
Entweder manuell indem du einfach mal nachschaust ob an dem DC wo die Anmeldung stattgefunden hat, auch deine GPO zu sehen ist (vorausgesetzt du hast sie woanders angelegt) oder du nutzt das dafür den Replikationsadmin, kurz repadmin. Letzteres ist hier schön zusammengefasst, oder du googlst selbst Hast du hier auf die Schnelle nen Tipp wie ich das abgleiche welcher nicht synchron ist / richtig repliziert ist?
Viel Erfolg.
Ja, es gibt wohl GPOs die man explizit überschreiben muss, etwa solche die z.B. ein Netzlaufwerk entfernen. Eine GPO hat ja gerade den Zweck Settings zu überschreiben. Wäre ja noch schöner, wenn man auch hier noch bitten muss.
Eventuell grätscht dir hier ja eine GPO mit höherer Priorität rein? https://www.gruppenrichtlinien.de/artikel/vererbung-und-hierarchien
Willst du einem Laufwerksbuchstaben ein anderes Value zuordnen dann hilft der Haken bei "Update" oder "erzwingen"
Hier ist die Lösung den Hacken zu setzen bei "Beim Anmelden und Neustart immer auf Netzwerk warten".
GPO Laufwerk verbinden macht Probleme
Eventuell grätscht dir hier ja eine GPO mit höherer Priorität rein? https://www.gruppenrichtlinien.de/artikel/vererbung-und-hierarchien
Willst du einem Laufwerksbuchstaben ein anderes Value zuordnen dann hilft der Haken bei "Update" oder "erzwingen"
Hier ist die Lösung den Hacken zu setzen bei "Beim Anmelden und Neustart immer auf Netzwerk warten".
GPO Laufwerk verbinden macht Probleme
Hi,
hab scho fast befürchtet, dass Loopback auch noch dazukommt
Funktionieren Teile von GPOs nicht oder ganze GPOs?
Tauchen die GPOs im gpresult Report irgendwo auf?
Habt ihr wenige große GPOs oder viele kleine mit paar Settings?
Auf Laufwerk oder Druckersettings sind keine Filter nach PC-Namen o.ä.?
Betrifft es einzelne User auf bestimmten PCs oder alle?
Eventuell grätscht dir hier ja eine GPO mit höherer Priorität rein?
Wenn nur einzelne User/PCs: gpupdate /force, lokale policy Dateien löschen, hast du auch schon probiert?
Zb Drucker in einer neuen GPO verbinden schon probiert. Also GPO mal nachbauen?
hab scho fast befürchtet, dass Loopback auch noch dazukommt
Funktionieren Teile von GPOs nicht oder ganze GPOs?
Tauchen die GPOs im gpresult Report irgendwo auf?
Habt ihr wenige große GPOs oder viele kleine mit paar Settings?
Auf Laufwerk oder Druckersettings sind keine Filter nach PC-Namen o.ä.?
Betrifft es einzelne User auf bestimmten PCs oder alle?
Eventuell grätscht dir hier ja eine GPO mit höherer Priorität rein?
Wenn nur einzelne User/PCs: gpupdate /force, lokale policy Dateien löschen, hast du auch schon probiert?
Zb Drucker in einer neuen GPO verbinden schon probiert. Also GPO mal nachbauen?
Eventuell grätscht dir hier ja eine GPO mit höherer Priorität rein?
Da müsste doch die andere GPO als winner beim Laufwerk K: in gpresult stehen. Wenn sie es zb löscht.