User GPOs werden nicht angewendet

Moin,

ein leider viel zu selten genutztes Tool ist die Gruppenrichtlinienmodellierung in der Gruppenrichtlinienverwaltung. Simulier mal die Anmeldung mit der Gruppenrichtlinienmodellierung und schau was laut DC passieren sollte. Da siehst du auch warum GPOs nicht angewandt werden ohne, dass du den Client physisch aufsuchen musst.

Gruß
Doskias

Nachtrag: Noch eine allgemeine Anmerkung zu deinen GPOs: Energieoptionen und RDP Einstellungen solltest du wirklich nicht auf Domänenebene konfigurieren. Ebenso halte ich "disable Firewall" auf Domänenebene für grob fahrlässig. So wie du es hier abgebildet konfiguriert hast, gilt es für alle Clients, alle Server und auch für deine hyperV.

Ganz unten in der Gruppenrichtlinienverwaltung (also da wo du deinen Screenshot gemacht hast). Ganz nach unten Scrollen in deiner Gesamtstruktur. Kommt nach Domäne und Standort.

Wirklich auf allen Geräten? Auch auf den HyperV-Servern?

Haben die entsprechenden User auch Rechte auf das Share das du einbinden willst? Dass es mit deinem Admin funktioniert will ich dir gerne glauben.

Grüße!

Genau. Wenn dir die Modellierung sagt, dass die GPO angewendet wird, dann stimmt das in 99,9 % der Fälle auch. ich sage nicht 100%, weil ich es bislang noch nicht erlebt habe, dass es nicht funktioniert, aber es kann ja dennoch mal Fehlerhaft sein. Nächste Anhaltspunkte:

1. GPRESULT. Damit siehst du was der Client gemacht hat. Das stimmte bislang bei mir immer zu 100% mit der Modellierung überein. Du schreibst dazu:
Wenn dein Rechner/User die GPO abgefragt hat, dann wird sie dir entweder bei den angewandten oder abgelehnten angezeigt. Wenn Sie gar nicht auftaucht, dann gibt es nur eine Option, wieso es nicht angezeigt wird und die klammern wir (hoffentlich) mal aus. dazu dann gleich mehr. Ggf stimmen deine Modellierungseinstellungen nicht mit dem Client überein.

2. Windows Logs. Wenn die GPO verarbeitet wurde und dennoch nicht auftaucht, dann findest du in den Windowslogs dazu eine Fehlermeldung. meistens sind es dann Zugriffsrechte. Wenn der User keinen Zugriff auf das Share/Drucker hat wird die GPO korrekt verarbeitet, durch fehlende Zugriffsrechte wird dir dennoch nichts angezeigt. Hast du irgendwelche Fehler direkt nach der Verarbeitung der GPO? In den Fehlermeldungen steht sogar der GPO Name drin. Sollte leicht zu finden sein.

Jetzt zur Ergänzung zu Punkt 1: Mir ist nur eine Option bekannt bei der die Gruppenrichtlinienmodellierung eine GPO korrekt verarbeitet und diese Gruppenrichtlinie dann per GPRESULT weder in als verarbeitet noch als abgelehnt angezeigt wird. Und zwar, wenn du zwei DC hast und die von dir erstellte Gruppenrichtlinie von DC A nicht auf den DC B synchronisiert wurde und dein Client aber seine Anmeldung über DC B vornimmt. Dann hättest asynchrone DC und solltest dich darum kümmern und nicht um einen Client. Hast du aber nur einen DC bzw. sind deine DCs synchron, dann hast du entweder bei GPRESULT nicht richtig hingeschaut oder bei der Modellierung nicht die Situation getreu nachgestellt.

Gruß
Doskias

Du kannst die Modellierung auch genau für den Rechner und für jeden User einzeln simulieren. OU des Rechners sollte keine Rolle spielen, da du ja "nur" Benutzereinstellungen sehen willst. Wenn es aber in der Modellierung bei der OU funktioniert, aber beim User nicht, wäre mein vorgehen, die Modellierung nun nochmal für den User auszuführen und die Ergebnisse vergleichen. Für mich klingt es danach, dass der User entweder nicht in der OU ist oder nicht der Gruppe angehört, die im Sicherheitsfilter steht. Auf jeden Fall vergleichst du hier zwei unterschiedliche Dinge:

Anmeldung von einem User an einem PC (gpresult-Ergebnis) ist nicht das gleiche Wie OU an OU (deine Gruppenrichtlinienmodellierung)


Dann hat er die GPO nicht einmal versucht zu verarbeiten. Entweder durch den falschen Sicherheitsfilter, WMI-Filter oder asynchronen DC.

Entweder manuell indem du einfach mal nachschaust ob an dem DC wo die Anmeldung stattgefunden hat, auch deine GPO zu sehen ist (vorausgesetzt du hast sie woanders angelegt) oder du nutzt das dafür den Replikationsadmin, kurz repadmin. Letzteres ist hier schön zusammengefasst, oder du googlst selbst

Viel Erfolg.

Ja, es gibt wohl GPOs die man explizit überschreiben muss, etwa solche die z.B. ein Netzlaufwerk entfernen. Eine GPO hat ja gerade den Zweck Settings zu überschreiben. Wäre ja noch schöner, wenn man auch hier noch bitten muss.

Eventuell grätscht dir hier ja eine GPO mit höherer Priorität rein? https://www.gruppenrichtlinien.de/artikel/vererbung-und-hierarchien

Willst du einem Laufwerksbuchstaben ein anderes Value zuordnen dann hilft der Haken bei "Update" oder "erzwingen"

Hier ist die Lösung den Hacken zu setzen bei "Beim Anmelden und Neustart immer auf Netzwerk warten".
GPO Laufwerk verbinden macht Probleme

Hi,
hab scho fast befürchtet, dass Loopback auch noch dazukommt

Funktionieren Teile von GPOs nicht oder ganze GPOs?
Tauchen die GPOs im gpresult Report irgendwo auf?
Habt ihr wenige große GPOs oder viele kleine mit paar Settings?
Auf Laufwerk oder Druckersettings sind keine Filter nach PC-Namen o.ä.?
Betrifft es einzelne User auf bestimmten PCs oder alle?

Eventuell grätscht dir hier ja eine GPO mit höherer Priorität rein?


Wenn nur einzelne User/PCs: gpupdate /force, lokale policy Dateien löschen, hast du auch schon probiert?
Zb Drucker in einer neuen GPO verbinden schon probiert. Also GPO mal nachbauen?

Da müsste doch die andere GPO als winner beim Laufwerk K: in gpresult stehen. Wenn sie es zb löscht.