Verständnisfrage zu den Gruppenrichtlinienvererbung mit einem Screenshot

Mitglied: M.Marz

M.Marz (Level 2) - Jetzt verbinden

03.11.2016, aktualisiert 11:19 Uhr, 1609 Aufrufe, 21 Kommentare, 5 Danke

Hallo zusammen,

ich habe in den Default Domain Policy ein Logonskript (Benutzerkonfig > Logon) ein Skript hinterlegt das ein Netzlaufwerk mit einem Key mappt.

Es funktioniert gut.

Allerdings habe ich eine OU namens 1.Etage erstellt worin dann eine GPO verknüpft ist namens Proxy.

In dieser OU 1.Etage gibt es noch eine Ou wo mein User drin ist.

Die Proxy Gpo funktioniert richtig.

Allerdings werden die Konfigs der Default Domain Policy nicht von meinem User übernommen.

Die Gpo mit dem Proxy verteilt nur eine Proxy Konfig, während die Default unter anderem auch das Logonskript verteilt was mein User nicht annimmt.

Die anderen User bei denen es funktioniert sind in keiner Ou.

Kann das sein, dass das Problem daher kommt das die Default Domain Policy nicht den Rang 1 hat?

gpo - Klicke auf das Bild, um es zu vergrößern
Mitglied: M.Marz
03.11.2016 um 11:18 Uhr
Habe auch schon mehrmals neu gestartet und mich auch mehrmals an- und abgemeldet.

In der Ad hatte ich vorher auch ein Anmeldeskript, was ich aber raus genommen habe.
Bitte warten ..
Mitglied: Chonta
03.11.2016 um 11:30 Uhr
Hallo,

man sollte die Default Domainpolicy und Default Domain Controller Policy NIE ändern.
Die Vererbung geht immer bis diese Aufgehoben wird oder eine GPO die Einstellungen einer GPO auf höherer Ebene wieder überschreibt.

In der adminkonsole gpresult /R machen, dann siest Du was abgearbeitet wird.
Die Abarbeitung der Richtlinien erfolgt nach LSDOU und was am dichtesten an der OU dran ist in der sich das Objekt befindet überschreibt halt alle vorangegangenen Einstellungen wieder.
Außnahme man erzwingt eine GPO, dann wird diese als letztes ausgeführt.
GPO die auf selber Ebene für die selben Objekte gelten und unterschiedliche Einstellungen für das selbe haben, sind keine gute Idee.

Wenn Hibernatemodus/Schnellstart bei den Rechnern an ist, kann das die Abareitung von Statrscripten beeinflussen.

Gruß

Chonta
Bitte warten ..
Mitglied: emeriks
03.11.2016 um 11:32 Uhr
Hi,
ich habe in den Default Domain Policy ein Logonskript (Benutzerkonfig > Logon) ein Skript hinterlegt das ein Netzlaufwerk mit einem Key mappt.
Die Proxy Gpo funktioniert richtig.
Soll heißen, unter Deiner Anmeldung werden diese Einstellungen übernommen?

Allerdings werden die Konfigs der Default Domain Policy nicht von meinem User übernommen.
Woran machst Du das fest?

Die Gpo mit dem Proxy verteilt nur eine Proxy Konfig, während die Default unter anderem auch das Logonskript verteilt was mein User nicht annimmt.
Wass heißt "nicht annimmt"? Kommt da ne Meldung "Annahme verweigert" oder was?

Die anderen User bei denen es funktioniert sind in keiner Ou.
Also im Container "Users"?

Kann das sein, dass das Problem daher kommt das die Default Domain Policy nicht den Rang 1 hat?
Nein. Scripte sind additiv.

Was sagt "gpresult /r" oder "rsop.msc"?

E.
Bitte warten ..
Mitglied: Pjordorf
03.11.2016 um 11:33 Uhr
Hallo,

Zitat von M.Marz:
ich habe in den Default Domain Policy ein Logonskript
Never ever change the Default Domain Policy. Erstelle immer eine neue Zusätzliche GPO, aber lass die finger von der DDP. Dem System ist es egal ob du 1 oder 20 GPOs hast. Die Verarbeitungszeit der GPOs leidet auch nicht darunter.

Allerdings werden die Konfigs der Default Domain Policy nicht von meinem User übernommen.
Was sagt gpresult und rsop?

Gruß,
Peter
Bitte warten ..
Mitglied: M.Marz
03.11.2016 um 11:39 Uhr
Danke Chonta,

gpresult macht den Anschein, das er die Konfig aus der Default Domain P. erkannt hat und abgearbeitet hat.

Da die DDP unter der Proxy Gpo ist, wird die dann von der Proxy Gpo überschrieben?

Die Einstellungen der bedein Gpo´s stoßen sich ja nicht an.
Bitte warten ..
Mitglied: emeriks
03.11.2016 um 11:46 Uhr
Da die DDP unter der Proxy Gpo ist, wird die dann von der Proxy Gpo überschrieben?
Die Einstellungen der bedein Gpo´s stoßen sich ja nicht an.
GPO überschreiben sich nicht. Einzelne Einstellungen dieser GPO können sich nur widersprechen. Hier wird dann jene aus der GPO mit höchsten Rangfolge übernommen. Die Rangfolge ergibt sich aus der Ebene, in welcher sie verlinkt sind, sowie aus ggf. festgelegten "force" (oder "no override") Attributen sowie aus ggf. eingestellter Unterbrecheung der Reihenfolge.

Dein Problem ist doch offenbar, dass Du erwartest, dass das Script aus der Default Policy etwas tut, aber das Ergebnis nicht stimmt. Bau doch mal in das Script was Banales ein, woran Du nachvollziehen kannst, ob das Script überhaupt ausgeführt wird. z.B. ne Meldung oder eine Datei erstellen lassen oder oder.
Bitte warten ..
Mitglied: M.Marz
03.11.2016 um 11:48 Uhr
Zu den Fragen von ermeriks:

1. Nein unter meinen User funktioniert es nicht, dass erkenne ich daran das weder die Netzlaufwerke gemappt worden sind noch ein cmdkey übergeben worden ist. Bei den Usern unter dem Standardordner User funktioniert es.

Eine Fehlermeldung erhalte ich nicht, aber ich erkenne den Fehler daran, dass das Skript nicht funktioniert hat, bei der lokalen Ausführung des Skriptes bei mir am Rechner funktioniert es sofort.
Bitte warten ..
Mitglied: Chonta
03.11.2016 um 11:49 Uhr
Die GPO überschreiben NUR Einstellungen die bei beiden GPO unterschiedlich gesetzt sind.
Was nicht konfiguriert ist oder genauso eingestellt wird auch nicht geändert.-

Die DDP ist an oberster Stelle an der Domäne verknüpft und muss immer abgearbeitet werden!
Andere GPO werden normalerweise nicht auf Domainebene verknüpft sondern an der OU und setzen dann zusätzliche oder abweichende Einstellungen.
Scripte werden wie schon gesagt immer ausgeführt, vorrausgesetzt die Abarbeitung der Scripte wird nicht durch Hibernate/Schnellstart gestört.

Gruß

Chonta
Bitte warten ..
Mitglied: M.Marz
03.11.2016 um 11:53 Uhr
Hibernate ist nicht konfiguriert worden.

rscop zeigt mir auch das die Konfigs erkannt worden sind.
Bitte warten ..
Mitglied: emeriks
03.11.2016 um 12:02 Uhr
Eine Fehlermeldung erhalte ich nicht, aber ich erkenne den Fehler daran, dass das Skript nicht funktioniert hat, bei der lokalen Ausführung des Skriptes bei mir am Rechner funktioniert es sofort.
Was heißt jetzt "lokale Ausführung"? Führst Du es sonst remote aus, oder was?
Bau doch mal an erster Stelle in die CMD (wie ich annehme) ein
Wird die Datei dann erstellt?
Bitte warten ..
Mitglied: M.Marz
03.11.2016 um 12:10 Uhr
danke emeriks,

ja die txt Datei wird erstellt mit dem Inhalt Test.

Die echo Zeile habe ich einfach nur über die bereits von mir eingetippten Befehle eingefügt.
Bitte warten ..
Mitglied: emeriks
03.11.2016 um 12:14 Uhr
Na bitte. jetzt weißt Du, dass das Script ausgeführt wird. Also müssen es inhaltliche Fehler sein.
Bitte warten ..
Mitglied: M.Marz
03.11.2016 um 12:32 Uhr
es muss irgendwas an meinem Rechner nicht funktioniern, da es ja bei den anderen Usern funktioniert.
Bitte warten ..
Mitglied: Pjordorf
03.11.2016 um 13:06 Uhr
Hallo,

Zitat von M.Marz:
es muss irgendwas an meinem Rechner nicht funktioniern, da es ja bei den anderen Usern funktioniert.
Äh, was denn nun? Rechner oder Benutzer? Bedeutet egal welcher Benutzer aber immer an deinen Rechner oder egal welcher Rechner aber immer mit deinen Benutzer oder was denn nun?

Rechner ungleich Benutzer

Gruß,
Peter
Bitte warten ..
Mitglied: emeriks
03.11.2016 um 13:37 Uhr
Rechner ungleich Benutzer
Das kapieren viele nicht.
Es ist wie früher beim Pauker im Matheunterricht:
Wenn man schon beim Reden und Schreiben die Begriffe verwechselt oder falsch anwendet dann funktioniert das beim Denken schon gar nicht mehr und man kann die Aufgabe nicht verstehen, geschweige denn lösen. Manche verstehen auch diesen Satz nicht - da macht es dann eh keinen Sinn ...
Bitte warten ..
Mitglied: M.Marz
03.11.2016 um 15:40 Uhr
es ist immer noch eine Benutzerrichtlinie.
Aber der Grund warum diese Richtlinie nicht funktioniert bei mir, muss wohl an meinem Rechner liegen.

Im Eventlog finde ich fehler wegen der NTLM-Authentifizierung

Protokollname: System
Quelle: LsaSrv
Datum: 03.11.2016 15:12:56
Ereignis-ID: 6038
Aufgabenkategorie:Keine
Ebene: Warnung
Schlüsselwörter:Klassisch
Benutzer: Nicht zutreffend
Computer: Computername
Beschreibung:
Von Microsoft Windows Server wurde festgestellt, dass momentan zwischen Clients und diesem Server die NTLM-Authentifizierung verwendet wird. Dieses Ereignis tritt einmal pro Serverstart auf, wenn NTLM von einem Client erstmalig für den Server verwendet wird.

NTLM ist ein relativ schwacher Authentifizierungsmechanismus. Prüfen Sie Folgendes:

Von welchen Anwendungen wird die NTLM-Authentifizierung verwendet?
Liegen Konfigurationsprobleme vor, die verhindern, dass ein stärkerer Authentifizierungsmechanismus (etwa Kerberos) verwendet wird?
Wenn NTLM unterstützt werden muss: Ist der erweiterte Schutz konfiguriert?

Protokollname: System
Quelle: Microsoft-Windows-DNS-Client
Datum: 03.11.2016 15:11:50
Ereignis-ID: 8033
Aufgabenkategorie1028)
Ebene: Warnung
Schlüsselwörter:
Benutzer: Netzwerkdienst
Computer: computername
Beschreibung:
Fehler beim Aktualisieren und Entfernen der Hostressourceneinträge (A oder AAAA) für den Netzwerkadapter
mit den folgenden Einstellungen:

Adaptername: {BFF07292-BF5A-4B81...}
Hostname: computername
Primäres Domänensuffix:
DNS-Serverliste:
x.x.x.x, x.x.x.x
Server, an den das Update gesendet wurde: <?>
IP-Adresse:
x.x.x.x

Diese Ressourceneinträge des Hosts (A oder AAAA) konnten aufgrund einer Zeitüberschreitung der Updateanforderung während der DNS-Serverrückmeldung nicht entfernt werden. Wahrscheinlich wird der autoritative DNS-Server für die Zone, wo die Ressourceneinträge aktualisiert werden müssen, nicht ausgeführt oder ist nicht über das Netzwerk erreichbar.
Bitte warten ..
Mitglied: M.Marz
03.11.2016 um 15:41 Uhr
Im DNS gibt es einen Hosteintrag A, und über den Namen erreichbar bin ich auch.
Bitte warten ..
Mitglied: emeriks
03.11.2016 um 15:43 Uhr
Das mit dem NTLM ist nur ein Hiweis, aber kein Hindernis für GPO-Verarbeitung.
Der Hinweis mit dem Aktualisieren des A-Records kann interessant sein. Nämlich dann, wenn das darauf hinweisen würde, dass der Client z.B. mit keinem oder einem falschen DNS-Server konfiguriert ist.
Ist die Zeit des Clients mit der des DC synchron?
Bitte warten ..
Mitglied: Chonta
03.11.2016 um 15:51 Uhr
es ist immer noch eine Benutzerrichtlinie.
Aber auch auf eine OU Verknüpft, in der Dein Benutzerkonto drin ist, oder?

gpupdate /force
gpresult /R und schauen ob die GPO verarbeitet wird.

ja die txt Datei wird erstellt mit dem Inhalt Test.
Das bedeutet die GPO greift und das Script wird ausgeführt.
Wenn das Script jetzt nicht das macht was Du erwartest, dann ist das Script an sich hat einen Fehler.
Wenn Du das Script als Benutzer ausführst, geht es dann?
Evtl musst Du das Script mit erhöhten Rechten über die GPO ausführen.

Gruß

Chonta
Bitte warten ..
Mitglied: emeriks
03.11.2016 um 16:17 Uhr
Zitat von Chonta:
gpupdate /force
Was soll das bringen? Ein Loginscript wird ausschließlich beim Login ausgeführt.
Wenn Überhaupt, dann kann man "gpscript.exe /Logon" ausführen (Groß/Kleinschreibung beachten). Das startet nochmal alle Loginscripte, auch in einer laufenden Sitzung.

ja die txt Datei wird erstellt mit dem Inhalt Test.
Das bedeutet die GPO greift und das Script wird ausgeführt.
Wenn das Script jetzt nicht das macht was Du erwartest, dann ist das Script an sich hat einen Fehler.
Soweit waren wir schon.

Evtl musst Du das Script mit erhöhten Rechten über die GPO ausführen.
Wie willst du das mit einem Loginscript realisieren?
Bitte warten ..
Mitglied: Chonta
03.11.2016 um 16:25 Uhr
Evtl musst Du das Script mit erhöhten Rechten über die GPO ausführen.
Wie willst du das mit einem Loginscript realisieren?
Sorry mein Fehler, hab da was durcheinandergebracht.

Soweit waren wir schon.
Ich weiß das und Du auch

Wenn Überhaupt, dann kann man "gpscript.exe /Logon" ausführen
Danke für den Tip!

gpupdate /force
Was soll das bringen?
Um im zu verdeutlichen das die GPO gezogen wird und nicht das Problem sein kann und das es demnachzufolge an seinem Skript liegen muss.

Gruß

Chonta
Bitte warten ..
Heiß diskutierte Inhalte
Router & Routing
Wireguard VPN (oder andere alternative) - Kompletter Traffic routen
gelöst KodaCHFrageRouter & Routing15 Kommentare

Guten Morgen Ich habe bisher mit OpenVPN und mit Wireguard VPN einige Tests gemacht. OpenVPN (Kostenlose Version): Hier habe ...

Windows Server
Hyper-V Server vs Datacenter?
holliknolliFrageWindows Server14 Kommentare

Hallo, hat jemand Erfahrung mit dem - kostenlosen - Hyper-V-Server? Ich meine, warum teure Lizenzen für Datacenter zahlen, wenn ...

Server-Hardware
Konfiguration und Stromverbrauch ML350 Gen10
kosta88FrageServer-Hardware13 Kommentare

Hallo, ich versuche mal zu berechnen was ein ML350 verbrauchen würde. Ich weiß dass es von der Konfiguration und ...

Server
Kein Zugriff auf NAS bei DS Lite
martingerdesFrageServer11 Kommentare

Hallo liebe Gemeinde, dieses Thema kennen wahrscheinlich viele und ich selbst habe schon viele Forenbeiträge zu diesem Thema gelesen. ...

Grafikkarten & Monitore
Grafikkarte kaputt? Hier muss noch etwas hin, weil der andere Titel schon vergeben ist :)
Sir.classicFrageGrafikkarten & Monitore9 Kommentare

Hallo an alle, ich habe einen selbst gebauten PC und mein Problem ist, dass meine Monitore regelmäßig (alle 3h) ...

LAN, WAN, Wireless
Spanning Tree Probleme
predator66FrageLAN, WAN, Wireless9 Kommentare

Hallo, wir haben hier eigenartige Spanningtree Probleme, die wir zur Zeit nicht gelöst bekommen: New Root Port MAC ist ...

Ähnliche Inhalte
Batch & Shell
Screenshot speichern
gelöst IleiesFrageBatch & Shell10 Kommentare

Hallo zusammen, besteht eine Möglicheit, mit Batch Screenshots aufzunehmen und zu speichern?

Webbrowser

Screenshot betriebssystemunabhängig in die Zwischenablage kopieren

gelöst itebobFrageWebbrowser6 Kommentare

Ist sowas grundsätzlich möglich, eine Firefox-Erweiterung zu programmieren, die per Mausklick betriebssystemunabhängig den Screenshot in die Zwischenablage kopiert?

Windows 10

Screenshot bei Anmeldemaske bzw. von Bitlocker-Screen

pdiddoFrageWindows 1010 Kommentare

Hi Leute, ich erstelle eine Anleitung für Arbeitskollegen um den Laptop richtig zu benutzen/anmelden. Dafür brauche ich 2 Screenshots ...

Webbrowser

Firefox 56 mit beseitigtem IndexDB-Bug und Screenshot-Tool

BassFishFoxInformationWebbrowser

Das Geschrei im Artikel um das Screenshot-Tool ist groesser wie das Reden ueber Beseitigen eines Bugs. Bevor jemand etwas ...

Windows Tools

Software unter Windows für Screenshot, Uhrzeit als Wasserzeichen und FTP Upload gesucht

gelöst StefanKittelFrageWindows Tools6 Kommentare

Hallo, Aktuell läuft bei einem Kunden auf einem alten XP PC eine Temperaturüberwachungsoftware. Auf diese greifen ca. 30 Personen ...

Instant Messaging

Werden die exif daten des original Bildes trotzdem auch in einen Screenshot gespeichert?

gelöst brauchehilfe1FrageInstant Messaging10 Kommentare

Ich habe letztens ausversehen ein Bild auf instagram gemacht (hab es über die Kamerafunktion von instagram gemacht und es ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT