9
Win2008 GPOs werden an Clients nicht übernommen
Hallo Administrator.de Gemeinde,
ich habe hier ein kleines Problem mit der übernahme von Gruppenrichtlinien.
Ich habe hier zusätzlich zu der DomainDefaultPolicy ein weiteres Gruppenrichtlinienobjekt erstellt um bestimmte Registryeinträge für bestimmte User zu ändern oder zu erstellen( zwecks Proxy etc.), diese GPO habe ich der neuen OU zugeteilt(verknüpft).
Weiterhin habe ich im AD eine extra OU erstellt und einen Testuser darin angelegt um die GPO zu testen, leider werden die Einstellungen nach der Useranmeldungen nicht übernommen.
gpupdate /force hat überhaupt nichts gebracht. Um sicherzugehen hab ich mir auch gleich mal per gpresult die *.htm erzeugen lassen um die Einstellungen zu kontrollieren, aber leider hab ich hier nichts vorgefunden.
Ich habe hier zwei DC-Server mit Win2008 am laufen. Der eine ist PDC und der andere SDC und die spiegeln sich auch gegenseitig ohne Probleme.
Wo liegt mein Denkfehler?
Ich habe hier noch ein virtuelles System aufgebaut mit der selben Konstellation in einem getrennten Netzwerk, hier wiederrum funktioniert alles!?!?!?
Als Clientbetriebssystem wird Windows 7 Pro verwendet.
Danke schonmal für eure Hilfe
Mfg
ich habe hier ein kleines Problem mit der übernahme von Gruppenrichtlinien.
Ich habe hier zusätzlich zu der DomainDefaultPolicy ein weiteres Gruppenrichtlinienobjekt erstellt um bestimmte Registryeinträge für bestimmte User zu ändern oder zu erstellen( zwecks Proxy etc.), diese GPO habe ich der neuen OU zugeteilt(verknüpft).
Weiterhin habe ich im AD eine extra OU erstellt und einen Testuser darin angelegt um die GPO zu testen, leider werden die Einstellungen nach der Useranmeldungen nicht übernommen.
gpupdate /force hat überhaupt nichts gebracht. Um sicherzugehen hab ich mir auch gleich mal per gpresult die *.htm erzeugen lassen um die Einstellungen zu kontrollieren, aber leider hab ich hier nichts vorgefunden.
Ich habe hier zwei DC-Server mit Win2008 am laufen. Der eine ist PDC und der andere SDC und die spiegeln sich auch gegenseitig ohne Probleme.
Wo liegt mein Denkfehler?
Ich habe hier noch ein virtuelles System aufgebaut mit der selben Konstellation in einem getrennten Netzwerk, hier wiederrum funktioniert alles!?!?!?
Als Clientbetriebssystem wird Windows 7 Pro verwendet.
Danke schonmal für eure Hilfe
Mfg
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 234187
Url: https://administrator.de/contentid/234187
Ausgedruckt am: 22.11.2024 um 21:11 Uhr
9 Kommentare
Neuester Kommentar
Hi,
ja so eine GPO anzuwenden ist nicht immer ganz einfach.
Hatte auch meine Probleme beim verteilen via GPO.
Hier ist eine gute Anleitung zum Troubleshooting für GPO`s:
http://hannes-schurig.de/18/06/2010/troubleshooting-gruppenrichtlinien- ...
Vielleicht hilft dir das deinen Fehler zu finden.
Konkrete Hinweise geben wird leider schwer, du musst einfach nach und nach gucken was greift und was greift nicht.
VG
ja so eine GPO anzuwenden ist nicht immer ganz einfach.
Hatte auch meine Probleme beim verteilen via GPO.
Hier ist eine gute Anleitung zum Troubleshooting für GPO`s:
http://hannes-schurig.de/18/06/2010/troubleshooting-gruppenrichtlinien- ...
Vielleicht hilft dir das deinen Fehler zu finden.
Konkrete Hinweise geben wird leider schwer, du musst einfach nach und nach gucken was greift und was greift nicht.
VG
Updating Policy...
Ich hab jetzt mal eine ganz banale Richtlinie gesetzt. Und zwar das im Startmenü die Funktion zum Herunterfahren, Standby und Ruhezustand gelöscht und deaktiviert werden sollen.
Nach der Benutzeranmeldung selbst das ohne Erfolg! Ich habe mir wieder die html von gpresult ausgeben lassen, hier wurde zwar die GPO erkannt das diese wohl für den User gelte, aber er schaffts ned diese anzuwenden!
Auf meinem virtuellem Testsystem funktioniert das anwenden der GPOs.
Wenn ich ein gpupdate /force ausführe bekomm ich zudem noch folgende Meldung:
User policy could not be updated successfully. The following errors were encountered:
The processing of Group Policy failed. Windows attempted to read the file \\*Domäne zensiert*\SysVol\*Domäne zensiert*\Policies\{37212430-6EFA-43F4-8A8C-B13298F19E66}\gpt.ini from a domain controller and was not successful. Group Policy settings may not be applied until this event is resolved. This issue may be transient and could be caused by one or more of the following:
a) Name Resolution/Network Connectivity to the current domain controller.
b) File Replication Service Latency (a file created on another domain controller has not replicated to the current domain controller).
c) The Distributed File System (DFS) client has been disabled.
Computer Policy update has completed successfully.
Langsam weiß ich echt nicht mehr weiter.
Ich hab jetzt mal eine ganz banale Richtlinie gesetzt. Und zwar das im Startmenü die Funktion zum Herunterfahren, Standby und Ruhezustand gelöscht und deaktiviert werden sollen.
Nach der Benutzeranmeldung selbst das ohne Erfolg! Ich habe mir wieder die html von gpresult ausgeben lassen, hier wurde zwar die GPO erkannt das diese wohl für den User gelte, aber er schaffts ned diese anzuwenden!
Auf meinem virtuellem Testsystem funktioniert das anwenden der GPOs.
Wenn ich ein gpupdate /force ausführe bekomm ich zudem noch folgende Meldung:
User policy could not be updated successfully. The following errors were encountered:
The processing of Group Policy failed. Windows attempted to read the file \\*Domäne zensiert*\SysVol\*Domäne zensiert*\Policies\{37212430-6EFA-43F4-8A8C-B13298F19E66}\gpt.ini from a domain controller and was not successful. Group Policy settings may not be applied until this event is resolved. This issue may be transient and could be caused by one or more of the following:
a) Name Resolution/Network Connectivity to the current domain controller.
b) File Replication Service Latency (a file created on another domain controller has not replicated to the current domain controller).
c) The Distributed File System (DFS) client has been disabled.
Computer Policy update has completed successfully.
Langsam weiß ich echt nicht mehr weiter.
Naja du hast doch die 3 Möglichkeiten genannt bekommen...
a) Name Resolution/Network Connectivity to the current domain controller.
b) File Replication Service Latency (a file created on another domain controller has not replicated to the current domain controller).
c) The Distributed File System (DFS) client has been disabled
Anscheinend ist dein Testsystem komplett anders wie deine Liveumgebung.
Wie gesagt GPO ist so ein Thema für sich, bei dem es einiges zu beachten gibt.
Kann dir über die Ferne auch nicht helfen, welche Einstellung bei dir zum Erfolg führt...
a) Name Resolution/Network Connectivity to the current domain controller.
b) File Replication Service Latency (a file created on another domain controller has not replicated to the current domain controller).
c) The Distributed File System (DFS) client has been disabled
Anscheinend ist dein Testsystem komplett anders wie deine Liveumgebung.
Wie gesagt GPO ist so ein Thema für sich, bei dem es einiges zu beachten gibt.
Kann dir über die Ferne auch nicht helfen, welche Einstellung bei dir zum Erfolg führt...
Hi licorit,
zu punkt a) ist alles ok
zu punkt b) ja ich hab 2 domaincontroller der eine PDC der andere SDC
würde das bedeuten, das die Richtlinie solange nicht greift bis beide DC's den selben Stand haben? Aber das komische ist das die Richtlinie fast zeitgleich auf den DC's synchronisiert werden. Zumindest wenn man auf den Editor schaut.
Sollt ich wirklich wegen einer langweiligen Richtlinie 2 Stunden warten müssen? Wie kann ich das direkt checken, das die 2 DC's alles zu 100% synchronisiert haben bzw. kann ich diesen Vorgang manuell anstoßen?
LG
zu punkt a) ist alles ok
zu punkt b) ja ich hab 2 domaincontroller der eine PDC der andere SDC
würde das bedeuten, das die Richtlinie solange nicht greift bis beide DC's den selben Stand haben? Aber das komische ist das die Richtlinie fast zeitgleich auf den DC's synchronisiert werden. Zumindest wenn man auf den Editor schaut.
Sollt ich wirklich wegen einer langweiligen Richtlinie 2 Stunden warten müssen? Wie kann ich das direkt checken, das die 2 DC's alles zu 100% synchronisiert haben bzw. kann ich diesen Vorgang manuell anstoßen?
LG
Ja du kannst die Replikation der Controller auch manuell anstossen.
Starte auf dem DC "Active Directory Sites and Services" dann klickst du dich in der Baumstruktur zu dem gewünschten DC und machst einen Rechtsklick, dann kannst du entweder von oder zu diesem DC eine Konfiguration replizieren.
Ich vermute aber nicht das es daran liegt.
Hier noch was zum testen in Bezug auf deine Fehlermeldung:
http://abhijitw.wordpress.com/2011/10/05/windows-cannot-access-the-file ...
Und hier noch etwas dazu:
http://technet.microsoft.com/en-us/library/cc727259%28v=ws.10%29.aspx
Starte auf dem DC "Active Directory Sites and Services" dann klickst du dich in der Baumstruktur zu dem gewünschten DC und machst einen Rechtsklick, dann kannst du entweder von oder zu diesem DC eine Konfiguration replizieren.
Ich vermute aber nicht das es daran liegt.
Hier noch was zum testen in Bezug auf deine Fehlermeldung:
http://abhijitw.wordpress.com/2011/10/05/windows-cannot-access-the-file ...
Und hier noch etwas dazu:
http://technet.microsoft.com/en-us/library/cc727259%28v=ws.10%29.aspx
1
Hallo licorit,
es sieht fast so aus, als hätte es jetzt doch funktioniert.
Was habe ich gemacht? Ich habe abgewartet und Tee getrunken. Ich konnte es fast selbst nicht glauben.
Weiterhin ist mir folgendes aufgefallen, warum meine Richtlinie nicht angewendet werden konnte (zumindest nicht richtig).
Die GPO kann man den OU's zu teilen und zusätzlich bestimmten Usern oder Gruppen. In meinem Fall gab es dahingehend keine Zuordnung zu einer Gruppe oder User, standartmäßig ist Authentifizierte Benutzer gesetzt. Ich habe diese Gruppe der GPO zugeteilt und siehe da, die Richtlinie hat gegriffen.
Was das umsetzen mit der Registry Einträgen angeht hat nicht funktioniert. Die Einträge wurden zwar am Client gesetzt, aber der IE kann diese wohl nicht abgreifen.
Ich habe hierzu eine Anleitung von Microsoft gefunden um Proxyeinträge im Netzwerk zu verteilen.
Microsoft empfiehlt hier das ganze per Anmeldescript zu machen.
URL:
http://support.microsoft.com/kb/819961/de
Sollte das jetzt auch funktionieren bin ich überglücklich.
Werde mich wieder melden
Vielen Dank schonmal für die Mühe @licorit
Bis gleich
es sieht fast so aus, als hätte es jetzt doch funktioniert.
Was habe ich gemacht? Ich habe abgewartet und Tee getrunken. Ich konnte es fast selbst nicht glauben.
Weiterhin ist mir folgendes aufgefallen, warum meine Richtlinie nicht angewendet werden konnte (zumindest nicht richtig).
Die GPO kann man den OU's zu teilen und zusätzlich bestimmten Usern oder Gruppen. In meinem Fall gab es dahingehend keine Zuordnung zu einer Gruppe oder User, standartmäßig ist Authentifizierte Benutzer gesetzt. Ich habe diese Gruppe der GPO zugeteilt und siehe da, die Richtlinie hat gegriffen.
Was das umsetzen mit der Registry Einträgen angeht hat nicht funktioniert. Die Einträge wurden zwar am Client gesetzt, aber der IE kann diese wohl nicht abgreifen.
Ich habe hierzu eine Anleitung von Microsoft gefunden um Proxyeinträge im Netzwerk zu verteilen.
Microsoft empfiehlt hier das ganze per Anmeldescript zu machen.
URL:
http://support.microsoft.com/kb/819961/de
Sollte das jetzt auch funktionieren bin ich überglücklich.
Werde mich wieder melden
Vielen Dank schonmal für die Mühe @licorit
Bis gleich
Na das hört sich doch gut an 
Dann drück ich die Daumen das es mit den Registry Einträgen auch noch geht ;)
Dann drück ich die Daumen das es mit den Registry Einträgen auch noch geht ;)
Hallo und guten Morgen!
Also das mit der Registry hat funktioniert sogar über die GPO!!!
Der Fehler lag an den nicht ganz korrekten Werten in den Registryeinträgen. Jetzt funktioniert alles mit localer Proxy und erlaubten Sites! Wahnsinn!
*Purzelbäume schlag*
Also das mit der Registry hat funktioniert sogar über die GPO!!!
Der Fehler lag an den nicht ganz korrekten Werten in den Registryeinträgen. Jetzt funktioniert alles mit localer Proxy und erlaubten Sites! Wahnsinn!
*Purzelbäume schlag*
Hey,
das freut mich das es nun klappt.
Ja bei GPO kann schon die kleinste Änderung sehr grosse Auswirkungen haben.
Wenn damit deine Frage beantwortet ist, wäre es schön wenn du sie auf gelöst setzt
das freut mich das es nun klappt.
Ja bei GPO kann schon die kleinste Änderung sehr grosse Auswirkungen haben.
Wenn damit deine Frage beantwortet ist, wäre es schön wenn du sie auf gelöst setzt
