5
Windows 2012 - Gruppenrichtlinien nur auf bestimmte PCs anwenden
Hallo zusammen,
ich hab ein kleines Problem in meiner Testumgebung.
Aktuell läuft auf meinem Server Windows Server 2012 als DC. Jetzt wollte ich mal ein bisschen mit den Gruppenrichtlinien rumspielen. Also in der Active Directory habe ich drei OUs hinzugefügt (Meine-Computer, Meine-Gruppen, Meine-User). In der OU "Meine-Computer" befindet sich ein PC (Notebook01) und in der OU "Meine-User" ein User (test).
Außerdem existieren die Gruppen "Alle-User", und "Alle-PCs".
So, in der Gruppenrichtlinienverwaltung habe ich nun übergeordnet über alle OUs ein Gruppenrichtlinienobjekt angelegt und verknüpft. Als Sicherheitsgruppe habe ich die Gruppe "Alle-Computer" hinzugefügt und die Berechtigung "Gruppenrichtlinie übernehmen" und "Lesen" gegeben. Der Standartgruppe "Authentifizierte User" habe ich die Berechtigung "Gruppenrichtlinie übernehmen" entzogen und "Lesen" gelassen.
Nun zu dem eigentlichen Problem... Wenn ich mich jetzt mit dem User "test" an "notebook01" anmelde, werden die Einstellungen der Gruppenrichtlinie einfach nicht angewendet!! In der durch gpresult /H erzeugten Datei sehe ich, dass die Gruppenrichtlinie nicht angewendet wurde "Kein Zugriff (Sicherheit)" oder so ähnlich steht da. Außerdem steht in der Datei noch was von einem Versionskonflikt...
Versucht habe ich bereits folgendes:
Sicherheitsgruppe "Alle Computer" entfernt und "Authentifizierte Benutzer" die Berechtigung "Gruppenrichtlinie übernehmen" gegeben --> Gruppenrichtlinie wird angewendet
Sicherheitsgruppe "Alle Computer" entfernt "notebook01" und die Berechtigung "Gruppenrichtlinie übernehmen" sowie "Lesen" erteilt --> Gruppenrichtlinie wird angewendet
Warum funktioniert das selbe nicht mit der Gruppe "Alle-Computer"? Der PC "notebook01" ist definitiv Mitglied dieser Gruppe. Und wieso funktioniert es wenn ich den PC "notebook01" direkt zu den Sicherheitsgruppen hinzufüge?
Vielen Dank für eure Hilfe
ich hab ein kleines Problem in meiner Testumgebung.
Aktuell läuft auf meinem Server Windows Server 2012 als DC. Jetzt wollte ich mal ein bisschen mit den Gruppenrichtlinien rumspielen. Also in der Active Directory habe ich drei OUs hinzugefügt (Meine-Computer, Meine-Gruppen, Meine-User). In der OU "Meine-Computer" befindet sich ein PC (Notebook01) und in der OU "Meine-User" ein User (test).
Außerdem existieren die Gruppen "Alle-User", und "Alle-PCs".
So, in der Gruppenrichtlinienverwaltung habe ich nun übergeordnet über alle OUs ein Gruppenrichtlinienobjekt angelegt und verknüpft. Als Sicherheitsgruppe habe ich die Gruppe "Alle-Computer" hinzugefügt und die Berechtigung "Gruppenrichtlinie übernehmen" und "Lesen" gegeben. Der Standartgruppe "Authentifizierte User" habe ich die Berechtigung "Gruppenrichtlinie übernehmen" entzogen und "Lesen" gelassen.
Nun zu dem eigentlichen Problem... Wenn ich mich jetzt mit dem User "test" an "notebook01" anmelde, werden die Einstellungen der Gruppenrichtlinie einfach nicht angewendet!! In der durch gpresult /H erzeugten Datei sehe ich, dass die Gruppenrichtlinie nicht angewendet wurde "Kein Zugriff (Sicherheit)" oder so ähnlich steht da. Außerdem steht in der Datei noch was von einem Versionskonflikt...
Versucht habe ich bereits folgendes:
Sicherheitsgruppe "Alle Computer" entfernt und "Authentifizierte Benutzer" die Berechtigung "Gruppenrichtlinie übernehmen" gegeben --> Gruppenrichtlinie wird angewendet
Sicherheitsgruppe "Alle Computer" entfernt "notebook01" und die Berechtigung "Gruppenrichtlinie übernehmen" sowie "Lesen" erteilt --> Gruppenrichtlinie wird angewendet
Warum funktioniert das selbe nicht mit der Gruppe "Alle-Computer"? Der PC "notebook01" ist definitiv Mitglied dieser Gruppe. Und wieso funktioniert es wenn ich den PC "notebook01" direkt zu den Sicherheitsgruppen hinzufüge?
Vielen Dank für eure Hilfe
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 208796
Url: https://administrator.de/contentid/208796
Ausgedruckt am: 25.11.2024 um 18:11 Uhr
5 Kommentare
Neuester Kommentar
Moin.
Gruppenrichtlinien haben eine Abteilung Computerkonfig und eine Abt. Benutzerkonfig. Was auf Benutzer wirken soll, konfiguriert man unterhalb von benutzerkonfig und wendet es auf eine OU an, in der die Benutzerobjekte drin sind. Die Zugriffsrechte lässt man bei auth. Benutzer oder setzt eine Benutzergruppe ein - Computergruppen zu berechtigen hat hier keinen Effekt, denn auf Computerobjekte wirken Einstellungen unter der Abteilung Benutzerkonfig. gar nicht.
Gruppenrichtlinien haben eine Abteilung Computerkonfig und eine Abt. Benutzerkonfig. Was auf Benutzer wirken soll, konfiguriert man unterhalb von benutzerkonfig und wendet es auf eine OU an, in der die Benutzerobjekte drin sind. Die Zugriffsrechte lässt man bei auth. Benutzer oder setzt eine Benutzergruppe ein - Computergruppen zu berechtigen hat hier keinen Effekt, denn auf Computerobjekte wirken Einstellungen unter der Abteilung Benutzerkonfig. gar nicht.
Vielen Dank für deine Antwort.
Soweit war mir der Sachverhalt auch klar
Die angelegte Gruppenrichtlinie beinhaltet nur Computerkonfigurationen (z. B. Animation bei erster Anmeldung deaktivieren) und soll deshalb auch auf eine Gruppe mit Computern angewendet werden.
Nur das es eben nicht funktioniert... das komische, nehme ich die Gruppe Alle Computer raus und füge bei den Sicherheitsberechtigungen der Gruppenrichtlinie nur notebook01 hinzu funktioniert es ja.
Soweit war mir der Sachverhalt auch klar
Die angelegte Gruppenrichtlinie beinhaltet nur Computerkonfigurationen (z. B. Animation bei erster Anmeldung deaktivieren) und soll deshalb auch auf eine Gruppe mit Computern angewendet werden.
Nur das es eben nicht funktioniert... das komische, nehme ich die Gruppe Alle Computer raus und füge bei den Sicherheitsberechtigungen der Gruppenrichtlinie nur notebook01 hinzu funktioniert es ja.
nehme ich die Gruppe Alle Computer raus und füge bei den Sicherheitsberechtigungen der Gruppenrichtlinie nur notebook01 hinzu funktioniert es ja
Hatte ich gelesen und nicht kommentiert, da das nicht sein kann. Ich bezweifle nicht, dass Du das als Ergebnis vor Dir siehst, aber dann müssen andere Randumstände vorliegen, die Du nicht genannt hast. Bedenke auch, dass ein PC zum Ändern der Gruppenmitgliedschaft ein neues Kerberosticket braucht - dies erhält er am schnellsten durch einen Neustart. Ohne das Ticket weiß der PC nicht, dass er in diese Gruppe aufgenommen wurde - das könnte Dein Problem sein.
Das dachte ich auch, das kann doch nicht sein Möglich, dass es andere Ursachen hat nur leider fehlte mir bisher der Ansatzpunk wo ich mit der Fehlersuche anfangen soll, deswegen schreibe ich jetzt hier.
Okay also wenn ich notebook01 in die Gruppe Alle Computer aufnehme muss ich notebook01 neustarten damit dieser auch weiß das er jetzt in der Gruppe ist? Das wusste ich nicht, danke. Das werde ich heute Nachmittag sofort probieren und anschließend berichten.
Danke!
Möglich, dass es andere Ursachen hat nur leider fehlte mir bisher der Ansatzpunk wo ich mit der Fehlersuche anfangen soll, deswegen schreibe ich jetzt hier.Okay also wenn ich notebook01 in die Gruppe Alle Computer aufnehme muss ich notebook01 neustarten damit dieser auch weiß das er jetzt in der Gruppe ist? Das wusste ich nicht, danke. Das werde ich heute Nachmittag sofort probieren und anschließend berichten.
Danke!
Dann sage ich mal VIELEN DANK für deine Hilfe. Nach einem Neustart hat es nun funktioniert. Danke
