Zum Inhalt wechseln


Foto

wird nicht angewandt. Was mache ich falsch?


  • Bitte melde dich an um zu Antworten
15 Antworten in diesem Thema

#1 MattesP

MattesP

    Member

  • 273 Beiträge

 

Geschrieben 07. Januar 2010 - 18:17

Hallo Zusammen,

ich hatte schon mal Probleme mit einer GPO unter Windows 7, ihr habt mir super weitergeholfen. Nun habe ich versucht, mich weiter einzuarbeiten und komme trotz Lektüre der Beiträge hier im Board nicht weiter.

Frei nach Heitbrink habe ich zum Testen auf einem Server 2008 eine OU "Meine Computer" und eine OU "Meine User" angelegt und alle Objekte entsprechend verschoben. Danach habe ich ein Gruppenrichtlinienobjekt "Auf Netzwerk warten" angelegt und in der Computerkonfiguration die Richtline "Bei Neustart und Anmeldung auf das Netzwerk warten" aktiviert. Diese Richtlinie habe ich dann mit "Meine Computer" verknüpft.

Wenn ich nun nach der Anmeldung an einem W7 Client gpresult -r aufrufe, dann erhalte ich die Meldung:

Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet:
Auf Netzwerk warten
Filterung: Nicht angewandt <Leer>

Aber die Richtlinie ist doch nicht leer! Ich habe eine Richtlinie mit Computerkonfiguration mit einer OU verknüpft, die Computerobjekte enthält.

Wo ist der Fehler?

Gruß,
Mattes

#2 Necron

Necron

    Moderator

  • 11.556 Beiträge

 

Geschrieben 07. Januar 2010 - 18:22

Hi,

könntest du bitte einen aussagefähigeren Titel verwenden?

/edit Besten Dank! :)

Cheers,
Daniel

-Daniel's Tech Blog-


#3 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 07. Januar 2010 - 18:26

Wenn ich nun nach der Anmeldung an einem W7 Client gpresult -r aufrufe, dann erhalte ich die Meldung:

Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet:
Auf Netzwerk warten
Filterung: Nicht angewandt <Leer>


Ist doch ok. Oder versteh ich was falsch?

Folgenden Gruppenrichtlinien werden nicht angewendet:
Auf Netzwerk warten (die Richtlinie wirkt auf deinen Computer)
Filterung: Nicht angewandt <Leer> ;)

Eventuell solltest du rsop nutzen statt gpresult, das ist einfacher zu überschauen.

Bye
Norbert

Make something i***-proof and they will build a better i***.


#4 olc

olc

    Expert Member

  • 3.980 Beiträge

 

Geschrieben 07. Januar 2010 - 18:31

Hi,

laut Mattes hat er ja ein Computer Setting definiert, somit dürfte die GPO also nicht leer sein.
Wie viele DCs sind in der Umgebung vorhanden? Funktioniert die AD als auch FRS / DFSR SYSVOL Replikation korrekt?

Viele Grüße
olc
"Mit dem Wissen wächst der Zweifel." (Johann Wolfgang von Goethe)

#5 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 07. Januar 2010 - 18:36

Er filtert auf NICHT angewendete GPOs ;)

Bye
Norbert

Make something i***-proof and they will build a better i***.


#6 MattesP

MattesP

    Member

  • 273 Beiträge

 

Geschrieben 07. Januar 2010 - 18:37

Hi,

ich glaub jetzt hab ich es verstanden, auf die Gefahr hin mich zu outen frag ich aber noch mal nach:

gpresult -r bringt die RSOP Daten für Domäne\User auf Computer, nicht aber die Richtlinien, die auf den Computer wirken?!
Oder ist das die klassische doppelte Verneinung? Folgende Richtlinien werden nicht nicht angewandt!

Gruß,
Mattes

#7 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 07. Januar 2010 - 18:47

GPResult -R bringt sowohl Computer als auch Benutzerrichtlinien (RSOP halt). Ich tippe auf schlechte Übersetzung mit zusätzlich doppelter Verneinung. Hat mal jemand nen englisches W7 um das zu beweisen? ;)

Bye
Norbert

Make something i***-proof and they will build a better i***.


#8 MattesP

MattesP

    Member

  • 273 Beiträge

 

Geschrieben 07. Januar 2010 - 18:54

... oh man, auf sowas soll man kommen. Der englische Originaltext würde mich jetzt aber auch mal interesieren.

Vielen Dank mal wieder!
Mattes

#9 olc

olc

    Expert Member

  • 3.980 Beiträge

 

Geschrieben 07. Januar 2010 - 19:05

Hi,

also vielleicht verstehe ich das jetzt auch falsch - falls ja gebt mir Bescheid. Aber... ;)

Er filtert auf NICHT angewendete GPOs ;)


Mattes verwendet ein normales "gpresult -r". D.h. es wird der RSOP geprüft. Da eine Einstellung in der Richtlinie gesetzt ist, müßte der Computerteil das auch wiedergeben. D.h. das "<leer>" dürfte nicht auftauchen.

gpresult -r bringt die RSOP Daten für Domäne\User auf Computer, nicht aber die Richtlinien, die auf den Computer wirken?!
Oder ist das die klassische doppelte Verneinung? Folgende Richtlinien werden nicht nicht angewandt!


GPResult -R bringt sowohl Computer als auch Benutzerrichtlinien (RSOP halt). Ich tippe auf schlechte Übersetzung mit zusätzlich doppelter Verneinung. Hat mal jemand nen englisches W7 um das zu beweisen? ;)


Nein, seit Windows Server 2003 x64 und später kann ein normaler Benutzer standardmäßig keine Computerrichtlinien mehr anzeigen. Das kann nur ein Administrator.
Daher ließe sich vermuten, daß Mattes in den BENUTZEREINSTELLUNGEN nach schaut oder die Policy nicht angewendet wird.

Mit 'nem englischen Windows 7 kann ich dienen ;) :

The following GPOs were not applied because they were filtered out
 -------------------------------------------------------------------
     Local Group Policy
         Filtering:  Not Applied (Empty)


Ich sehe also keine "doppelte Verneinung" und denke, daß die Policy tatsächlich nicht angewendet wird, wenn es nicht der BENUTZER Teil ist, über den wir hier gerade sprechen.

Viele Grüße
olc
"Mit dem Wissen wächst der Zweifel." (Johann Wolfgang von Goethe)

#10 MattesP

MattesP

    Member

  • 273 Beiträge

 

Geschrieben 08. Januar 2010 - 07:19

Hi,
ich nochmal. Irgendwie scheint der Client auch nicht zu warten. Der Rechner fährt hoch, das bginfo wir teilweise nicht geladen (Befehl liegt im Logonscript), dann sgt W7 mir das die Netzlaufwerke nicht verfügbar wären. In der Taskleiste wird am Netzwerksymbol auch angezeigt "Keine Verbindung", dann kommt der Kringel, es dauert etwas und Schwupp ist Alles da. Zugriff auf Netzlaufwerke und ins Internet klappen. Versuche ich jetzt im Suchfenster Befehle abzusetzen, cmd oder rsop oder was auch immer, erhalte ich die Meldung:
query:cmd=nicht gefunden (Sorry, denn Originaltext habe ich gerade nicht)
Melde ich mich jetzt ab und wieder an, dann klappt alles.

Ich denke das die GPO an diesem Verhalten Schuld ist und habe die Frage deswegen nicht im W7 Forum gestellt. Bin ich vielleicht völlig auf dem Holzweg? Auf dem Rechner ist noch ein Lancom Advanced VPN Client installiert, der aber nicht gestartet wird, es erscheint nur das Popup.

Führe ich gpresult -r in einer Konsole mit Adminrechten aus (reicht das?) ist das Ergebnis wie vorher beschrieben. Zeige ich mir den Richtlinienergebnissatz mit RSOP an, sind alle meine Richtlinien da.

Wie gehe ich jetzt am besten vor?
Gruß,
Mattes

Bearbeitet von MattesP, 08. Januar 2010 - 07:40.


#11 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 08. Januar 2010 - 11:36

also vielleicht verstehe ich das jetzt auch falsch - falls ja gebt mir Bescheid. Aber... ;)


Hmm. Du bringst mich zum Nachdenken.

Mattes verwendet ein normales "gpresult -r". D.h. es wird der RSOP geprüft. Da eine Einstellung in der Richtlinie gesetzt ist, müßte der Computerteil das auch wiedergeben. D.h. das "<leer>" dürfte nicht auftauchen.


Doch, denn das eine hat mit dem anderen gerade gar nix zu tun. Zum Beweis auch gern mal gpresult -r von einem Domänenserver hier:
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
    Serverrichtlinie
    Default Domain Policy

Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
----------------------------------------------------------------------
    Richtlinien der lokalen Gruppe
        Filterung:  Nicht angewendet (Leer)

Der Computer ist Mitglied der folgenden Sicherheitsgruppen

Nein, seit Windows Server 2003 x64 und später kann ein normaler Benutzer standardmäßig keine Computerrichtlinien mehr anzeigen. Das kann nur ein Administrator.


Stimmt, wobei ich davon ausging, dass man zum Troubleshooting einen lokalen Admin verwendet. ;)

Daher ließe sich vermuten, daß Mattes in den BENUTZEREINSTELLUNGEN nach schaut oder die Policy nicht angewendet wird.


Auch möglich.

Bye
Norbert

Make something i***-proof and they will build a better i***.


#12 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 08. Januar 2010 - 11:37

Hi,
ich nochmal. Irgendwie scheint der Client auch nicht zu warten. Der Rechner fährt hoch, das bginfo wir teilweise nicht geladen (Befehl liegt im Logonscript), dann sgt W7 mir das die Netzlaufwerke nicht verfügbar wären.


Wie weist du die Logonskripte zu? Per GPO oder direkt auf dem User? Was steht im Eventlog des Clients?
Nimm doch einfach statt gpresult endlich mal rsop.msc. Dann dürfte das klar ein.

Bye
Norbert

Make something i***-proof and they will build a better i***.


#13 MattesP

MattesP

    Member

  • 273 Beiträge

 

Geschrieben 08. Januar 2010 - 14:26

Hi,

RSOP hab ich ja schon angewendet:

Zeige ich mir den Richtlinienergebnissatz mit RSOP an, sind alle meine Richtlinien da.

Heißt das dann, dass alle korrekt ausgeführt wurden?
Die Logonscripte sind userbezogen.

Im Eventlog ist folgendes zu finden, allerdings von gestern:

Protokollname: System
Quelle: Microsoft-Windows-GroupPolicy
Datum: 07.01.2010 17:36:10
Ereignis-ID: 1030
Aufgabenkategorie:Keine
Ebene: Fehler
Schlüsselwörter:
Benutzer: SYSTEM
Computer: xyz
Beschreibung:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Es wurde versucht, neue Gruppenrichtlinieneinstellungen für diesen Benutzer oder Computer abzurufen. Den Fehlercode und eine Beschreibung finden Sie auf der Registerkarte "Details". Dieser Vorgang wird automatisch beim nächsten Aktualisierungszyklus wiederholt. Computer, die der Domäne beigetreten sind, müssen über eine geeignete Namensauflösung sowie über eine Netzwerkverbindung zu einem Domänencontroller zum Ermitteln von neuen Gruppenrichtlinienobjekten und -einstellungen verfügen. Wenn die Gruppenrichtlinie erfolgreich ist, wird ein Ereignis protokolliert.

Gruß,
Mattes

#14 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 08. Januar 2010 - 17:09

Was passiert, wenn du ein gpupdate (per als Adminstrator gestarteter cmd) ausführst? Ohne /force bitte. Was steht danach im Eventlog?

Bye
Norbert

Make something i***-proof and they will build a better i***.


#15 olc

olc

    Expert Member

  • 3.980 Beiträge

 

Geschrieben 08. Januar 2010 - 18:27

Hi,

wie Norbert schon sagte, schau einmal ins Eventlog nach einem GPUPDATE.

Nur der Vollständigkeit halber ;) :

Doch, denn das eine hat mit dem anderen gerade gar nix zu tun. Zum Beweis auch gern mal gpresult -r von einem Domänenserver hier:

Angewendete Gruppenrichtlinienobjekte
--------------------------------------
    Serverrichtlinie
    Default Domain Policy

Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
----------------------------------------------------------------------
    Richtlinien der lokalen Gruppe
        Filterung:  Nicht angewendet (Leer)

Der Computer ist Mitglied der folgenden Sicherheitsgruppen


Doch, hat es. ;) Nur, wenn eine Richtlinie wirklich leer ist, dann wird sie an dieser Stelle auch ausgefiltert mit der Angabe, daß sie leer sei. Macht ja auch Sinn. :D
Sobald eine Einstellung darin zu finden ist (in diesem Fall also "Immer auf das Netzwerk warten") ist der Computerteil nicht mehr leer und die entsprechende Policy würde nicht mehr aus diesem Grund ausgefiltert werden - was GPRESULT dann auch korrekt anzeigen würde. Daher vermute ich immer noch, daß der TO in die Benutzereinstellungen geschaut hat.

Aber Dein Hinweis auf RSOP.MSC sollte etwas mehr Licht in die Sache bringen. Oder gleich ein Remote RSOP mittels GPMC.

Viele Grüße
olc
"Mit dem Wissen wächst der Zweifel." (Johann Wolfgang von Goethe)