User GPO werden nicht ausgeführt

[admin1111 0]

Hallo zusammen,

 

ich habe ein Problem. Ich habe in einer 2008 r2 Domäne Win 7 Clients, auf denen die User bezogenen GPOs nicht ausgeführt werden, sie werden ausgefiltert. Die Computer bezogenen GPOs werden jedoch ausgeführt. 

Das Problem besteht nicht auf allen Win 7 Clients, nur auf einigen. 

 

Hat jemand eine Idee, was der Grund sein könnte, kann es irgendein Update von MS sein?

 

MFg

 

[testperson 1.528]

Hi,

 

was sagt denn "gpresult /h gpo.html && gpo.html"?

 

Gruß

Jan

[admin1111 0]

Hi,

 

Denied GPOs

GPOs, die nicht übernommen wurden...

 

der Rest sieht ganz normal aus... nur halt die User GPOs, sind unter "Denied GPOs" aufgelistet. 

 

auf anderen Clients funktioniert es, mit den gleichen GPOs und mit den gleichen Usern...

 

mfg

[testperson 1.528]

Hi,

 

da sollte auch ein Grund stehen..

 

Gruß

Jan

[admin1111 0]

Hi,

 

unter Grund steht einfach "empty"

 

Name:                                Link Location:                    Reason Denied                               

GPO...                                domain.computers            empty

 

 

mfg

[testperson 1.528]

Hi,

 

verknüpfst du das GPO mit den User Einstellungen auf eine OU in der sich nur Computer Objekte befinden?

Bzw. wo ist die GPO verknüpft?

 

Gruß

Jan

[Sunny61 773]

Hast Du eine OU für Computer und eine eigene OU für Benutzer angelegt? Schau dir dieses Beispiel an: http://www.gruppenrichtlinien.de/artikel/erstellen-einer-gruppenrichtlinie/

 

Computer lesen nur Computereinstellungen, Benutzerobjekte lesen nur Benutzereinstellungen.

[admin1111 0]

ja, in der OU sind Computer-Objekte, und wenn sich ein Benutzer auf diesen Computern einloggt, soll eine bestimmte User Einstellung greifen.

 

das funktioniert auch soweit, auf anderen Rechnern, aber halt nicht auf denen, die vor kurzen in die Domäne aufgenommen wurden. ich vermute da ein Win Update...  aber welches ... :)

[Sunny61 773]

ja, in der OU sind Computer-Objekte, und wenn sich ein Benutzer auf diesen Computern einloggt, soll eine bestimmte User Einstellung greifen.

D.h. Du hast ein Benutzer GPO auf die Computerobjekte verlinkt? Lass dir doch bitte nicht alles aus der Nase ziehen.

 

 

 

das funktioniert auch soweit, auf anderen Rechnern, aber halt nicht auf denen, die vor kurzen in die Domäne aufgenommen wurden. ich vermute da ein Win Update...  aber welches ...

 

Sind denn die neu hinzugekommenen Computer in der gleichen OU wie alle anderen? Arbeitest Du mit Sicherheitsgruppenfilterung im GPO?

 

Und wenn es ein Windows Update wäre, würdest Du mit diesem Problem hier nicht allein sein.

Du kannst aber ein blankes W7SP1 installieren und testen. Wenn es funktioniert installierst Du ein Update nach dem anderen und testest jedesmal dazwischen. Nur so findest Du heraus welches Update Schuld hat.

bearbeitet 25. März 2015 von Sunny61

[daabm 1.184]

ja, in der OU sind Computer-Objekte, und wenn sich ein Benutzer auf diesen Computern einloggt, soll eine bestimmte User Einstellung greifen.

Das ist kein Windows-Update, das ist Loopback :)

 

http://evilgpo.blogspot.com/2012/02/loopback-demystified.html

http://blogs.technet.com/b/askds/archive/2013/02/08/circle-back-to-loopback.aspx

 

Wenn der Useraccount nicht im Anwendungsbereich der GPO ist, dann wird der Userteil nicht angewendet.

 

PS: Wie viele DCs hast Du? AD- und Sysvol-Replikation funktionieren? (Eventlogs verraten Dir das recht schnell)

[MHenning 11]

Moin Zusammen,

 

leider kann man aus der Frage nicht genau heraushören wie das gestrickt ist in seinem AD.

Und einem das AD zu erklären ist denkbar schwierig.

 

Ich versuchs trotzdem mal. Bzw ich versuche es mal mit einer Art Bauanleitung. Vielleicht wird es dann klarer bzw. Du findest dadur deinen Fehler.

 

Lege eine Test-OU an.

Lege dort die gewünschten Computer rein.

In der Test-OU legst Du jetzt die GPOs rein die für die Computer gelten sollen.

Jetzt legst Du auch die GPOs dort rein, die für die User gelten sollen die sich an den Computern in der TEst-OU anmelden sollen.

Jetzt legst Du eine Weitere GPO in der Test-OU an und stellst in der angelegten GPO das Loopback ein.

In all den GPOs sollte bei Sicherheitsfilterung "Authentifizierte Benutzer drin stehen".

 

Im Bild Siehst Du die Einstellung dazu.

 

Jetzt musst Du noch auf die Verarbeitungsreihenfolge achten.

Denn Die Loopback-GPO muss zuerst verarbeitet werden, damit auch alle anderen richtig greifen.Im Bild ist zu sehen wie das aussehen sollte.

 

 

Jetzt passiert folgendes:

Ein Benutzer meldet sich an einem Computer in der Test-OU an.

Zuerst wird die "letzte GPO verarbeitet" im Bild auf Platz nummer 3.

Die Computer bekommen jetzt gesagt das nur die GPOs in der Test-OU verarbeitet werden sollen durch die Loopback Einstellung.

Jetzt kommen noch die Benutzer und die Computereinstellungen GPOs in der Test-OU.

Und auch nur diese 3 GPOs werden verwendet !

 

Sollte der Benutzer irgendwo im AD noch andere GPOs verknüpft haben dann erscheinen die als Herausgefiltert.

 

Hope that helps.

 

Gruß Martin

[admin1111 0]

Hallo Newbie, 

 

danke, habe eine extra GPO erstellt nur mit Loopback, und eingehangen, ganz oben, so dass jetzt bei jeder GPO die Benutzereinstellungen laden soll für besti9mmte Computer Objekte, da hat funktioniert. 

 

mfg

[testperson 1.528]

Hi,

danke, habe eine extra GPO erstellt nur mit Loopback, und eingehangen, ganz oben, so dass jetzt bei jeder GPO die Benutzereinstellungen laden soll für besti9mmte Computer Objekte, da hat funktioniert. 

was heißt "ganz oben" bei dir?

 

Gruß

Jan

[admin1111 0]

in der OU wo die ganzen Computer OUs sind.

 

Damit will ich erreichen, dass wenn ich weitere OUs mit Benutzereinstellungen auf Computer verteiilen will, es funktioniert. 

PS: hat auch bereits funktioniert. 

[testperson 1.528]

Okay, ich hätte "ganz oben" mit "auf Domänen Ebene" assoziiert ;)