Zum Inhalt wechseln


Foto

Wsus Computer Richtline zieht nur als Administrator ?


  • Bitte melde dich an um zu Antworten
7 Antworten in diesem Thema

#1 shredman

shredman

    Newbie

  • 6 Beiträge

 

Geschrieben 19. September 2016 - 07:45

Hi,

 

Habe das Problem, das eine Computer Richtlinie, die an eine OU gebunden ist, nicht als normaler Domain Benutzer gezogen wird. Erst wenn ich mich am Windows 7 Client als lokaler Administrator anmelde wird die Computer Richtline problemlos gezogen.

 

Domäne: Windows 2008 R2

 

Melde ich mich als Domänen Benutzer an wird mit gpresult /r nur die Benutzerrichtline gezogen, keine Computerrichtline. Das Computerkonto ist definitiv in der OU, zu der die Wsus Richtline zugeordnet ist.

 

Ein rsop in der Eingabeaufforderung am Client verlangt ein Anmelden (UAC). Verwende ich hier meinen derzeit angemeldeten Domänenbenutzer kommt:

 

Aufgrund fehlender Berechtigungen konnten keine Computerdaten generiert werden.Das Snap In wird fortgesetzt, er werden nur Benutzerdaten angezeigt.Im Rsop Fenster steht bei der Computerrichtline "Zugriff verweigert".

 

 

Im Gruppenrichtlinen Editor habe ich bei Sicherheitsfilterung die Authentifizierten Benutzer (Default) drin stehen. Zu diesen gehört ja normal auch das Computerkonto, doch warum wird nur die Benutzerrichtline und nicht die Computerrichtline gezogen ? Auch wenn ich hier explizit die Domänen-Computer eintrage ändert das nichts. Bin ratlos.

 

Danke im voraus.

 

Gruß,

Frank.H



#2 ChrisRa

ChrisRa

    Senior Member

  • 411 Beiträge

 

Geschrieben 19. September 2016 - 08:06

gpresult /scope:computer /r in einer administrativen Kommandozeile.

 

Das Verhalten was du beschreibst ist normal und muss auch so sein. 


Keep IT simple.  ;)


#3 shredman

shredman

    Newbie

  • 6 Beiträge

 

Geschrieben 19. September 2016 - 08:14

gpresult /scope:computer /r in einer administrativen Kommandozeile.

 

Das Verhalten was du beschreibst ist normal und muss auch so sein

 

C:\Users\benutzer>gpresult /scope:computer /r
FEHLER: Zugriff verweigert.

 

Das Verhalten soll normal sein ? Kein Zugriff, also Computerrichtline wird nie gezogen. Da stimmt doch was nicht.


C:\Users\benutzer>gpresult /scope:computer /r
FEHLER: Zugriff verweigert.

 

Das Verhalten soll normal sein ? Kein Zugriff, also Computerrichtline wird nie gezogen. Da stimmt doch was nicht.

 

Ups, war keine Admin CMD.

 

 

C:\Windows\system32>gpresult /scope:computer /r

Betriebssystem Microsoft ® Windows ® Gruppenrichtlinienergebnis-Tool v2.0
Copyright © Microsoft Corp. 1981-2001

Am 19.09.2016, um 10:12:31 erstellt


RSOP-Daten für hofmann\Administrator auf HOFMANN: Protokollmodus
-----------------------------------------------------------------

Betriebssystemkonfiguration: Mitglied der Domäne/Arbeitsgruppe
Betriebssystemversion:       6.1.7601
Standortname:                Standardname-des-ersten-Standorts
Zwischengespeichertes Profil:Nicht zutreffend
Lokales Profil:              C:\Users\Administrator
Langsame Verbindung?         Nein


COMPUTEREINSTELLUNGEN
----------------------

    Letzte Gruppenrichtlinienanwendung:   19.09.2016, um 09:19:30
    Gruppenrichtlinieanwendung von:       domain.test.lokal
    Schwellenwert für langsame Verbindung:500 kbps
    Domänenname:                          TEST
    Domänentyp:                           Windows 2000

    Angewendete Gruppenrichtlinienobjekte
    --------------------------------------
        WSUS
        Default Domain Policy

    Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
    ----------------------------------------------------------------------
        Richtlinien der lokalen Gruppe
            Filterung:  Nicht angewendet (Leer)

    Der Computer ist Mitglied der folgenden Sicherheitsgruppen
    ----------------------------------------------------------
        Administratoren
        Jeder
        Benutzer
        NETZWERK
        Authentifizierte Benutzer
        Diese Organisation
        BENUTZER$
        Domänencomputer
        Systemverbindlichkeitsstufe

C:\Windows\system32>
 



#4 ChrisRa

ChrisRa

    Senior Member

  • 411 Beiträge

 

Geschrieben 19. September 2016 - 08:14

gpresult /scope:computer /r in einer administrativen Kommandozeile.

 

:rolleyes:

 

Die Computerrichtlinien haben nichts mit dem angemeldeten User zu tun. Diese werden schon vor der Anmelden am System verarbeitet.


Bearbeitet von ChrisRa, 19. September 2016 - 08:15.

Keep IT simple.  ;)


#5 Sunny61

Sunny61

    Expert Member

  • 22.100 Beiträge

 

Geschrieben 19. September 2016 - 08:31

Das wichtigere ist vermutlich das Eintragen der Authentifizierten Benutzer im Reiter DELEGIERUNG. Lies dazu diesen Artikel: http://www.gruppenri...chday-14062016/

 

Und ja, eine Computerrichtlinie kann nicht von Benutzern gezogen werden, denn wenn sie das täte, würde sie Benutzerrichtlinien heißen.


Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#6 shredman

shredman

    Newbie

  • 6 Beiträge

 

Geschrieben 19. September 2016 - 12:48

Mit gpresult /scope:computer /r in einer administrativen Kommandozeile wird zwar die Richtlinie als aktiv gezeigt, doch nach einem Neustart und anschliessendem Login werden auch nach Stunden, keine Updates angeboten. Am Wsus Server stehen für diesen Client rund 20 Updates zur Auswahl, erscheinen aber nicht.

 

Verstehe ich das richtig, der Authentifizierte Benutzer soll nicht über die Sicherheitsfilterung sondern nur über die Delegierung hinzugefügt werden und das Recht "Lesen" aber nicht Gruppenrichtlinie "übernehmen" bekommen ? Irgendwie unlogisch :confused:



#7 Sunny61

Sunny61

    Expert Member

  • 22.100 Beiträge

 

Geschrieben 19. September 2016 - 19:20

Mit gpresult /scope:computer /r in einer administrativen Kommandozeile wird zwar die Richtlinie als aktiv gezeigt, doch nach einem Neustart und anschliessendem Login werden auch nach Stunden, keine Updates angeboten. Am Wsus Server stehen für diesen Client rund 20 Updates zur Auswahl, erscheinen aber nicht.


Na endlich kommst Du auf den Punkt. Steht denn der WSUS auch in der Registry auf dem Client? Wenn ja, dann schau doch bitte endlich in das richtige Log. %windir%\WindowsUpdate.log suchst Du.
 

Verstehe ich das richtig, der Authentifizierte Benutzer soll nicht über die Sicherheitsfilterung sondern nur über die Delegierung hinzugefügt werden und das Recht "Lesen" aber nicht Gruppenrichtlinie "übernehmen" bekommen ? Irgendwie unlogisch :confused:


Nein, Du hast es noch nicht ganz verstanden und ob das für dich unlogisch ist oder nicht, spielt keine Rolle. Trag die Authentifizierten Benutzer *zusätzlich* über die Delegierung auf dem GPO ein. Ansonsten können die Computer das GPO nicht lesen, das Übernehmen der GPO-Einstellungen steuerst Du über die Sicherheitsfilterung. Du kannst deine restlichen GPOs auf diesen Fehler hin überprüfen. Falls notwendig, lies den Artikel einfach nochmal.
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#8 shredman

shredman

    Newbie

  • 6 Beiträge

 

Geschrieben 20. September 2016 - 05:13

Na endlich kommst Du auf den Punkt. Steht denn der WSUS auch in der Registry auf dem Client? Wenn ja, dann schau doch bitte endlich in das richtige Log. %windir%\WindowsUpdate.log suchst Du.
 

Nein, Du hast es noch nicht ganz verstanden und ob das für dich unlogisch ist oder nicht, spielt keine Rolle. Trag die Authentifizierten Benutzer *zusätzlich* über die Delegierung auf dem GPO ein. Ansonsten können die Computer das GPO nicht lesen, das Übernehmen der GPO-Einstellungen steuerst Du über die Sicherheitsfilterung. Du kannst deine restlichen GPOs auf diesen Fehler hin überprüfen. Falls notwendig, lies den Artikel einfach nochmal.

 

Aye Aye Sir, wird gemacht ! :)

 

Thx