Zum Inhalt wechseln


Foto

Gruppenrichtlinienobjekt verknüpft mit Benutzer-OU

Windows Server 2012 R2

  • Bitte melde dich an um zu Antworten
18 Antworten in diesem Thema

#1 AMiGA

AMiGA

    Newbie

  • 26 Beiträge

 

Geschrieben 14. November 2017 - 13:32

Hallo zusammen,

 

ich habe irgendwie ein kleines Verständnisproblem. Ich habe in einer AD-Struktur eine Benutzer-OU, in welcher spezielle Benutzerkonten existieren. Für diese Benutzer soll der Windows Desktop stark reduziert sein, egal auf welchem Rechner sie sich anmelden.

 

Dazu habe ich mit dieser OU ein Gruppenrichtlinienobjekt verknüpft. In der Sicherheitsfilterung ist die Gruppe "Domänen-Benutzer" eingetragen. In der Delegierung ist für die Gruppe der "Authentifizierten Benutzer" das Lesen des Objektes erlaubt.

 

Ich hätte jetzt erwartet, dass das Objekt für diese Benutzer auf einem beliebigen Rechner angewendet wird. Dies ist aber nicht der Fall. Ein Aufruf von "gpresult /r" zeigt mir das Objekt überhaupt nicht an (weder angewendet noch herausgefiltert).

 

Auch das Ergänzen des Loopbackverarbeitungsmodus für die Benutzergruppenrichtlinie (Zusammenführen) hat keine Auswirkungen.

 

Wo genau ist da der Denkfehler/das Verständnisproblem?

 

Gruß,

AMiGA



#2 NorbertFe

NorbertFe

    Expert Member

  • 30.789 Beiträge

 

Geschrieben 14. November 2017 - 13:36

Wer oder was steckt denn in der OU, auf die das GPO verlinkt ist? Und was sollte dir da der Loopback Modus bringen? Den nutzt man üblicherweise, wenn man weiß wie das funktioniert. ;)

Bye
Norbert

Make something i***-proof and they will build a better i***.


#3 AMiGA

AMiGA

    Newbie

  • 26 Beiträge

 

Geschrieben 14. November 2017 - 16:07

In der OU stecken wie oben geschrieben Benutzer-Objekte.

 

Der Loopback Modus wurde aktiviert, da seit 2016 meines Wissens zunächst das Computerobjekt, an dem sich der Benutzer anmeldet die Richtlinie liest und erst danach an den Benutzer übergibt. Daher auch die Delegierung an "Authentifizierte Benutzer", da das GP-Objekt sonst nie durch ein Computerobjekt ausgeführt würde.



#4 NorbertFe

NorbertFe

    Expert Member

  • 30.789 Beiträge

 

Geschrieben 14. November 2017 - 17:44

Der loopback kann aber nur ausgeführt werden, wenn das gpo (oder ein anderes) auf eine ou mit dem computerkonto verlinkt ist. Ansonsten müsstest du noch etwas genauer beschreiben was du wie konfiguriert hast. Ein normales gpo das nur auf Benutzerkonten wirkt, funktioniert einfach so per default. Wenn das bei dir nicht so ist, müsste man rausfinden warum das bei dir so ist.

Make something i***-proof and they will build a better i***.


#5 Sunny61

Sunny61

    Expert Member

  • 22.173 Beiträge

 

Geschrieben 14. November 2017 - 20:50

ich stell den Artikel von Mark ein. https://www.gruppenr...chday-14062016/ Evtl. wird es klarer.

 

Du hast das GPO auch korrekt auf die OU verlinkt?  Es sind auch wirklich Benutzereinstellungen konfiguriert?


Bearbeitet von Sunny61, 14. November 2017 - 20:50.

Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#6 AMiGA

AMiGA

    Newbie

  • 26 Beiträge

 

Geschrieben 15. November 2017 - 07:09

Du hast das GPO auch korrekt auf die OU verlinkt?  Es sind auch wirklich Benutzereinstellungen konfiguriert?

Ja genau. Eine OU, in der mehre Benutzerobjekte sind. Mit dieser (Benutzer-)OU ist ein Gruppenrichtlinienobjekt verknüpft. Dieses enthält verschiedene Benutzereinstellungen, keine Computereinstellungen.

 

Mit einem Benutzer aus der OU melde ich mich an einem RDS-Broker an. Für diesen Computer gibt es einige direkt verknüpfte und einige geerbte Gruppenrichtlinienobjekte.

 

Ich prüfe, ob mein gewünschtes Gruppenrichtlinienobjekt angewendet wurde, indem ich die angewendeten/herausgefilterten Objekte mit "gpresult /r" anzeige. Außerdem überprüfe ich zusätzlich mit "rsop.msc", ob die Einstellungen aus dem Objekt angewendet wurden.

 

Leider wird das Objekt offenbar nicht angewendet.

 

Gruß,

AMiGA


Bearbeitet von AMiGA, 15. November 2017 - 07:09.


#7 testperson

testperson

    Board Veteran

  • 4.578 Beiträge

 

Geschrieben 15. November 2017 - 07:12

Hi,

 

in dem Bericht solltest du dann aber auch sehen, warum das GPO z.B. abgelehnt wurde bzw. aus welchem GPO die entsprechenden Einstellungen kommen.

Gibt es evtl. ein GPO mit aktiviertem Loopbackverarbeitungsmodus, welches auf dem Client angewendet wird auf dem sich der User anmeldet (Sollte auch im Bericht auftauchen)?

 

Gruß

Jan


Good morning, that's a nice TNETENNBA!

#8 AMiGA

AMiGA

    Newbie

  • 26 Beiträge

 

Geschrieben 15. November 2017 - 07:21

in dem Bericht solltest du dann aber auch sehen, warum das GPO z.B. abgelehnt wurde bzw. aus welchem GPO die entsprechenden Einstellungen kommen.

Leider taucht mein Objekt überhaupt nicht auf, weder bei den angewendeten noch bei den abgelehnten Objekten.

 

Gibt es evtl. ein GPO mit aktiviertem Loopbackverarbeitungsmodus, welches auf dem Client angewendet wird auf dem sich der User anmeldet (Sollte auch im Bericht auftauchen)?

Ja, es gibt ein Objekt mit aktiviertem Loopbackverarbeitungsmodus, was auf dem Client angewendet wird, es wird aber für den Benutzer nicht angewendet (aufgrund der Sicherheitsfilterung).

 

Gruß,

AMiGA



#9 NilsK

NilsK

    Expert Member

  • 12.395 Beiträge

 

Geschrieben 15. November 2017 - 07:29

Moin,

 

Leider taucht mein Objekt überhaupt nicht auf, weder bei den angewendeten noch bei den abgelehnten Objekten.

 

das deutet darauf hin, dass es nicht an der richtigen Stelle verknüpft ist.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#10 AMiGA

AMiGA

    Newbie

  • 26 Beiträge

 

Geschrieben 15. November 2017 - 08:51

das deutet darauf hin, dass es nicht an der richtigen Stelle verknüpft ist.
Aber wo könnte ich da noch etwas falsch gemacht haben? Ich habe die OU, sehe das verknüpfte Gruppenrichtlinienobjekt, die Verknüpfung ist aktiv, das Objekt ist aktiviert, das Objekt enthält Benutzerkonfigurationseinstellungen. Der Benutzer ist definitiv in der OU, trotzdem wird das Gruppenrichtlinienobjekt nicht angewendet...

#11 AMiGA

AMiGA

    Newbie

  • 26 Beiträge

 

Geschrieben 15. November 2017 - 13:09

Ich verstehe nicht wirklich, wieso das Objekt nicht angewendet wird. Bei der Anmeldung des Benutzers an einer Workstation wird es angewendet. Bei der Anmeldung des Benutzers an einem anderen Server wird es angewendet. Nur bei der Anmeldung des Benutzers an einem RDS-Sitzungshost wird es nicht angewendet (mit diesem habe ich bei der Problemrecherche gestartet).

 

Wenn ich das genannte GP-Objekt deaktiviere, wird ein weiteres GP-Objekt, was mit der Benutzer-OU verknüpft ist ausgeführt. Wenn ich das genannte GP-Objekt aktiviere wird auch das weitere GP-Objekt, was mit der Benutzer-OU verknüpft ist, nicht ausgeführt.

 

Sehr seltsam.



#12 NilsK

NilsK

    Expert Member

  • 12.395 Beiträge

 

Geschrieben 15. November 2017 - 13:19

Moin,

 

dann wäre zu erwarten, dass dazu etwas im Eventlog steht.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#13 AMiGA

AMiGA

    Newbie

  • 26 Beiträge

 

Geschrieben 15. November 2017 - 14:02

Leider nein, zumindest hatte ich weder unter Application, System noch unter Microsoft/Windows/GroupPolicy etwas entscheidendes gefunden. Die Liste der anzuwendenden Gruppenrichtlinienobjekte wird per LDAP angefragt und erhalten, die anzuwendenden und herausgefilterten Objekte entsprechen genau denen, die per gpresult ausgegeben werden. Das "Problem"-Objekt taucht nirgends auf.


Bearbeitet von AMiGA, 15. November 2017 - 14:03.


#14 NilsK

NilsK

    Expert Member

  • 12.395 Beiträge

 

Geschrieben 15. November 2017 - 14:59

Moin,

 

Löschen und neu anlegen? Wenn es dann noch nciht geht, müsste man sich das vermutlich mal direkt ansehen.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#15 testperson

testperson

    Board Veteran

  • 4.578 Beiträge

 

Geschrieben 15. November 2017 - 18:06

Hi,

 

wie viele DCs habt ihr? Nicht das es Probleme mit der Sysvol-Replikation gibt.

 

Gruß

Jan


Good morning, that's a nice TNETENNBA!