Selbst erstellte GPO greift nicht

[Gast]

Hallo zusammen.

 

Ich möchte die Standardfreigabe per Policy bei bestimmten Rechnern deaktivieren.

 

Hierfür hab ich mir folgende ADM-Vorlage geschrieben, in eine TestPolicy eingebunden und natürlich auch aktiviert :

 

CLASS MACHINE

 

CATEGORY "Freigaben"

POLICY "Standardfreigabe deaktivieren"

KEYNAME "SYSTEM\CurrentControlSet\Services\lanmanserver\parameters"

PART "Deaktiviert alle Standardfreigaben des Computers" TEXT END PART

VALUENAME "AutoShareWks"

VALUEON NUMERIC 0

VALUEOFF DELETE

END POLICY

END CATEGORY

 

Ich habe zum Testen eine neue OU im AD erstellt und den Computer in diese OU reingestellt. Die Policy ist ebenfalls extra zum Testen erstellt und mit dieser OU verknüpft.

 

Leider macht er mir keinen Eintrag in die Registry. Der Rechner wurde neu gestartet.

Über gpresult zeigt er mir die Policy bei "Angewendete Gruppenrichtlinienobjekte" nicht an. Auch bei den herausgefilterten Gruppenrichtlinien steht kein Wort von meiner testpolicy.

 

Was mache ich falsch bzw. was sind die Voraussetzungen, damit die Policy für einen Computer greift? :D ;) :(

 

Viele Grüße

nob

[lefg 276]

Hierfür hab ich ...ADM-Vorlage geschrieben, in eine TestPolicy eingebunden und natürlich auch aktiviert

Hallo,

 

wird die TestPolicy denn wirksam, wird bspw. ein Startskript abgearbeitet?

 

Gruß

 

Edgar

[Gast]

Bringt es denn etwas das zu probieren, wenn die Policy bei gpresult beim entsprechenden Computer überhaupt nicht vorkommt?

[lefg 276]

Als ich mit den Gruppenrichtlinien anfing, wollte das nicht funktionieren. Von gpresult wusste ich noch nichts. Ich habe dann versucht am sichtbaren Ausführen eines Startskriptes für den Computer erprobt.

Nachdem ich die Namensauflösung für den Computer in Ordnung gebracht hatte, konnte das Ausführen des Startskriptes beobachtet werden.

[thorgood 10]

Hi nob,

 

versuche es hiermit

CLASS MACHINE
CATEGORY "Freigaben"
POLICY "Standardfreigabe deaktivieren"
KEYNAME "SYSTEM\CurrentControlSet\Services\lanmanserver\parameters"
PART "Deaktiviert alle Standardfreigaben des Computers" CHECKBOX
VALUENAME "AutoShareWks"
VALUEON NUMERIC 0
VALUEOFF DELETE
END PART
END POLICY
END CATEGORY

 

thorgood

[Gast]

@lefg: woran erkenne ich am einfachsten, dass die Namensauflösung des Computers nicht funktioniert?

 

@thorgood: Danke habs probiert, aber das macht leider keinen Unterschied, weil die Richtlinie an sich ja erst gar nicht auf das Computerobjekt angewandt wird (auch nicht ausgefiltert). Es ist, als wäre sie praktisch gar nicht vorhanden.

[thorgood 10]

Hi nob,

 

Policy eingeblendet, aktiviert und auch konfiguriert ?

Wenn keine Policy in einem GPO konfiguriert ist wird sie auch nicht gezeigt.

 

In der ersten ADM endet Part vor dem ersten Werteteil, somit wir keine Policy erzeugt.

 

thorgood

[Gast]

Also hab gerade die Namensauflösung mit nslookup getestet und die müsste richtig funktionieren.

 

>In der ersten ADM endet Part vor dem ersten Werteteil, somit wir keine Policy erzeugt.

Bist Du Dir da sicher? Meine Policy wird erzeugt und auch angezeigt, da is kein Unterschied zu Deiner zu sehen. Ausser, dass bei Deiner Version ein zusätzliches Häckchen erscheint. Die CheckBox brauch ich aber doch nicht, weil ich ja nur aktivieren/deaktivieren möchte.

 

Und ja, die Policy ist eingeblendet, aktiviert und auf die OU verknüpft. Was genau meinst Du mit konfiguriert?

 

Kann es etwas mit dem Benutzer zu tun haben? Denn das UserObject steht nicht in dieser OU drin... *verwirrtbin*

[lefg 276]

Ich pinge einen meiner Server im LAN an.

 

>ping -a 192.168.1.10

 

Beachte die Option -a

 

Die Antwort ist:

 

Ping 1fs-lubeca.lubeca.wak.de [192.168.1.10] mit 32 Bytes Daten:

Antwort von 192.168.1.10: Bytes=32 Zeit<10ms TTL=128

Antwort von 192.168.1.10: Bytes=32 Zeit<10ms TTL=128

Antwort von 192.168.1.10: Bytes=32 Zeit<10ms TTL=128

Antwort von 192.168.1.10: Bytes=32 Zeit<10ms TTL=128

 

Ping-Statistik für 192.168.1.10:

Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust),

Ca. Zeitangaben in Millisek.:

Minimum = 0ms, Maximum = 0ms, Mittelwert = 0ms

 

Das bedeutet die Auflösung der Adresse in den Hostname funktioniert.

 

Ein weitere Test nslookup.

 

NSLOOKUP ist ein Standard-Unix-Dienst, um sich Informationen über das DNS (Domain Name System [RFC1034, RFC1035]) zu suchen und anzeigen zu lassen. Das DNS dient dazu, Domain-Namen und Rechnernamen auf IP-Adressen abzubilden, und umgekehrt.

 

Viel Erfolg

 

Edgar

[Gast]

Sieht genauso aus wie bei Dir lefg. Also das ist es definitiv nicht.

[thorgood 10]

Mit konfiguriert meine ich ein Wert in eine Policy.

Sonst wird kein Registry.pol File erzeugt.

[lefg 276]

Ein GPO sieht bei mir so aus. Vergleiche nochmals!

 

CLASS USER
CATEGORY HPLJ4050
 POLICY Windows
 KEYNAME "Software\Microsoft\Windows NT\CurrentVersion\Windows"
   PART Device EDITTEXT
   VALUENAME "Device"
   END PART
 END POLICY
END CATEGORYRY

Ich sehe zu Thorgoods Vorschlag auch keinen wesentlichen Unterschied.

[Gast]

Also ich kenn mich zwar eigentlich nicht aus. Aber das Problem liegt meiner Meinung nach nicht am ADM selbst sondern daran, dass die Policy überhaupt nicht auf das Computerobjekt angewandt wird.

 

Reicht es denn nicht, wenn das Computerobjekt in der richtigen OU steht?

[lefg 276]

Reicht es denn nicht, wenn das Computerobjekt in der richtigen OU steht?

Doch, das reicht.

 

Klopfen wir das mal ab.

 

Du hast einen DC oder zwei DCs in der Domäne?

 

Wo ist die *.ADM gespeichert?

 

Wurde die ADM über Computerkonfiguration, dem Kontextmenu von Administrative Vorlagen, Vorlagen hinzufügen/entfernen eingebunden in die OU-Richtlinie?

[lefg 276]

Es wäre vieleicht doch interessant festzustellen, ob für die OU ein Computerstartskript sichtbar abgearbeitet wird. Ob du das mal konfigurierst? Weisst du wie das gemacht wird?