Zum Inhalt wechseln


Foto

Gruppenrichtlinien werden nicht übernommen


  • Bitte melde dich an um zu Antworten
35 Antworten in diesem Thema

#1 torstenv

torstenv

    Junior Member

  • 118 Beiträge

 

Geschrieben 29. Juni 2003 - 11:19

Folgendes Problem:

Ein Win2k-Server verwaltet mehrere XP Clients.

Ich füge der Domain (also nicht einer OU) ein neues GPO hinzu und modifiziere die Sicherheitseinstellungen der GPO dergestalt, dass "Authentifizierte Benutzer" die Schalter "Anwenden" und "Lesen" entfernt haben (also sind in dieser Gruppe nun keine Schalter an, auch nicht "verweigern"). Dann füge ich den Sicherheitseinstellungen eine neue Gruppe (eine selbst angelegte) hinzu und wähle für diese die Sicherheitseinstellungen "Lesen" und "Anwenden" an.

Mache ich das oben formulierte von Hand auf dem DC, so wird die GPO irgendwann übernommen. Mache ich das aber von einem anderen Host aus (XP-SP1) über die GPMC, so wird die GPO scheinbar nicht übernommen, obwohl augenscheinlich bei der Ansicht der GPO und deren Einstellungen direkt vom DC aus betrachtet, alle Einstellungen die selben sind, wie bei der von Hand angelegten GPO.

Wie finde ich heraus, warum die eine GPO nicht angewendet wird?

Danke!

T.

#2 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 29. Juni 2003 - 14:17

bin mir nicht sicher, aber setz "domain computers" read and apply dazu
cu
blub

#3 torstenv

torstenv

    Junior Member

  • 118 Beiträge

 

Geschrieben 29. Juni 2003 - 15:00

Wenn ich das täte, würde die GPO auf alle Computer in der Domain angewendet. Das will ich nicht. Ich will, dass die GPO nur auf Mitglieder der von mir erstellten Gruppe angewendet wird.

T.

#4 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 29. Juni 2003 - 17:08

du hast mit den "authenticated users" auch die "domain computers" rausgeschmissen aus der Berechtigung. Daran musst du halt denken bzw. darauf wollte ich dich hinweisen
cu
blub

#5 torstenv

torstenv

    Junior Member

  • 118 Beiträge

 

Geschrieben 29. Juni 2003 - 18:38

Sorry, das kapiere ich nicht.

Die Besonderheit ist ja, dass ich die GPO an die Domain binde, aber NICHT will, dass sie für jeden Host in der Domain gültig ist. Darum entferne ich ja extra die Berechtigung "Anwenden" von der Gruppe "Authentifizierte Benutzer".

Ich möchte die Menge der Hosts, die diese GPO anwenden sollen, über die Mitgliedschaft einer bestimmten, vorher von mir angelegten Gruppe festlegen. Dazu habe ich also eben dieser Gruppe das "Anwenden" und "Lesen" Recht gegeben. Aber die Mitglieder dieser Gruppe wenden die GPO nicht an, wenn ich das automatisiert über GPMC-Scripts laufen lasse.

Lege ich jedoch, wie schon beschrieben, diese Konstellation von Hand an, was im Endergebnis keinen Unterschied macht (und man kann nacher nicht mehr feststellen, ob eine GPO nun von Hand oder über die GPMC-Scripte angelegt wurde), dann jedenfalls wird die GPO einwandfrei angewandt, so scheint es.

Deinen Hinweis auf die Domain Computer habe ich nicht nachvollziehen können.

T.

#6 grizzly999

grizzly999

    Board Veteran

  • 17.691 Beiträge

 

Geschrieben 29. Juni 2003 - 21:24

Hi torstenv

ich habe es gerade eben bei mir probiert. Beide Male - GPO auf DC interaktiv geändert und von XP aus geändert - werden die Gruppenrichtlinien samt Filterung sauber übernommen. Ich vermute dein Fehler liegt an anderer Stelle. Vielleicht steht die Sicherheitseinstellung der GPO für die betreffende Gruppe doch nicht auf "Richtlinie übernehmen", oder...??


grizzly999
MVP [Windows Server - Directory Services]
www.ServerHowTo.de -Das MCSEboard.de HowTo Projekt ist online!

#7 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 30. Juni 2003 - 08:10

vielleicht wars unklar..
Wenn du die authenticated users entfernst, entfernst du auch die Domain computers. Wenn du statt dessen eine eigene Gruppe anlegst, müssen in dieser Gruppe sowohl die User, als auch die Computer, für die diese Policy gelten soll, "read" und " apply" haben.
Ob du die Policys am Client, oder am DC einträgst, ist völlig wurscht, wenn dein Netz sauber konfiguriert ist. Installier dir die Supporttools, dort gibt es zwei Tools "netdiag /v" und "dcdiag /v". Ruf die mal auf, dann siehst meistens, wo es hakt.

cu
blub

#8 torstenv

torstenv

    Junior Member

  • 118 Beiträge

 

Geschrieben 30. Juni 2003 - 11:11

>vielleicht wars unklar..

Sorry, es ist _mir_ immer noch unklar... :-(

>Wenn du die authenticated users entfernst, entfernst du auch
>die Domain computers. Wenn du statt dessen eine eigene
>Gruppe anlegst, müssen in dieser Gruppe sowohl die User, als
>auch die Computer, für die diese Policy gelten soll, "read" und "
>apply" haben.

Read und Apply _WO_ haben?

Ich will ja erreichen, dass ich die Hosts, die die GPO übernehmen sollen, durch die Mitgliedschaft in meiner Gruppe ("GR-Test") festlegen kann. Dazu habe ich bei den Sicherheitseinstellungen der GPO "GR-Test" mit Read und Apply hinzugefügt, damit nicht alle anderen Hosts auch die GPO bekommen, habe ich "Authenticated Users" entfernt (bzw. nicht wirklich entfernt, sondern nur "read und Apply" abgehakt, sodass weder erlauben noch verweigern an ist).

In der Policy selbst sind nur Einstellungen in der Computerkonfiguration, also sind Benutzereinstellungen egal. Die Hosts, mit denen ich teste SIND nun Mitglieder von "GR-Test". Damit, so fand ich zumindest, sollte doch klar definiert sein, auf welchen Hosts die GPO zur Anwendung kommen sollte.

>Ob du die Policys am Client, oder am DC einträgst, ist völlig
>wurscht, wenn dein Netz sauber konfiguriert ist.

Ja, das scheint mir auch so. Es scheint, als wäre es nicht das Problem, welches ich im Ausgangsposting beschrieben habe.

>Installier dir die Supporttools, dort gibt es zwei
>Tools "netdiag /v" und "dcdiag /v". Ruf die mal auf, dann siehst
>meistens, wo es hakt.

Auf meinem Win2k Server waren die schon drauf und liefen beide ohne Fehlermeldungen durch.

Ich nehme die Beschreibung mit den Domain Computern sehr ernst, habe das aber noch nicht wirklich verstanden, wo ich jetzt noch etwas ändern müsste.

T.

#9 grizzly999

grizzly999

    Board Veteran

  • 17.691 Beiträge

 

Geschrieben 30. Juni 2003 - 12:25

@torstenv: So wie es aussieht, hast du es völlig korrekt verstanden und völlig korrekt eingerichtet. Wenn du das Resource Kit hast, überprüfe mal mit gpresult.exe, welche GPOs für den Computer übernommen werden. Ansonsten gibt es das Tool auch hier zum Download:
http://www.microsoft.../gpresult-o.asp

Teile uns doch dann mit, wie das Ergebnis aussieht.

grizzly999
MVP [Windows Server - Directory Services]
www.ServerHowTo.de -Das MCSEboard.de HowTo Projekt ist online!

#10 torstenv

torstenv

    Junior Member

  • 118 Beiträge

 

Geschrieben 30. Juni 2003 - 16:21

Ups, noch mal alles zurück, ich musste mein Posting noch mal übereditieren, weil ich etwas zu voreilig war.

Hier also der Output von GPResult. Hier ist der springende Punkt, dass das Tool zeigt, dass die GPO mit Namen "MyGPO Install Client" nicht übernommen wird. Begründung: Filterung: Verweigert (Sicherheit). (s.u.)

Die Sicherheitseinstellungen dieser GPO sind wie folgt:
(Uneingeschränkter Zugriff = UEZ, Lesen=R, Schreiben=W, Alle untergeordneten Objekte erstellen=AUOE, Alle untergeordneten Objekte löschen=AUOL, Gruppenrichtlinie übernehmen=A)

- "Authentifizierte Benutzer" Zulassen: - , Verweigern: -
- "Domänen Admins" Zulassen: R/W/AUOE/AUOL, Verweigern: -
-"Ersteller-Besitzer": Zulassen: - , Verweigern: -
-"MyGroup":Zulassen: R/A , Verweigern: -
-"Organisations-Admins": Zulassen: R/W/AUOE/AUOL, Verweigern: -
-"System": Zulassen: R/W/AUOE/AUOL, Verweigern: -

Die Gruppe "MyGroup" hat nur ein Mitglied, nämlich den Rechner VMXPT2, und das ist der Rechner, auf dem ich hier das GPresult ausgeführt habe.

Ich bin echt ratlos.


C:\Dokumente und Einstellungen\Administrator.TEST1>gpresult

Betriebssystem Microsoft ® Windows ® XP Gruppenrichtlinienergebnis-Tool v2.0

Copyright © Microsoft Corp. 1981-2001

Am 30.06.2003 um 18:24:28 erstellt


RSOP-Ergebnisse für TEST1\Administrator auf VMXPT2 : Protokollierungsmodus
---------------------------------------------------------------------------

Betriebssystemtyp: Microsoft Windows XP Professional
Betriebssystemkonfiguration: Mitglied der Domäne/Arbeitsgruppe
Betriebssystemversion: 5.1.2600
Domänenname: TEST1
Domänentyp: Windows 2000
Standortname: Standardname-des-ersten-Standorts
Zwischengespeichertes Profil:
Lokales Profil: C:\Dokumente und Einstellungen\Administrator.TEST1

Langsame Verbindung? Nein


COMPUTEREINSTELLUNGEN
----------------------
CN=VMXPT2,CN=Computers,DC=test1,DC=Test,DC=de
Zeit der letzten Gruppenrichtlinienanwendung: 30.06.2003 at 18:24:16
Gruppenrichtlinie wurde angewendet von: srvtest1.test1.Test.de
Gruppenrichtlinienschwellenwert für langsame Verbindung: 500 kbps

Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Default Domain Policy
Aktivierungsintervall auf 8 Sek

Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefiltert wurden.
----------------------------------------------------------------------------
------------
MyGPO Install Client
Filterung: Verweigert (Sicherheit)

Richtlinien der lokalen Gruppe
Filterung: Nicht angewendet (Leer)

Der Computer ist Mitglied der folgenden Sicherheitsgruppen:
-----------------------------------------------------------
Administratoren
Jeder
Benutzer
VMXPT2$
Domänencomputer
NETZWERK
Authentifizierte Benutzer


BENUTZEREINSTELLUNGEN
----------------------
CN=Administrator,CN=Users,DC=test1,DC=Test,DC=de
Zeit der letzten Gruppenrichtlinienanwendung: 30.06.2003 at 18:23:38
Gruppenrichtlinie wurde angewendet von: Nicht zutreffend
Gruppenrichtlinienschwellenwert für langsame Verbindung: 500 kbps

Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Default Domain Policy

Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefilt
ert wurden.
----------------------------------------------------------------------------
------------
MyGPO Install Client
Filterung: Verweigert (Sicherheit)

MyGPO UnInstall Client
Filterung: Verweigert (Sicherheit)

Aktivierungsintervall auf 8 Sek
Filterung: Nicht angewendet (Leer)

Richtlinien der lokalen Gruppe
Filterung: Nicht angewendet (Leer)

Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen:
-----------------------------------------------------------
Domänen-Benutzer
Jeder
Benutzer
Administratoren
Domänen-Admins
Schema-Admins
Organisations-Admins
Richtlinien-Ersteller-Besitzer
LOKAL
INTERAKTIV
Authentifizierte Benutzer

C:\Dokumente und Einstellungen\Administrator.TEST1>

#11 grizzly999

grizzly999

    Board Veteran

  • 17.691 Beiträge

 

Geschrieben 30. Juni 2003 - 16:35

Möglichkeiten des Herausfilterns sind u.a.:

Unterbrechung der Vererbung
Verweigern der Übernahme
Deaktivieren der Computer oder Benutzerkonfiguration
(ob Überschreiben durch eine spätere Richtlinie auch darunter fällt weiss ich nicht)
und das, was ich noch vergessen habe.

Solltest mal alles in dieser richtung checken.

grizzly999
MVP [Windows Server - Directory Services]
www.ServerHowTo.de -Das MCSEboard.de HowTo Projekt ist online!

#12 torstenv

torstenv

    Junior Member

  • 118 Beiträge

 

Geschrieben 01. Juli 2003 - 08:29

Hi!

Das ist ja gerade das Problem: Es ist alles Default, ich habe im Grunde keine Änderungen gemacht, außer denen, die ich hier schon dokumentiert habe. Aber im Einzelnen:

>Unterbrechung der Vererbung

GPO ist direkt an die Domain gebunden. Vererbung ist nicht abgeschaltet.

>Verweigern der Übernahme

Das würde heißen, dass ich irgendwo einen Verweigern -Schalter an hätte. Habe ich auch schon dokumentiert, du kannst ja unten die gesetzten Berechtigungen sehen, da ist nichts auf Verweigern gestellt.

>Deaktivieren der Computer oder Benutzerkonfiguration

Wenn ich mir die GPO per GPMC ansehe, sieht die ganz normal aus, keine Deaktivierungen.

>und das, was ich noch vergessen habe.

Ja, möglicherweise findet sich hier der Grund ! ;-)

Der Trick ist ja, dass, wenn ich die Gruppe "GR-Test" wieder aus den Sicherheitseinstellungen der GPO entferne, und stattdessen wieder die Gruppe "Authentifizierte Benutzer" hinzufüge und dieser die Rechte "Read and Apply" gebe, dann wird die GPO korrekt angewandt. Kehre ich den Prozess dann um, entferne also "Authentifizierte Benutzer" wieder und füge wieder meine Gruppe "GR-Test" in den Sicherheitseinstellungen hinzu und gebe dieser Gruppe die Rechte "Read and Apply", dann wird die GPO wieder nicht angewandt und es GPResult meldet wieder "Filterung: Verweigert (Sicherheit)". Dabei ist der Host, auf dem ich das Teste, definitiv Mitglied der Gruooe "GR-Test".

Noch eine Idee?

T.

#13 grizzly999

grizzly999

    Board Veteran

  • 17.691 Beiträge

 

Geschrieben 01. Juli 2003 - 08:33

Teste doch mal die GPO, indem du die auth. Benutzer entfernst, und den Client (Computername) direkt mit apply einträgst. Übernimmt er dann die GPO?


grizzly999
MVP [Windows Server - Directory Services]
www.ServerHowTo.de -Das MCSEboard.de HowTo Projekt ist online!

#14 torstenv

torstenv

    Junior Member

  • 118 Beiträge

 

Geschrieben 01. Juli 2003 - 08:46

>Teste doch mal die GPO, indem du die auth. Benutzer entfernst,
>und den Client (Computername) direkt mit apply einträgst.
>Übernimmt er dann die GPO?

Ja. Hatte ich auch erwartet, weil er die ja auch übernimmt, wenn die Authentifizierten Benutzer eingetragen sind.

#15 grizzly999

grizzly999

    Board Veteran

  • 17.691 Beiträge

 

Geschrieben 01. Juli 2003 - 08:51

Dann ist der Fehler klar, wenn ich auch im Moment keine Erklärung dafür habe, aber er erkennt die Computerkonten als Gruppenmitglieder nicht, wohl aber direkt und natürlich als authentifizierte Benutzer. Als Workaround würde ich empfehlen, die Computerkonten direkt einzutragen.

Vielleicht finde ich was dazu. Selber testen kann ich erst später.... ;)

grizzly999
MVP [Windows Server - Directory Services]
www.ServerHowTo.de -Das MCSEboard.de HowTo Projekt ist online!