Benuzerrichtlinie wird nicht aktualisiert

[Gerry1420]

Hallo.
Wir haben in unserem ActiveDirectory in einer OU Benutzerkonfiguration einige Änderungen zur automatischen Sperrung der Arbeitsstationen eingerichtet. Alle betreffenden Clients befinden sich in der selben OU.
Nun wird die Änderung auf einigen Clients automatisch übernommen, und funktioniert, auf anderen nicht. Auch ein gpupdate /force oder /user bringt nichts.

Gpresult zeit nach einem GPUpdate, das die Computerkonfiguration heute aktualisiert wurde, die Benutzerkonfiguration aber zuletzt irgendwann vor zwei Monaten. Auch unter "Angewendet von" ist kein Eintrag zu finden.

Hat da jemand einen Tipp für mich?

Danke & Gruß,
Gerry

[lefg]

Hallo,

ist der Loopbackverarbeitungsmodus aktiviert?

Viel Erfolg

Edgar

[Gerry1420]

Hallo Edgar.
Da mußte ich grad erstmal suchen was das überhaupt ist...
Die Einstellung ist nicht konfiguriert und, so wie ich das verstanden habe, somit nicht aktiv.

Gerry

[lefg]

Hallo Gery,

das ist in der Computerkonfiguration, Administrative Vorlagen, System, Gruppenrichtlinien.
Der Modus lässt die Benutzerkonfiguration auch für eine ComputerOU wirken.
Was mich wundert, es klappt ja bei einem Teil der Rechner (bei dir) und bei eingen nicht. Bei den funktionsfähigen müsste ja der LBVM aktiviert sein, oder es funktiont auf andere Weise. Das würde mich schon interessieren.

Gruß

Edgar

[Gerry1420]

Ok...ich habe die Funktion mal aktiviert und auf "Ersetzen" gestellt.
Ich teste morgen was passiert und ob ich im GPResult eine entsprechende Veränderug sehe.

DANKE!
Gerry

[lefg]

Zitat von Gerry1420 DANKE!

Gern geschehen, bitte berichte über Erfolg oder Misserfolg!

Ich nehme mal an, die Namensauflösung funktioniert? Ohne diese keine Aktualisierung von Richtlinien.

Sind das XP-Clients, wie ist es da mit dem Startzeitpunkt des Netzwerkes?

Gruß

Edgar

[Gadget]

Hi,

noch ein kleiner Hinweis zum Loopback-Verarbeitungsmodus.

MSFT empfiehlt dieses eindeutig nur zu verwenden wenn alles andere nicht zum gewünschten Ergebnis führen würde.

Loopback ist also keine Standardkonfiguration sondern nur für Terminalserver u. ähnliche Konstellation gedacht.

Group Policy Best Practices:
http://www.microsoft.com/technet/pro...2f3cb57d6.mspx

Override user-based Group Policy with computer-based Group Policy only if you want the desktop configuration to be the same regardless of who logs on. The mechanism for doing this is called loopback, an advanced Group Policy setting that is useful in certain closely managed environments, such as laboratories, classrooms, public kiosks, and reception areas

Möchte da mal an unseren alten Monster-Thread erinnern:
https://www.mcseboard.de/showthread.php?t=66080

LG Gadget

[Gerry1420]

Hallo Egar, hallo Kohn.

Der Lookbackverarbeitungsmodus hat auch keine Änderung bewirkt.
Beim überfliegen des "Monsterthreats" ist mir der Hinweis auf NSLOOKUP aufgefallen.

Funktioniert hier natürlich nicht...vielleicht liegt das Problem schon daran?
Mein PrimärerDNS-Server kann nicht gefunden werden. Als Standard-DNS-Server bekomme ich nun den sekundären DNS-Server angezeigt. Das ist ein externer bei unserem Internetprovider.... Auch auf meinem DNS-Server bekomme ich den exteren Server als Standardserver angezeigt.
Generell funktioniert die Namensauflösung hier im Netz aber. Ich kann Rechnernamen pingen und bekomme die aufgelöste IP zurück.

Wo fang ich nun am besten an?

Gerry

[lefg]

Zitat von Gerry1420 ..." ist mir der Hinweis auf NSLOOKUP aufgefallen. ...Funktioniert hier natürlich nicht...vielleicht liegt das Problem schon daran?

Hallo Gerry, dann liegt es i.d.R. daran.

Da hast eine Domäne, auf dem DC läuft ein DHCP und ein DNS-Server?

Der bevorzugende DNS-Eintrag am Server zeigt auf (sich) den Server selbst?

Was ist das Ergebnis von nslookup am Server?

Der bevorzugende DNS-Eintrag an den Clients zeigen auf den Server?

Was ist das Ergebnis von nslookup an den Clients?

Oder ist am Server, sind an den Clients als DNS.-Eintrag etwas die Adresse des DNS vom Internetprovider eingetragen? Das wäre ein schwerer Fehler. Für die Namensauflösung im LAN, in der Domäne ist der (ein) DNS der Domäne zwingend zuständig. Ein externer DNS müsste Namen und IPs der LAN-Teilnehmer kennen. Das ist aber nicht die Regel.

Ich möchte zum Abschluss noch einen Fall schildern.
Ers gab ein LAN, eine Arbeitsgruppe, diese wurde über eine Standleitung mit einen Unternehmenszentrale verbunden. Die Verbindung stellt ein Provider incliver der Router. In das LAN wurde als Router ein Cisco PIX gestellt, diese machte auch den DHCP und den DNS-Forwarder. Der Provider stellte für das Unternehmen einen DNS. Die Clients bezogen ihre Einstellungen von der PIX. Der Internetzugang ging auch über diese Verbindung. Es funktionierte sogar.
Dann wurde eine 2kDomäne geschaffen vom lokalen Administrator (ich), die Clients der Domäne hinzugefügt. Der DNS der Domäne wurde als Alternative eingetragen. Die Auflösung für das Internet funktionierte, die lokale der Clients nicht, das Netzwerk war langsam wie bekannt.
Nun wurden die Clients auf DNS der Domäne ausgerichtet (bevorzugender DNS), damit funktionierte lokale Namensauflösung, die für das Internet nicht. Auch der Eintrag des Provider-DNS als Alternative brachte keine Besserung.

Erst die Einrichtung einer Weiterleitung auf dem lokalen DNS auf den des Providers brachte den gewünschten Erfolg.

Nun wird die Frage, warum der DHCP der PIX weiterbenutzt, warum nicht der DHCP des lokalen DC verwendet wird? Das hat interne politische Gründe. Ich habe auf die Einstellungen der PIX keinen Einfluss, der vergebene Adressbereich muss benutzt werden.

Gruß

Edgar

[Gerry1420]

Guten Morgen.

Ok...die Reverselookupzone scheint nun zu funktionieren! Dynamische Updates waren für die Zone deaktiviert. Nachdem ich diese aktiviert hatte, haben sich zumindest einige Server automatisch eingetragen. Als NSlookup nach wie vor kein Ergebnis gezeigt hat, habe ich IPCONGIG /REGISTERDNS ausgeführt und siehe da..... NSLookup liefert von allen Clients eine korrekte Auflösung.

Frage hierzu noch... Müssten in den beiden Lookupzonen nicht ALLE Clients und Server eingetragen sein?

Zurück zu meinem Ursprungsproblem...die Benutzerrichtlinie aktualisiert sich nach wie vor auf manchen Clients nicht. Ein manuelles Update wird zwar angeblich erfolgreich durchgeführt, GPResult zeigt aber trotzdem ein Uralt-Datum als letztes Aktualisierungsdatum. -- Was kann ich tun?

Besten Gruß,
Gerry