Jump to content

Wsus Computer Richtline zieht nur als Administrator ?


shredman
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hi,

 

Habe das Problem, das eine Computer Richtlinie, die an eine OU gebunden ist, nicht als normaler Domain Benutzer gezogen wird. Erst wenn ich mich am Windows 7 Client als lokaler Administrator anmelde wird die Computer Richtline problemlos gezogen.

 

Domäne: Windows 2008 R2

 

Melde ich mich als Domänen Benutzer an wird mit gpresult /r nur die Benutzerrichtline gezogen, keine Computerrichtline. Das Computerkonto ist definitiv in der OU, zu der die Wsus Richtline zugeordnet ist.

 

Ein rsop in der Eingabeaufforderung am Client verlangt ein Anmelden (UAC). Verwende ich hier meinen derzeit angemeldeten Domänenbenutzer kommt:

 

Aufgrund fehlender Berechtigungen konnten keine Computerdaten generiert werden.Das Snap In wird fortgesetzt, er werden nur Benutzerdaten angezeigt.Im Rsop Fenster steht bei der Computerrichtline "Zugriff verweigert".

 

 

Im Gruppenrichtlinen Editor habe ich bei Sicherheitsfilterung die Authentifizierten Benutzer (Default) drin stehen. Zu diesen gehört ja normal auch das Computerkonto, doch warum wird nur die Benutzerrichtline und nicht die Computerrichtline gezogen ? Auch wenn ich hier explizit die Domänen-Computer eintrage ändert das nichts. Bin ratlos.

 

Danke im voraus.

 

Gruß,

Frank.H

Link to comment

gpresult /scope:computer /r in einer administrativen Kommandozeile.

 

Das Verhalten was du beschreibst ist normal und muss auch so sein

 

C:\Users\benutzer>gpresult /scope:computer /r

FEHLER: Zugriff verweigert.

 

Das Verhalten soll normal sein ? Kein Zugriff, also Computerrichtline wird nie gezogen. Da stimmt doch was nicht.

C:\Users\benutzer>gpresult /scope:computer /r

FEHLER: Zugriff verweigert.

 

Das Verhalten soll normal sein ? Kein Zugriff, also Computerrichtline wird nie gezogen. Da stimmt doch was nicht.

 

Ups, war keine Admin CMD.

 

 

C:\Windows\system32>gpresult /scope:computer /r

 

Betriebssystem Microsoft ® Windows ® Gruppenrichtlinienergebnis-Tool v2.0

Copyright © Microsoft Corp. 1981-2001

 

Am 19.09.2016, um 10:12:31 erstellt

 

 

RSOP-Daten für hofmann\Administrator auf HOFMANN: Protokollmodus

-----------------------------------------------------------------

 

Betriebssystemkonfiguration: Mitglied der Domäne/Arbeitsgruppe

Betriebssystemversion:       6.1.7601

Standortname:                Standardname-des-ersten-Standorts

Zwischengespeichertes Profil:Nicht zutreffend

Lokales Profil:              C:\Users\Administrator

Langsame Verbindung?         Nein

 

 

COMPUTEREINSTELLUNGEN

----------------------

 

    Letzte Gruppenrichtlinienanwendung:   19.09.2016, um 09:19:30

    Gruppenrichtlinieanwendung von:       domain.test.lokal

    Schwellenwert für langsame Verbindung:500 kbps

    Domänenname:                          TEST

    Domänentyp:                           Windows 2000

 

    Angewendete Gruppenrichtlinienobjekte

    --------------------------------------

        WSUS

        Default Domain Policy

 

    Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.

    ----------------------------------------------------------------------

        Richtlinien der lokalen Gruppe

            Filterung:  Nicht angewendet (Leer)

 

    Der Computer ist Mitglied der folgenden Sicherheitsgruppen

    ----------------------------------------------------------

        Administratoren

        Jeder

        Benutzer

        NETZWERK

        Authentifizierte Benutzer

        Diese Organisation

        BENUTZER$

        Domänencomputer

        Systemverbindlichkeitsstufe

 

C:\Windows\system32>

 

Link to comment

Das wichtigere ist vermutlich das Eintragen der Authentifizierten Benutzer im Reiter DELEGIERUNG. Lies dazu diesen Artikel: http://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/

 

Und ja, eine Computerrichtlinie kann nicht von Benutzern gezogen werden, denn wenn sie das täte, würde sie Benutzerrichtlinien heißen.

Link to comment

Mit gpresult /scope:computer /r in einer administrativen Kommandozeile wird zwar die Richtlinie als aktiv gezeigt, doch nach einem Neustart und anschliessendem Login werden auch nach Stunden, keine Updates angeboten. Am Wsus Server stehen für diesen Client rund 20 Updates zur Auswahl, erscheinen aber nicht.

 

Verstehe ich das richtig, der Authentifizierte Benutzer soll nicht über die Sicherheitsfilterung sondern nur über die Delegierung hinzugefügt werden und das Recht "Lesen" aber nicht Gruppenrichtlinie "übernehmen" bekommen ? Irgendwie unlogisch :confused:

Link to comment

Mit gpresult /scope:computer /r in einer administrativen Kommandozeile wird zwar die Richtlinie als aktiv gezeigt, doch nach einem Neustart und anschliessendem Login werden auch nach Stunden, keine Updates angeboten. Am Wsus Server stehen für diesen Client rund 20 Updates zur Auswahl, erscheinen aber nicht.

Na endlich kommst Du auf den Punkt. Steht denn der WSUS auch in der Registry auf dem Client? Wenn ja, dann schau doch bitte endlich in das richtige Log. %windir%\WindowsUpdate.log suchst Du.

 

Verstehe ich das richtig, der Authentifizierte Benutzer soll nicht über die Sicherheitsfilterung sondern nur über die Delegierung hinzugefügt werden und das Recht "Lesen" aber nicht Gruppenrichtlinie "übernehmen" bekommen ? Irgendwie unlogisch :confused:

Nein, Du hast es noch nicht ganz verstanden und ob das für dich unlogisch ist oder nicht, spielt keine Rolle. Trag die Authentifizierten Benutzer *zusätzlich* über die Delegierung auf dem GPO ein. Ansonsten können die Computer das GPO nicht lesen, das Übernehmen der GPO-Einstellungen steuerst Du über die Sicherheitsfilterung. Du kannst deine restlichen GPOs auf diesen Fehler hin überprüfen. Falls notwendig, lies den Artikel einfach nochmal.

Link to comment

Na endlich kommst Du auf den Punkt. Steht denn der WSUS auch in der Registry auf dem Client? Wenn ja, dann schau doch bitte endlich in das richtige Log. %windir%\WindowsUpdate.log suchst Du.

 

 

Nein, Du hast es noch nicht ganz verstanden und ob das für dich unlogisch ist oder nicht, spielt keine Rolle. Trag die Authentifizierten Benutzer *zusätzlich* über die Delegierung auf dem GPO ein. Ansonsten können die Computer das GPO nicht lesen, das Übernehmen der GPO-Einstellungen steuerst Du über die Sicherheitsfilterung. Du kannst deine restlichen GPOs auf diesen Fehler hin überprüfen. Falls notwendig, lies den Artikel einfach nochmal.

 

Aye Aye Sir, wird gemacht ! :)

 

Thx

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...