Jump to content
Sign in to follow this  
Kuddel071089

GPO Problem: Zuweisung von Reg-Keys über Zielgruppen

Recommended Posts

Hallo zuzsammen,

 

wir haben aktuell Probleme bei der Zuweisung von RegKeys über die Zielgruppenadressierung mit AD-Gruppen.

 

Es scheint so als, wenn die hinterlegte Gruppe kompplett ignoriert wird.

 

Anbei noch 2 Screenshots von den Einstellungen.


Die Gruppenrichtlinie selber wird auch korrekt ausgeführt. GPRESULT meldet keine Fehler.

 

WIr nutzen die Zielgruppenadressierung auch in anderen Richtlinien ohne Probleme, nur bei der einen mit ReqKeys funktioniert es nicht.

 

Hat jemand ein Idee für mich?

 

 

Vielen Dank schon einmal

1.JPG

2.jpg

Share this post


Link to post
Share on other sites

Wird der Key jetzt erstellt oder wird er nicht erstellt? Hast Du den Computer nach Aufnahme in die Gruppe neu gestartet?

Share this post


Link to post
Share on other sites

Stand jetzt Funktioniert die Zuweisung des Reg-keys für die Computerkonten wieder, Benutzerkonten weisen noch immer das gegenteilige Phänomen auf.

Für Benutzer werden die „Zielgruppenadressierung auf Elementebene“ nicht korrekt angewendet. Es wird in der Test GPO der Benutzer gehandhabt als wäre er in der Sicherheitsgruppe vorhanden, obwohl er es nicht ist.

In unseren Produktiv Richtlinie für Office werden 2 Keys zugewiesen die auch die Zugehörigkeit der gleichen Sicherheitsgruppe abfragen. Hier verhält es sich auch anders.
Ist der Benutzer in der entsprechende Sicherheitsgruppe dann wird der erste Schlüssel „korrekt“ geschrieben und der zweite bekommt den Eintrag als würde er nicht zugehörig sein würde.


Wird der Benutzer aus der Sicherheitsgruppe entfernt, werden die Werte weiterhin identisch geschrieben.
Das Problem betrifft augenscheinlich alle GPO´s. Neustart wurde schon mehrfach durchgeführt.

Edited by Kuddel071089

Share this post


Link to post
Share on other sites

Hi,

 

schreib doch mal genau auf, welche Keys du an welche Gruppen mit welchen Mitgliedern verteilen möchtest. Dann noch wo die entsprechenden GPOs verlinkt sind und was in den OUs für Objekte liegen.

 

Gruß

Jan

Edited by testperson

Share this post


Link to post
Share on other sites

Dir ist aber auch klar, daß die GPP Werte nicht von selbst wieder verschwinden, wenn sie - warum auch immer - mal da sind? Ich glaube, da liegt nur ein Verständnisproblem bei der Funktionsweise von GPP vor.

Share this post


Link to post
Share on other sites

 

 

_User-Client-Test-Fehler

Daten ermittelt am: 15.05.2018 10:59:28

 

Allgemein

Details

Domäne

Domain.local

Besitzer

Domain\admin-user

Erstellt

08.05.2018 09:21:50

Geändert

11.05.2018 11:43:46

Benutzerrevisionen

76 (AD), 76 (SYSVOL)

Computerrevisionen

82 (AD), 82 (SYSVOL)

Eindeutige ID

{C457FADB-1948-4767-95B3-0140F136CE04}

GPO-Status

Aktiviert

Verknüpfungen

Standort

Erzwungen

Verknüpfungsstatus

Pfad

Domain

Nein

Aktiviert

Domain.local/Domain


Die Liste enthält Verknüpfungen zur Domäne des Gruppenrichtlinienobjekts.

Sicherheitsfilterung

Die Einstellungen dieses Gruppenrichtlinienobjekts können nur auf folgenden Gruppen, Benutzer und Computer angewendet werden:

Name

DOMAIN\Test-1

DOMAIN\Computer1$

DOMAIN\Test-5

DOMAIN\Computer2$

Delegierung

Folgende Gruppen und Benutzer haben die angegebene Berechtigung für das Gruppenrichtlinienobjekt

Name

Zulässige Berechtigungen

Geerbt

DOMAIN\admin-User

Einstellungen bearbeiten, löschen, Sicherheit ändern

Nein

DOMAIN\Domänen-Admins

Einstellungen bearbeiten, löschen, Sicherheit ändern

Nein

DOMAIN\Domänencomputer

Lesen

Nein

DOMAIN\test-1

Lesen (durch Sicherheitsfilterung)

Nein

DOMAIN\Organisations-Admins

Einstellungen bearbeiten, löschen, Sicherheit ändern

Nein

DOMAIN\Computer1$

Lesen (durch Sicherheitsfilterung)

Nein

DOMAIN\Test-5

Lesen (durch Sicherheitsfilterung)

Nein

DOMAIN\Computer2$

Lesen (durch Sicherheitsfilterung)

Nein

NT-AUTORITÄT\Authentifizierte Benutzer

Lesen

Nein

NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION

Lesen

Nein

NT-AUTORITÄT\SYSTEM

Einstellungen bearbeiten, löschen, Sicherheit ändern

Nein

Computerkonfiguration (Aktiviert)

Einstellungen

Windows-Einstellungen

Registrierung

machine-ohne-zielgruppenzuweisung (Reihenfolge: 1)

Allgemein

Aktion

Ersetzen

Eigenschaften

Struktur

HKEY_LOCAL_MACHINE

Schlüsselpfad

Software\testgruppe

Wertname

machine-ohne-zielgruppenzuweisung

Werttyp

REG_DWORD

Wertdaten

0x0 (0)

Gemeinsam

Optionen

Bei Fehler keine Elemente mehr für diese Erweiterung verarbeiten

Nein

Element entfernen, wenn es nicht mehr angewendet wird

Ja

machine-mit-zielgruppenzuweisung (Reihenfolge: 2)

Allgemein

Aktion

Ersetzen

Eigenschaften

Struktur

HKEY_LOCAL_MACHINE

Schlüsselpfad

Software\testgruppe

Wertname

machine-mit-zielgruppenzuweisung

Werttyp

REG_DWORD

Wertdaten

0x1 (1)

Gemeinsam

Optionen

Bei Fehler keine Elemente mehr für diese Erweiterung verarbeiten

Nein

Element entfernen, wenn es nicht mehr angewendet wird

Ja

Zielgruppenadressierung auf Elementebene: Sicherheitsgruppe

Attribut

Wert

bool

AND

not

0

name

DOMAIN\Role-CMT-user-Client-Test-Fehler

sid

S-1-5-21-60489278-131706977-3027038188-36438

userContext

0

primaryGroup

0

localGroup

0

machine-mit-neg-zielgruppenzuweisung (Reihenfolge: 3)

Allgemein

Aktion

Ersetzen

Eigenschaften

Struktur

HKEY_LOCAL_MACHINE

Schlüsselpfad

Software\testgruppe

Wertname

machine-mit-zielgruppenzuweisung

Werttyp

REG_DWORD

Wertdaten

0x2 (2)

Gemeinsam

Optionen

Bei Fehler keine Elemente mehr für diese Erweiterung verarbeiten

Nein

Element entfernen, wenn es nicht mehr angewendet wird

Ja

Zielgruppenadressierung auf Elementebene: Sicherheitsgruppe

Attribut

Wert

bool

AND

not

1

name

DOMAIN\Role-CMT-user-Client-Test-Fehler

sid

S-1-5-21-60489278-131706977-3027038188-36438

userContext

0

primaryGroup

0

localGroup

0

Benutzerkonfiguration (Aktiviert)

Einstellungen

Windows-Einstellungen

Registrierung

user-ohne-zielgruppenzuweisung (Reihenfolge: 1)

Allgemein

Aktion

Ersetzen

Eigenschaften

Struktur

HKEY_CURRENT_USER

Schlüsselpfad

Software\testgruppe

Wertname

user-ohne-zielgruppenzuweisung

Werttyp

REG_DWORD

Wertdaten

0x0 (0)

Gemeinsam

Optionen

Bei Fehler keine Elemente mehr für diese Erweiterung verarbeiten

Nein

Im Sicherheitskontext des angemeldeten Benutzers ausführen (Benutzerrichtlinienoption)

Ja

Element entfernen, wenn es nicht mehr angewendet wird

Ja

user-mit-zielgruppenzuweisung (Reihenfolge: 2)

Allgemein

Aktion

Ersetzen

Eigenschaften

Struktur

HKEY_CURRENT_USER

Schlüsselpfad

Software\testgruppe

Wertname

user-mit-zielgruppenzuweisung

Werttyp

REG_DWORD

Wertdaten

0x1 (1)

Gemeinsam

Optionen

Bei Fehler keine Elemente mehr für diese Erweiterung verarbeiten

Nein

Im Sicherheitskontext des angemeldeten Benutzers ausführen (Benutzerrichtlinienoption)

Ja

Element entfernen, wenn es nicht mehr angewendet wird

Ja

Zielgruppenadressierung auf Elementebene: Sicherheitsgruppe

Attribut

Wert

bool

AND

not

0

name

DOMAIN\Role-CMT-user-Client-Test-Fehler

sid

S-1-5-21-60489278-131706977-3027038188-36438

userContext

1

primaryGroup

0

localGroup

0

user-mit-neg-zielgruppenzuweisung (Reihenfolge: 3)

Allgemein

Aktion

Ersetzen

Eigenschaften

Struktur

HKEY_CURRENT_USER

Schlüsselpfad

Software\testgruppe

Wertname

user-mit-zielgruppenzuweisung

Werttyp

REG_DWORD

Wertdaten

0x2 (2)

Gemeinsam

Optionen

Bei Fehler keine Elemente mehr für diese Erweiterung verarbeiten

Nein

Im Sicherheitskontext des angemeldeten Benutzers ausführen (Benutzerrichtlinienoption)

Ja

Element entfernen, wenn es nicht mehr angewendet wird

Ja

Zielgruppenadressierung auf Elementebene: Sicherheitsgruppe

Attribut

Wert

bool

AND

not

1

name

DOMAIN\Role-CMT-user-Client-Test-Fehler

sid

S-1-5-21-60489278-131706977-3027038188-36438

userContext

1

primaryGroup

0

localGroup

0

Share this post


Link to post
Share on other sites

Wenn ich das jetzt richtig verstehe: Du kriegst 1 als Wert, obwohl der User nicht in der Gruppe ist und es daher 2 sein sollte?

Ist er verschachtelt drin? gpresult sagt Dir die effektiven Gruppenmitgliedschaften...

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...