GPO Problem: Zuweisung von Reg-Keys über Zielgruppen

[Kuddel071089 9]

Hallo zuzsammen,

 

wir haben aktuell Probleme bei der Zuweisung von RegKeys über die Zielgruppenadressierung mit AD-Gruppen.

 

Es scheint so als, wenn die hinterlegte Gruppe kompplett ignoriert wird.

 

Anbei noch 2 Screenshots von den Einstellungen.

Die Gruppenrichtlinie selber wird auch korrekt ausgeführt. GPRESULT meldet keine Fehler.

 

WIr nutzen die Zielgruppenadressierung auch in anderen Richtlinien ohne Probleme, nur bei der einen mit ReqKeys funktioniert es nicht.

 

Hat jemand ein Idee für mich?

 

 

Vielen Dank schon einmal

[daabm 1.433]

Wird der Key jetzt erstellt oder wird er nicht erstellt? Hast Du den Computer nach Aufnahme in die Gruppe neu gestartet?

[Kuddel071089 9]

Stand jetzt Funktioniert die Zuweisung des Reg-keys für die Computerkonten wieder, Benutzerkonten weisen noch immer das gegenteilige Phänomen auf.

Für Benutzer werden die „Zielgruppenadressierung auf Elementebene“ nicht korrekt angewendet. Es wird in der Test GPO der Benutzer gehandhabt als wäre er in der Sicherheitsgruppe vorhanden, obwohl er es nicht ist.

In unseren Produktiv Richtlinie für Office werden 2 Keys zugewiesen die auch die Zugehörigkeit der gleichen Sicherheitsgruppe abfragen. Hier verhält es sich auch anders.
Ist der Benutzer in der entsprechende Sicherheitsgruppe dann wird der erste Schlüssel „korrekt“ geschrieben und der zweite bekommt den Eintrag als würde er nicht zugehörig sein würde.

Wird der Benutzer aus der Sicherheitsgruppe entfernt, werden die Werte weiterhin identisch geschrieben.
Das Problem betrifft augenscheinlich alle GPO´s. Neustart wurde schon mehrfach durchgeführt.

bearbeitet 15. Mai 2018 von Kuddel071089

[testperson 1.866]

Hi,

 

schreib doch mal genau auf, welche Keys du an welche Gruppen mit welchen Mitgliedern verteilen möchtest. Dann noch wo die entsprechenden GPOs verlinkt sind und was in den OUs für Objekte liegen.

 

Gruß

Jan

bearbeitet 15. Mai 2018 von testperson

[daabm 1.433]

Dir ist aber auch klar, daß die GPP Werte nicht von selbst wieder verschwinden, wenn sie - warum auch immer - mal da sind? Ich glaube, da liegt nur ein Verständnisproblem bei der Funktionsweise von GPP vor.

[Kuddel071089 9]

 

 

_User-Client-Test-Fehler
Daten ermittelt am: 15.05.2018 10:59:28

Allgemein

Details

Domäne	Domain.local
Besitzer	Domain\admin-user
Erstellt	08.05.2018 09:21:50
Geändert	11.05.2018 11:43:46
Benutzerrevisionen	76 (AD), 76 (SYSVOL)
Computerrevisionen	82 (AD), 82 (SYSVOL)
Eindeutige ID	{C457FADB-1948-4767-95B3-0140F136CE04}
GPO-Status	Aktiviert

Verknüpfungen

Standort	Erzwungen	Verknüpfungsstatus	Pfad
Domain	Nein	Aktiviert	Domain.local/Domain

Die Liste enthält Verknüpfungen zur Domäne des Gruppenrichtlinienobjekts.

Sicherheitsfilterung

Die Einstellungen dieses Gruppenrichtlinienobjekts können nur auf folgenden Gruppen, Benutzer und Computer angewendet werden:

Name

DOMAIN\Test-1

DOMAIN\Computer1$

DOMAIN\Test-5

DOMAIN\Computer2$

Delegierung

Folgende Gruppen und Benutzer haben die angegebene Berechtigung für das Gruppenrichtlinienobjekt

Name	Zulässige Berechtigungen	Geerbt
DOMAIN\admin-User	Einstellungen bearbeiten, löschen, Sicherheit ändern	Nein
DOMAIN\Domänen-Admins	Einstellungen bearbeiten, löschen, Sicherheit ändern	Nein
DOMAIN\Domänencomputer	Lesen	Nein
DOMAIN\test-1	Lesen (durch Sicherheitsfilterung)	Nein
DOMAIN\Organisations-Admins	Einstellungen bearbeiten, löschen, Sicherheit ändern	Nein
DOMAIN\Computer1$	Lesen (durch Sicherheitsfilterung)	Nein
DOMAIN\Test-5	Lesen (durch Sicherheitsfilterung)	Nein
DOMAIN\Computer2$	Lesen (durch Sicherheitsfilterung)	Nein
NT-AUTORITÄT\Authentifizierte Benutzer	Lesen	Nein
NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION	Lesen	Nein
NT-AUTORITÄT\SYSTEM	Einstellungen bearbeiten, löschen, Sicherheit ändern	Nein

Computerkonfiguration (Aktiviert)

Einstellungen

Windows-Einstellungen

Registrierung

machine-ohne-zielgruppenzuweisung (Reihenfolge: 1)

Allgemein

Aktion

Ersetzen

Eigenschaften

Struktur	HKEY_LOCAL_MACHINE
Schlüsselpfad	Software\testgruppe
Wertname	machine-ohne-zielgruppenzuweisung
Werttyp	REG_DWORD
Wertdaten	0x0 (0)

Gemeinsam

Optionen

Bei Fehler keine Elemente mehr für diese Erweiterung verarbeiten	Nein
Element entfernen, wenn es nicht mehr angewendet wird	Ja

machine-mit-zielgruppenzuweisung (Reihenfolge: 2)

Allgemein

Aktion

Ersetzen

Eigenschaften

Struktur	HKEY_LOCAL_MACHINE
Schlüsselpfad	Software\testgruppe
Wertname	machine-mit-zielgruppenzuweisung
Werttyp	REG_DWORD
Wertdaten	0x1 (1)

Gemeinsam

Optionen

Bei Fehler keine Elemente mehr für diese Erweiterung verarbeiten	Nein
Element entfernen, wenn es nicht mehr angewendet wird	Ja

Zielgruppenadressierung auf Elementebene: Sicherheitsgruppe

Attribut	Wert
bool	AND
not	0
name	DOMAIN\Role-CMT-user-Client-Test-Fehler
sid	S-1-5-21-60489278-131706977-3027038188-36438
userContext	0
primaryGroup	0
localGroup	0

machine-mit-neg-zielgruppenzuweisung (Reihenfolge: 3)

Allgemein

Aktion

Ersetzen

Eigenschaften

Struktur	HKEY_LOCAL_MACHINE
Schlüsselpfad	Software\testgruppe
Wertname	machine-mit-zielgruppenzuweisung
Werttyp	REG_DWORD
Wertdaten	0x2 (2)

Gemeinsam

Optionen

Bei Fehler keine Elemente mehr für diese Erweiterung verarbeiten	Nein
Element entfernen, wenn es nicht mehr angewendet wird	Ja

Zielgruppenadressierung auf Elementebene: Sicherheitsgruppe

Attribut	Wert
bool	AND
not	1
name	DOMAIN\Role-CMT-user-Client-Test-Fehler
sid	S-1-5-21-60489278-131706977-3027038188-36438
userContext	0
primaryGroup	0
localGroup	0

Benutzerkonfiguration (Aktiviert)

Einstellungen

Windows-Einstellungen

Registrierung

user-ohne-zielgruppenzuweisung (Reihenfolge: 1)

Allgemein

Aktion

Ersetzen

Eigenschaften

Struktur	HKEY_CURRENT_USER
Schlüsselpfad	Software\testgruppe
Wertname	user-ohne-zielgruppenzuweisung
Werttyp	REG_DWORD
Wertdaten	0x0 (0)

Gemeinsam

Optionen

Bei Fehler keine Elemente mehr für diese Erweiterung verarbeiten	Nein
Im Sicherheitskontext des angemeldeten Benutzers ausführen (Benutzerrichtlinienoption)	Ja
Element entfernen, wenn es nicht mehr angewendet wird	Ja

user-mit-zielgruppenzuweisung (Reihenfolge: 2)

Allgemein

Aktion

Ersetzen

Eigenschaften

Struktur	HKEY_CURRENT_USER
Schlüsselpfad	Software\testgruppe
Wertname	user-mit-zielgruppenzuweisung
Werttyp	REG_DWORD
Wertdaten	0x1 (1)

Gemeinsam

Optionen

Bei Fehler keine Elemente mehr für diese Erweiterung verarbeiten	Nein
Im Sicherheitskontext des angemeldeten Benutzers ausführen (Benutzerrichtlinienoption)	Ja
Element entfernen, wenn es nicht mehr angewendet wird	Ja

Zielgruppenadressierung auf Elementebene: Sicherheitsgruppe

Attribut	Wert
bool	AND
not	0
name	DOMAIN\Role-CMT-user-Client-Test-Fehler
sid	S-1-5-21-60489278-131706977-3027038188-36438
userContext	1
primaryGroup	0
localGroup	0

user-mit-neg-zielgruppenzuweisung (Reihenfolge: 3)

Allgemein

Aktion

Ersetzen

Eigenschaften

Struktur	HKEY_CURRENT_USER
Schlüsselpfad	Software\testgruppe
Wertname	user-mit-zielgruppenzuweisung
Werttyp	REG_DWORD
Wertdaten	0x2 (2)

Gemeinsam

Optionen

Bei Fehler keine Elemente mehr für diese Erweiterung verarbeiten	Nein
Im Sicherheitskontext des angemeldeten Benutzers ausführen (Benutzerrichtlinienoption)	Ja
Element entfernen, wenn es nicht mehr angewendet wird	Ja

Zielgruppenadressierung auf Elementebene: Sicherheitsgruppe

Attribut	Wert
bool	AND
not	1
name	DOMAIN\Role-CMT-user-Client-Test-Fehler
sid	S-1-5-21-60489278-131706977-3027038188-36438
userContext	1
primaryGroup	0
localGroup	0

[daabm 1.433]

Wenn ich das jetzt richtig verstehe: Du kriegst 1 als Wert, obwohl der User nicht in der Gruppe ist und es daher 2 sein sollte?

Ist er verschachtelt drin? gpresult sagt Dir die effektiven Gruppenmitgliedschaften...