Jump to content
soulseeker

Benutzer-GPOs werden "von oben" nicht gezogen

Recommended Posts

Hi@all,

 

ich habe gerade ein merkwürdiges Problem entdeckt ... und zwar habe ich eine neue GPO mit Benutzereinstellungen erstellt und direkt im root verlinkt, Die Richtlinie wird dann vererbt.

 

User, die sich an Servern anmelden, haben die Einstellungen jedoch nicht erhalten und gpresult /h zeigt auch grund: abgelehnt - leer. Ich habe mir nochmal die OU angeschaut, in der diese User liegen - dort wird die Richtlinie auf jeden Fall vererbt.

 

User, die sich an Clients anmelden, ziehen diese GPO jedoch.

 

Ein WMI-Filter ist auf dieser GPO nicht aktiv.

 

Nachdem ich die GPO tiefer verlinkt habe, wo dann die Users-OUs beginnen (und die Richtlinie ohnehin besser aufgehoben ist), funktioniert es jedoch sofort sowohl bei Clients als auch Servern.

 

Eine andere GPO, die ebenfalls von ganz oben kommt und ebenso nur Usereinstellungen enthält, wurde bislang immer angewandt, dort habe ich allerdings die Server per WMI absichtlich ausgenommen. 

 

Woran kann das liegen?

 

Viele Grüße

Marcel

 

 

Share this post


Link to post
Share on other sites

Dürfte doch hier keine Rolle spielen (ist auch nicht aktiv), da diese GPO doch auf "alle" OUs vererbt wird, also auch auf "irgendwelche" OUs mit Benutzern. Dort sollte doch dann der Benutzer-Teil dieser GPO ausgeführt werden.

 

Und warum funktioniert das ganze dann zwei OUs tiefer ...

 

Und warum bei Clients?

 

Zu viele warums ... ;)

Edited by soulseeker

Share this post


Link to post
Share on other sites
vor 3 Minuten schrieb tesso:

Haben die Computer das Leserecht auf die Benutzer GPO?

In der Sicherheitsfilterung steht nur der Standard "authentifizierte Benutzer". Aber die Computer brauchen doch keine speziellen Berechtigungen ... die GPO hängt (hing) halt nur ganz oben und wurde dann auf die tieferen OUs vererbt, wo irgendwo die Benutzer liegen, die ja hier die Berechtigung haben.

Share this post


Link to post
Share on other sites
vor 49 Minuten schrieb soulseeker:

In der Sicherheitsfilterung steht nur der Standard "authentifizierte Benutzer". Aber die Computer brauchen doch keine speziellen Berechtigungen ... die GPO hängt (hing) halt nur ganz oben und wurde dann auf die tieferen OUs vererbt, wo irgendwo die Benutzer liegen, die ja hier die Berechtigung haben.

In der Gruppe der Authentifizierten Benutzer sind die Computerkonten enthalten, und ja, die Computer müssen das GPO lesen dürfen. Sie entscheiden dann ob es angewandt wird oder nicht. Details gibt es in diesem Artikel: https://www.gruppenrichtlinien.de/de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/

Wenn man an der Sicherheitsfilterung etwas ändert, dann nur über Delegierung > Erweitert.

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.
Guest
This topic is now closed to further replies.

Werbepartner:



×
×
  • Create New...