Jump to content

Benutzer-GPOs werden "von oben" nicht gezogen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi@all,

 

ich habe gerade ein merkwürdiges Problem entdeckt ... und zwar habe ich eine neue GPO mit Benutzereinstellungen erstellt und direkt im root verlinkt, Die Richtlinie wird dann vererbt.

 

User, die sich an Servern anmelden, haben die Einstellungen jedoch nicht erhalten und gpresult /h zeigt auch grund: abgelehnt - leer. Ich habe mir nochmal die OU angeschaut, in der diese User liegen - dort wird die Richtlinie auf jeden Fall vererbt.

 

User, die sich an Clients anmelden, ziehen diese GPO jedoch.

 

Ein WMI-Filter ist auf dieser GPO nicht aktiv.

 

Nachdem ich die GPO tiefer verlinkt habe, wo dann die Users-OUs beginnen (und die Richtlinie ohnehin besser aufgehoben ist), funktioniert es jedoch sofort sowohl bei Clients als auch Servern.

 

Eine andere GPO, die ebenfalls von ganz oben kommt und ebenso nur Usereinstellungen enthält, wurde bislang immer angewandt, dort habe ich allerdings die Server per WMI absichtlich ausgenommen. 

 

Woran kann das liegen?

 

Viele Grüße

Marcel

 

 

Link zu diesem Kommentar

Dürfte doch hier keine Rolle spielen (ist auch nicht aktiv), da diese GPO doch auf "alle" OUs vererbt wird, also auch auf "irgendwelche" OUs mit Benutzern. Dort sollte doch dann der Benutzer-Teil dieser GPO ausgeführt werden.

 

Und warum funktioniert das ganze dann zwei OUs tiefer ...

 

Und warum bei Clients?

 

Zu viele warums ... ;)

bearbeitet von soulseeker
Link zu diesem Kommentar
vor 3 Minuten schrieb tesso:

Haben die Computer das Leserecht auf die Benutzer GPO?

In der Sicherheitsfilterung steht nur der Standard "authentifizierte Benutzer". Aber die Computer brauchen doch keine speziellen Berechtigungen ... die GPO hängt (hing) halt nur ganz oben und wurde dann auf die tieferen OUs vererbt, wo irgendwo die Benutzer liegen, die ja hier die Berechtigung haben.

Link zu diesem Kommentar
vor 49 Minuten schrieb soulseeker:

In der Sicherheitsfilterung steht nur der Standard "authentifizierte Benutzer". Aber die Computer brauchen doch keine speziellen Berechtigungen ... die GPO hängt (hing) halt nur ganz oben und wurde dann auf die tieferen OUs vererbt, wo irgendwo die Benutzer liegen, die ja hier die Berechtigung haben.

In der Gruppe der Authentifizierten Benutzer sind die Computerkonten enthalten, und ja, die Computer müssen das GPO lesen dürfen. Sie entscheiden dann ob es angewandt wird oder nicht. Details gibt es in diesem Artikel: https://www.gruppenrichtlinien.de/de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/

Wenn man an der Sicherheitsfilterung etwas ändert, dann nur über Delegierung > Erweitert.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!
Gast
Dieses Thema wurde für weitere Antworten geschlossen.
×
×
  • Neu erstellen...