Jump to content
hwimmer

Gruppenrichtlinien werden nicht angewendet bei Win10

Recommended Posts

Hallo,

 

ich habe bei uns eine neue Gruppenrichtlinie gebaut, diese wird bei Windows 7 angewendet,

bei Windows 10 Clients allerdings nicht.

 

Vorab schon mal. Ich kenne das Thema mit "Authenticated Users". Diese sind enthalten in der Delegierung

und in der Sicherheitsfilterung mit Lese-Rechte. WMI-Filterung ist keine angewendet.

 

unser Domänentyp: Windows 2008 oder höher.

 

Die Gruppenrichtlinie ist direkt mit der OU verknüpft, in der der User und das Computerkonto enthalten ist

mit dem ich das teste.

 

Im Vorfeld habe ich bereits hier im Forum gesucht und alle Lösungsvorschläge bereits geprüft, jedoch

nichts führt zur Lösung.

 

Danke schon mal im voraus für Eure Hilfe.

 

Gruß

Hans

 

Share this post


Link to post
Share on other sites

Mit dieser GPO soll nur ein Registry Key ausgerollt werden.

 

Die Ausgabe von GPRESULT führt die GPO eben nicht auf.

Sie wird nicht gezogen.

Share this post


Link to post
Share on other sites

Habe nun herausgefunden, das bei den Win10 Clients nur die Benutzereinstellungen übernommen werden.

Die Computereinstellungen werden ignoriert. 

 

Sind in eine GPO nur Computereinstellungen hinterlegt wird Sie bei GPRESULT erst gar nicht angezeigt.

 

 

Share this post


Link to post
Share on other sites
vor 3 Stunden schrieb hwimmer:

Habe nun herausgefunden, das bei den Win10 Clients nur die Benutzereinstellungen übernommen werden.

Die Computereinstellungen werden ignoriert.

Das ist so nicht richtig. Natürlich übernehmen W10 Computer auch die GPO-Einstellungen für Computer, dazu muss ein Computer auch die GPO lesen und *übernehmen* dürfen. Lies doch diesen Artikel mal langsam und in Ruhe: https://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/

D.h. in deinem Fall müssen die Authentifizierten Benutzer, dazu zählen übrigens auch die Computerkonten, das GPO lesen und übernehmen dürfen.

Share this post


Link to post
Share on other sites

den Artikel habe ich gelesen und auch verstanden.

 

In den Gruppenrichtlinien ist bei uns in der Sicherheitsfilterung "Authenticated Users" mit Leserechten enthalten!

 

Der Client wurde auch schon neu gestartet.

 

 

ich hätte jetzt noch probiert den Wert "(A;CI;LCRPLORC;;;DC)" im ADSI Edit dem

DefaultSecurityDiscriptor hinzuzufügen. Bekomme aber leider folgenden Fehler:

 

image.png.4c0b4f7f35f482ac310711a0f7781f42.png

 

 

Share this post


Link to post
Share on other sites

Nochmal Leserechte alleine reichen nicht, wenn ein Computer Einstellungen übernehmen soll, muss er neben lesen auch übernehmen dürfen. Das sind zwei verschiedene Rechte!

Share this post


Link to post
Share on other sites
vor 9 Minuten schrieb Nobbyaushb:

Die Computer auch?

Die sind in den Authentifizierten Benutzern enthalten.

 

@hwimmer

Wie oft hast Du den Rechner schon neu gestartet? Bist Du sicher dass das Computerobjekt in der OU liegt, auf die das GPO verlinkt ist? Einfach mal ein gpupdate und anschließend neu starten.

Share this post


Link to post
Share on other sites

Die GPO ist im AD weiter oben verknüpft und wird nach unten vererbt.

Das Computerobjekt ist definitiv in der OU drin und die GPO wird auch dahin vererbt.

Das habe ich schon alles mehrfach geprüft.

 

Habe jetzt noch versucht am Client "rsop.msc" zu öffnen.

 

Bekomme dabei folgende Fehlermeldung:

image.png.64e08ead58faedc99f83faa6d685312d.png

 

Anschließend wird im Richtlinienergebnissatz nur die Benutzerkonfiguration angezeigt.

Die Computerkonfiguration wird gar nicht angezeigt.

Share this post


Link to post
Share on other sites
vor 16 Minuten schrieb hwimmer:

Die GPO ist im AD weiter oben verknüpft und wird nach unten vererbt.

Das Computerobjekt ist definitiv in der OU drin und die GPO wird auch dahin vererbt.

Das habe ich schon alles mehrfach geprüft.

Bei uns und bei Millionen anderer Admins funktioniert es wie es soll. Also ist bei dir irgendetwas nicht in Ordnung. Zu 99,99% hat sich bei Threads zu diesem Thema hier im Forum rausgestellt, dass eine Konfiguration vor Ort schuld für das Verhalten war.

Ist auf der OU die Vererbung von GPOs unterbrochen? OU löschen und neu anlegen wäre noch eine Möglichkeit.

 

RSOP.MSC zeigt auch als Admin nicht die Computerkonfig an, deshalb GPRESULT auf der Commandozeile verwenden.

Share this post


Link to post
Share on other sites

1. rsop.msc ist deprecated

2. "gpresult /h report.html" in einer Admin-Commandline ist Dein Freund ;-)

Und im Rest bin ich bei Sunny61: Das ganze funktioniert millionenfach recht problemlos, nur bei Dir nicht. Wo könnte das Problem liegen?

Klar, das hilft Dir nicht, aber das Problem liegt in Deiner Umgebung bzw. in Deinem Verständnis dafür. Ich lehne mich mal etwas aus dem Fenster: Wenn ich vor Ort wäre und das Konstrukt live sehe, brauche ich keine 5 Minuten, um Dein Problem zu vestehen, zu erklären und zu beheben.

Hier im Forum finden wir aber leider sehr oft "vor-interpretierte" Infos - und da fehlen dann entscheidende Merkmale.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...