Gruppenrichtlinie wird ignoriert

[NB-Katta 0]

Ich habe eine neue Richtlinie namens "SoftwareRestrictionPolicy" erstellt und habe zum testen folgendes Setting definiert:

 

• im AD habe ich eine OU mit dem Firmennamen, darunter eine OU "Benutzer" und darunter eine OU "Test".
• in der OU "Test" habe ich einen Testbenutzer erstellt.
• in der Gruppenrichtlinienverwaltung habe ich das Gruppenrichtlinienobjekt "SoftwareRestrictionPolicy" mit der OU "Test" verknüpft

 

Nun habe ich mit schon mehrmals mit dem Testbenutzer angemeldet und habe den Befehl "gpupdate /force" ausgeführt. Die SoftwareRestrictionPolicy greift aber nicht und wenn ich als Benutzer "Test" den Befehl "gpresult /r" ausführe (was ich eigentlich nicht können dürfte) wird die "SoftwareRestrictionPolicy" unter "Angewendete Gruppenrichtlinienobjekte" nicht angezeigt.

 

Was mache ich hier falsch?

[cj_berlin 1.472]

Moin,

 

hast Du auch eine Security-Filterung auf dem GP-Objekt? Sie muss den Computer zulassen, an dem sich der Benutzer anmeldet.

 

Ansonsten, wenn Du "Angewendete Gruppenrichtlinien" siehst, siehst Du ja auch "Abgelehnte Gruppenrichtlinien", mit Begründung, warum sie abgelehnt wurden. Wenn Du sie weder da noch dort siehst, hat sich das Objekt, die Platzierung des Users, oder die Verknüpferei vielleicht nicht repliziert...

[NorbertFe 2.253]

Srp können sowohl für Computer als auch für Nutzer definiert werden. Hast du sie korrekt konfiguriert für User in deinem Fall? Warum nimmst du nicht einfach applocker?

bearbeitet vor 17 Stunden von NorbertFe

[cj_berlin 1.472]

vor 12 Minuten schrieb NorbertFe:

Warum nimmst du nicht einfach applocker?

Weil SRP für einfache Use Cases zuverlässiger ist und von keinem Service abhängt, der angehalten werden kann (und überhaupt erst gestartet werden muss)?  

[testperson 1.812]

Hi,

 

sind SRPs nicht deprecated und gab es da nicht diverse Probleme unter Win 11? Ich würde auch zu AppLocker tendieren und/oder App Control for Business.

 

Gruß

Jan

[NB-Katta 0]

vor 14 Minuten schrieb NorbertFe:

Srp können sowohl für Computer als auch für Nutzer definiert werden. Hast du sie korrekt konfiguriert für User in deinem Fall?

Ich hatte sie tatsächlich als für Computer definiert statt für Nutzer. Ich habe sie nun für Benutzer definiert und habe dadurch ein neues Problem. Beim Anmelden am Terminalserver heisst es:

 

Sie sind mit dem Remotecomputer verbunden, doch aufgrund eines Fehlers beim Starten eines Erstbenutzerprogramms werden Sie abgemeldet.

 

Wie finde ich nun heraus, welches Erstbenutzerprogramm das ist? In der Ereignisanzeige finde ich nichts auffälliges.

[cj_berlin 1.472]

vor 9 Minuten schrieb testperson:

sind SRPs nicht deprecated und gab es da nicht diverse Probleme unter Win 11?

Soll ich mal ausgraben, wie lange WINS schon deprecated ist?  
 

[NorbertFe 2.253]

Und wer benutzt wins noch? ;) bzw. Erwartet Hilfe bei Problemen? 

[testperson 1.812]

vor 3 Minuten schrieb cj_berlin:

Soll ich mal ausgraben, wie lange WINS schon deprecated ist?  

Noch nicht so lange wie der SMTP Server. Den hats ja jetzt mit Server 2025 dann doch erwischt.

[cj_berlin 1.472]

Die, die NetBIOS über TCP/IP noch aus Gründen einsetzen müssen, weil eine 20 Millionen teuere Maschine noch 10 Jahre abgeschrieben werden muss.

Aber an SRP ist nix wirklich falsch. Es ist halt super unflexibel, und deswegen fanden wir alle damals AppLocker so geil. Aber, wie ich oben schon schrub, in einfachen Szenarien ist es etwas, das einfach funktioniert.

vor 17 Minuten schrieb NB-Katta:

Wie finde ich nun heraus, welches Erstbenutzerprogramm das ist? In der Ereignisanzeige finde ich nichts auffälliges.

Wie hast Du dein SRP denn konfiguriert?