Jump to content
Melde dich an, um diesen Inhalt zu abonnieren  
torstenv

Gruppenrichtlinien werden nicht übernommen

Empfohlene Beiträge

Folgendes Problem:

 

Ein Win2k-Server verwaltet mehrere XP Clients.

 

Ich füge der Domain (also nicht einer OU) ein neues GPO hinzu und modifiziere die Sicherheitseinstellungen der GPO dergestalt, dass "Authentifizierte Benutzer" die Schalter "Anwenden" und "Lesen" entfernt haben (also sind in dieser Gruppe nun keine Schalter an, auch nicht "verweigern"). Dann füge ich den Sicherheitseinstellungen eine neue Gruppe (eine selbst angelegte) hinzu und wähle für diese die Sicherheitseinstellungen "Lesen" und "Anwenden" an.

 

Mache ich das oben formulierte von Hand auf dem DC, so wird die GPO irgendwann übernommen. Mache ich das aber von einem anderen Host aus (XP-SP1) über die GPMC, so wird die GPO scheinbar nicht übernommen, obwohl augenscheinlich bei der Ansicht der GPO und deren Einstellungen direkt vom DC aus betrachtet, alle Einstellungen die selben sind, wie bei der von Hand angelegten GPO.

 

Wie finde ich heraus, warum die eine GPO nicht angewendet wird?

 

Danke!

 

T.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Wenn ich das täte, würde die GPO auf alle Computer in der Domain angewendet. Das will ich nicht. Ich will, dass die GPO nur auf Mitglieder der von mir erstellten Gruppe angewendet wird.

 

T.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

du hast mit den "authenticated users" auch die "domain computers" rausgeschmissen aus der Berechtigung. Daran musst du halt denken bzw. darauf wollte ich dich hinweisen

cu

blub

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Sorry, das kapiere ich nicht.

 

Die Besonderheit ist ja, dass ich die GPO an die Domain binde, aber NICHT will, dass sie für jeden Host in der Domain gültig ist. Darum entferne ich ja extra die Berechtigung "Anwenden" von der Gruppe "Authentifizierte Benutzer".

 

Ich möchte die Menge der Hosts, die diese GPO anwenden sollen, über die Mitgliedschaft einer bestimmten, vorher von mir angelegten Gruppe festlegen. Dazu habe ich also eben dieser Gruppe das "Anwenden" und "Lesen" Recht gegeben. Aber die Mitglieder dieser Gruppe wenden die GPO nicht an, wenn ich das automatisiert über GPMC-Scripts laufen lasse.

 

Lege ich jedoch, wie schon beschrieben, diese Konstellation von Hand an, was im Endergebnis keinen Unterschied macht (und man kann nacher nicht mehr feststellen, ob eine GPO nun von Hand oder über die GPMC-Scripte angelegt wurde), dann jedenfalls wird die GPO einwandfrei angewandt, so scheint es.

 

Deinen Hinweis auf die Domain Computer habe ich nicht nachvollziehen können.

 

T.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hi torstenv

 

ich habe es gerade eben bei mir probiert. Beide Male - GPO auf DC interaktiv geändert und von XP aus geändert - werden die Gruppenrichtlinien samt Filterung sauber übernommen. Ich vermute dein Fehler liegt an anderer Stelle. Vielleicht steht die Sicherheitseinstellung der GPO für die betreffende Gruppe doch nicht auf "Richtlinie übernehmen", oder...??

 

 

grizzly999

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

vielleicht wars unklar..

Wenn du die authenticated users entfernst, entfernst du auch die Domain computers. Wenn du statt dessen eine eigene Gruppe anlegst, müssen in dieser Gruppe sowohl die User, als auch die Computer, für die diese Policy gelten soll, "read" und " apply" haben.

Ob du die Policys am Client, oder am DC einträgst, ist völlig wurscht, wenn dein Netz sauber konfiguriert ist. Installier dir die Supporttools, dort gibt es zwei Tools "netdiag /v" und "dcdiag /v". Ruf die mal auf, dann siehst meistens, wo es hakt.

 

cu

blub

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

>vielleicht wars unklar..

 

Sorry, es ist _mir_ immer noch unklar... :-(

 

>Wenn du die authenticated users entfernst, entfernst du auch

>die Domain computers. Wenn du statt dessen eine eigene

>Gruppe anlegst, müssen in dieser Gruppe sowohl die User, als

>auch die Computer, für die diese Policy gelten soll, "read" und "

>apply" haben.

 

Read und Apply _WO_ haben?

 

Ich will ja erreichen, dass ich die Hosts, die die GPO übernehmen sollen, durch die Mitgliedschaft in meiner Gruppe ("GR-Test") festlegen kann. Dazu habe ich bei den Sicherheitseinstellungen der GPO "GR-Test" mit Read und Apply hinzugefügt, damit nicht alle anderen Hosts auch die GPO bekommen, habe ich "Authenticated Users" entfernt (bzw. nicht wirklich entfernt, sondern nur "read und Apply" abgehakt, sodass weder erlauben noch verweigern an ist).

 

In der Policy selbst sind nur Einstellungen in der Computerkonfiguration, also sind Benutzereinstellungen egal. Die Hosts, mit denen ich teste SIND nun Mitglieder von "GR-Test". Damit, so fand ich zumindest, sollte doch klar definiert sein, auf welchen Hosts die GPO zur Anwendung kommen sollte.

 

>Ob du die Policys am Client, oder am DC einträgst, ist völlig

>wurscht, wenn dein Netz sauber konfiguriert ist.

 

Ja, das scheint mir auch so. Es scheint, als wäre es nicht das Problem, welches ich im Ausgangsposting beschrieben habe.

 

>Installier dir die Supporttools, dort gibt es zwei

>Tools "netdiag /v" und "dcdiag /v". Ruf die mal auf, dann siehst

>meistens, wo es hakt.

 

Auf meinem Win2k Server waren die schon drauf und liefen beide ohne Fehlermeldungen durch.

 

Ich nehme die Beschreibung mit den Domain Computern sehr ernst, habe das aber noch nicht wirklich verstanden, wo ich jetzt noch etwas ändern müsste.

 

T.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

@torstenv: So wie es aussieht, hast du es völlig korrekt verstanden und völlig korrekt eingerichtet. Wenn du das Resource Kit hast, überprüfe mal mit gpresult.exe, welche GPOs für den Computer übernommen werden. Ansonsten gibt es das Tool auch hier zum Download:

http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/gpresult-o.asp

 

Teile uns doch dann mit, wie das Ergebnis aussieht.

 

grizzly999

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ups, noch mal alles zurück, ich musste mein Posting noch mal übereditieren, weil ich etwas zu voreilig war.

 

Hier also der Output von GPResult. Hier ist der springende Punkt, dass das Tool zeigt, dass die GPO mit Namen "MyGPO Install Client" nicht übernommen wird. Begründung: Filterung: Verweigert (Sicherheit). (s.u.)

 

Die Sicherheitseinstellungen dieser GPO sind wie folgt:

(Uneingeschränkter Zugriff = UEZ, Lesen=R, Schreiben=W, Alle untergeordneten Objekte erstellen=AUOE, Alle untergeordneten Objekte löschen=AUOL, Gruppenrichtlinie übernehmen=A)

 

- "Authentifizierte Benutzer" Zulassen: - , Verweigern: -

- "Domänen Admins" Zulassen: R/W/AUOE/AUOL, Verweigern: -

-"Ersteller-Besitzer": Zulassen: - , Verweigern: -

-"MyGroup":Zulassen: R/A , Verweigern: -

-"Organisations-Admins": Zulassen: R/W/AUOE/AUOL, Verweigern: -

-"System": Zulassen: R/W/AUOE/AUOL, Verweigern: -

 

Die Gruppe "MyGroup" hat nur ein Mitglied, nämlich den Rechner VMXPT2, und das ist der Rechner, auf dem ich hier das GPresult ausgeführt habe.

 

Ich bin echt ratlos.

 

 

C:\Dokumente und Einstellungen\Administrator.TEST1>gpresult

 

Betriebssystem Microsoft ® Windows ® XP Gruppenrichtlinienergebnis-Tool v2.0

 

Copyright © Microsoft Corp. 1981-2001

 

Am 30.06.2003 um 18:24:28 erstellt

 

 

RSOP-Ergebnisse für TEST1\Administrator auf VMXPT2 : Protokollierungsmodus

---------------------------------------------------------------------------

 

Betriebssystemtyp: Microsoft Windows XP Professional

Betriebssystemkonfiguration: Mitglied der Domäne/Arbeitsgruppe

Betriebssystemversion: 5.1.2600

Domänenname: TEST1

Domänentyp: Windows 2000

Standortname: Standardname-des-ersten-Standorts

Zwischengespeichertes Profil:

Lokales Profil: C:\Dokumente und Einstellungen\Administrator.TEST1

 

Langsame Verbindung? Nein

 

 

COMPUTEREINSTELLUNGEN

----------------------

CN=VMXPT2,CN=Computers,DC=test1,DC=Test,DC=de

Zeit der letzten Gruppenrichtlinienanwendung: 30.06.2003 at 18:24:16

Gruppenrichtlinie wurde angewendet von: srvtest1.test1.Test.de

Gruppenrichtlinienschwellenwert für langsame Verbindung: 500 kbps

 

Angewendete Gruppenrichtlinienobjekte

--------------------------------------

Default Domain Policy

Aktivierungsintervall auf 8 Sek

 

Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefiltert wurden.

----------------------------------------------------------------------------

------------

MyGPO Install Client

Filterung: Verweigert (Sicherheit)

 

Richtlinien der lokalen Gruppe

Filterung: Nicht angewendet (Leer)

 

Der Computer ist Mitglied der folgenden Sicherheitsgruppen:

-----------------------------------------------------------

Administratoren

Jeder

Benutzer

VMXPT2$

Domänencomputer

NETZWERK

Authentifizierte Benutzer

 

 

BENUTZEREINSTELLUNGEN

----------------------

CN=Administrator,CN=Users,DC=test1,DC=Test,DC=de

Zeit der letzten Gruppenrichtlinienanwendung: 30.06.2003 at 18:23:38

Gruppenrichtlinie wurde angewendet von: Nicht zutreffend

Gruppenrichtlinienschwellenwert für langsame Verbindung: 500 kbps

 

Angewendete Gruppenrichtlinienobjekte

--------------------------------------

Default Domain Policy

 

Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefilt

ert wurden.

----------------------------------------------------------------------------

------------

MyGPO Install Client

Filterung: Verweigert (Sicherheit)

 

MyGPO UnInstall Client

Filterung: Verweigert (Sicherheit)

 

Aktivierungsintervall auf 8 Sek

Filterung: Nicht angewendet (Leer)

 

Richtlinien der lokalen Gruppe

Filterung: Nicht angewendet (Leer)

 

Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen:

-----------------------------------------------------------

Domänen-Benutzer

Jeder

Benutzer

Administratoren

Domänen-Admins

Schema-Admins

Organisations-Admins

Richtlinien-Ersteller-Besitzer

LOKAL

INTERAKTIV

Authentifizierte Benutzer

 

C:\Dokumente und Einstellungen\Administrator.TEST1>

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Möglichkeiten des Herausfilterns sind u.a.:

 

Unterbrechung der Vererbung

Verweigern der Übernahme

Deaktivieren der Computer oder Benutzerkonfiguration

(ob Überschreiben durch eine spätere Richtlinie auch darunter fällt weiss ich nicht)

und das, was ich noch vergessen habe.

 

Solltest mal alles in dieser richtung checken.

 

grizzly999

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hi!

 

Das ist ja gerade das Problem: Es ist alles Default, ich habe im Grunde keine Änderungen gemacht, außer denen, die ich hier schon dokumentiert habe. Aber im Einzelnen:

 

>Unterbrechung der Vererbung

 

GPO ist direkt an die Domain gebunden. Vererbung ist nicht abgeschaltet.

 

>Verweigern der Übernahme

 

Das würde heißen, dass ich irgendwo einen Verweigern -Schalter an hätte. Habe ich auch schon dokumentiert, du kannst ja unten die gesetzten Berechtigungen sehen, da ist nichts auf Verweigern gestellt.

 

>Deaktivieren der Computer oder Benutzerkonfiguration

 

Wenn ich mir die GPO per GPMC ansehe, sieht die ganz normal aus, keine Deaktivierungen.

 

>und das, was ich noch vergessen habe.

 

Ja, möglicherweise findet sich hier der Grund ! ;-)

 

Der Trick ist ja, dass, wenn ich die Gruppe "GR-Test" wieder aus den Sicherheitseinstellungen der GPO entferne, und stattdessen wieder die Gruppe "Authentifizierte Benutzer" hinzufüge und dieser die Rechte "Read and Apply" gebe, dann wird die GPO korrekt angewandt. Kehre ich den Prozess dann um, entferne also "Authentifizierte Benutzer" wieder und füge wieder meine Gruppe "GR-Test" in den Sicherheitseinstellungen hinzu und gebe dieser Gruppe die Rechte "Read and Apply", dann wird die GPO wieder nicht angewandt und es GPResult meldet wieder "Filterung: Verweigert (Sicherheit)". Dabei ist der Host, auf dem ich das Teste, definitiv Mitglied der Gruooe "GR-Test".

 

Noch eine Idee?

 

T.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

>Teste doch mal die GPO, indem du die auth. Benutzer entfernst,

>und den Client (Computername) direkt mit apply einträgst.

>Übernimmt er dann die GPO?

 

Ja. Hatte ich auch erwartet, weil er die ja auch übernimmt, wenn die Authentifizierten Benutzer eingetragen sind.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Dann ist der Fehler klar, wenn ich auch im Moment keine Erklärung dafür habe, aber er erkennt die Computerkonten als Gruppenmitglieder nicht, wohl aber direkt und natürlich als authentifizierte Benutzer. Als Workaround würde ich empfehlen, die Computerkonten direkt einzutragen.

 

Vielleicht finde ich was dazu. Selber testen kann ich erst später.... ;)

 

grizzly999

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Melde dich an, um diesen Inhalt zu abonnieren  

×