Zum Inhalt springen

Gruppenrichtlinien werden nicht "korrekt" übernommen


Empfohlene Beiträge

Geschrieben

Hallo liebes Community,

ich habe das folgende Problem. In unserer Domäne haben wir 5 OU Container. 1x Default Policy, und jeweils 4x Unter OU's. So, hier beginnt auch schon mein Problem. Der letzte sprich "Default policy" und der vorletzte "Testvorletzter" werden übernommen und mit Befehl "gpresult" sehe ich auch das nur diese zwei Gruppenrichtlinienobjekte übernommen werden. Sprich durch den User am Client angemeldet.

Aber es sind ja wie gesagt noch 3 OU's enthalten, die aber nicht übernommen werden.

gpupdate /force usw. hat nichts gebracht. Ich habe mich umgesehen, aber irgendwie nicht das gefunden was zu mir passt :(

Über eure Anregungen freue ich mich und bedanke mich im voraus.

MFg

sezer1987

  • Antworten 53
  • Erstellt
  • Letzte Antwort

Top-Benutzer in diesem Thema

Geschrieben

Hallo,

du sprichst in Rätseln...

Aber es sind ja wie gesagt noch 3 OU's enthalten, die aber nicht übernommen werden.

OUs sollen übernommen werden? Meinst du GPOs?

Sortier mal die von dir benutzen Begriffe und zeig uns am besten einen Screenshot wie die Richtlinien mit den OUs verknüpft sind, dann versteh ich vielleich dein Problem ;)

Gruß

Geschrieben
Hallo,

du sprichst in Rätseln...

OUs sollen übernommen werden? Meinst du GPOs?

Sortier mal die von dir benutzen Begriffe und zeig uns am besten einen Screenshot wie die Richtlinien mit den OUs verknüpft sind, dann versteh ich vielleich dein Problem ;)

Gruß

Bitte vielmals um Entschuldigung, vor lauter lauter. Ja genau, mit OU habe ich eigentlich die GPO's gemeint.

Sprich es gibt insgesamt 5 OU's je 5 GPO's.

Habe leider kein Screenshot parat, ist in der Firma.

Ich versuchs mal zu erklären :D

So sehen die gesamten GPO's von der Domäne xyz.

1.) Default Policy (GPO)

2.) Benutzer Policy (GPO)

3.0)Admin Policy (GPO)

3.1) Benutzer Policy (GPO)

3.2) Test Polify (GPO)

Bei den OU's welche mit zwei GPO's verknüpft ist z.B. in der "Benutzer OU" (Benutzer GPO) ist eine "ADmin OU". Und die "User-ADmins" welche in der "Admin OU" sind erben ja dementsprechend:

1. ) Admin Policy (GPO)

2.) Benutzer Policy (GPO)

3. ) Default Policy (GPO)

Naja, so siehts zumindest aus bei den "Verknüpfungen" (zumindest in der Liste, weiß nicht genau ob jetzt bei den Verknüpfungen war).

Alsooo wenn ich beim Client z.B. ein "ADmin-User" den Befehl "gpresult" eingibt, steht in der Liste das "nur" die Default Policy und die Benutzer Policy angewendet werden. D.H. Admin Policy wurde nicht angewendet, obwohl eigentlich dieser Aktiv sein sollte.

Ich hoffe ich konnte es etwas besser erklären.

Server : Windows 2008 R2 64-Bit (Virtualisiert)

Clients : Windows 7 Prof 32 u. 64 Bit

Vielen Dankkk euch allen im voraus.

Geschrieben
Loopback bzw. Leseberechtigung für den Server/Client in der OU eingetragen? Ohne eines von beidem wird die OU generell nicht übernommen.

Siehe: Gruppenrichtlinien - Übersicht, FAQ und Tutorials

Welche Benutzer bekommen die OU nicht? In den erweiterten Optionen der Richtlinie kann ein Haken "Diese Richtlinie übernehmen" gesetzt werden. Bei Domänen-Admins fehlt dieser Haken.

Vielen Dank erstmal für deine Antwort. Ich dachte den Loopback brauche ich nicht?! o.O Leseberechtigung sagt mir auf Anhieb nichts. Bsp. Alle "User" in der "Benutzer OU" sprich hans.maier,petra.müller usw. sollen die GPO von der oberigen sprich "Benutzer GPO" übernehmen. Genau das ist mein Problem. Kannst du mir vielleicht ein Screenshot machen bzgl. der Leseberichtung? Mit erweitererte Option ist "wahrscheinlich" das SNAP-IN gemeint ?:confused:

Tausend Dank im voraus

Geschrieben

Ich kann dir morgen gerne ein paar Screenshots davon machen, die Einstellungen stehen allerdings auch alle in dem Link.

Computerkonfiguration \ Administrative Vorlagen \ System \ Gruppenrichtlinien

Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie = aktiviert

Geschrieben
Ich kann dir morgen gerne ein paar Screenshots davon machen, die Einstellungen stehen allerdings auch alle in dem Link.

Das wäre super nett. Ich probier aber schnell einmal den Loopbackverarbeitungsmodus und sag spätestens heute Abend bescheid.

Viele Grüße

sezer1987

Geschrieben

admitgpo.jpg

So in Etwa siehts aus (Siehe Screenshot). Wie gesagt mit dem Befehl "gpresult" werden nur die Default Policy sowie benutzer Policy übernommen, alle anderen werden erst garnicht verwendet. Tausend Dank im voraus.

Geschrieben

Was hast du in den jeweiligen Richtlinien konfiguriert?

Wie ist die Berechtigung innerhalb der jeweiligen Richtlinie gesetzt?

Welche Berechtigung hat der Benutzer mit dem du den Test durchführst?

Wie ist der genaue Inhalt vom gpresult?

Es gibt viele Fehlerquellen, daher wäre es gut die Konfiguration möglichst genau zu beschreiben (am besten mit Screenshots).

Geschrieben
Was hast du in den jeweiligen Richtlinien konfiguriert?

Bei GPO wurden u.a. Sachen wie Kennwortrichlinien Beispielsweise "Minimal Länge 8" usw. oder eben "komplexe Passwörter" aktiviert . Also nichts unbedingt weltbewegendes.

Wie ist die Berechtigung innerhalb der jeweiligen Richtlinie

gesetzt?

Wie ist die Berechtigung innerhalb der jeweiligen Richtlinie gesetzt?

Ich glaube das könnte mein Problem sein. Die Berechtigung innerhalb der Richtlinie ist nach wie vor unverändert. Dort wurde nichts geändert. Ich habe nur einen User mit in die Berechtigung (Registerkarte "Deligierung") miteinbezogen. Könntest du mir evtl. hier einen Screenshot zukommen lassen? Die Sache ist ja auch die, wenn beispielsweise der "User" sich anmeldet an einem Computer namens "xyz", so soll die Richtlinie selbstverständlich nicht die dasselbe sein wie die für den "Admin-user" ( ist ja klar denke ich :D). Wäre Super wenn du mir da irgendwie helfen könntest.

Welche Berechtigung hat der Benutzer mit dem du den Test durchführst?

Wie ist der genaue Inhalt vom gpresult?Es gibt viele Fehlerquellen, daher wäre es gut die Konfiguration möglichst genau zu beschreiben (am besten mit Screenshots).

Der Benutzer ist ein Test Account welche sich in der "Test OU" befindet. Also definitiv kein "Admin". Befehl "gpresult" sagt aus das "default" und "benutzer" Policy angewendet werden. Beim Rest steht "wird nicht angewendet" und eine zwischenbemerkung (bin mir nicht ganz sicher" mit "empty"?!. Ich hab das ganze mal beim TS- Server mit Computerkontos + Terminalservergruppen (Gruppe) gemacht, sprich über die Sicherheitsfilterung in der jeweiligen GPO + Loopbackverarbeitungsmodus aktiviert. Damals hat es prima geklappt. Aber dieses mal sind es ja insgesamt 4 OU's und 4 GPO's.

Habs heute nochmal mit LBVM probiert mehr mal "gpupdate /force" ausgeführt und neugestartet usw. -> leider ohne Erfolg.

Tausend Dank nochmal für deine Beiträge.:)

Viele Grüße

sezer1987

:old:old:old

Geschrieben

Anhand der jetzigen Informationen kann man nur schwer sagen woran es liegt.

Ich erwarte hier keine Firmenspezifischen Informationen, aber allgemeine Dinge zur Konfiguration wären schon hilfreich.

Bei deinem Screenshot oben ist die Struktur kaum zu erkennen: Wo befindet sich die "Test OU"?

Bitte zeige den Inhalt des gpresults, da können Hinweise drin sein die vllt. schon auf das Problem schließen lassen.

Geschrieben
Anhand der jetzigen Informationen kann man nur schwer sagen woran es liegt.

Ich erwarte hier keine Firmenspezifischen Informationen, aber allgemeine Dinge zur Konfiguration wären schon hilfreich.

Bei deinem Screenshot oben ist die Struktur kaum zu erkennen: Wo befindet sich die "Test OU"?

Bitte zeige den Inhalt des gpresults, da können Hinweise drin sein die vllt. schon auf das Problem schließen lassen.

Bitte vielmals um Entschuldigung. Es ist die Gruppenrichtlinie mit der Bezeichnung "GPO" sprich vom Rang her die Nr. 1 usw.

Geschrieben

Die anderen angefragten Informationen ignorierst du einfach mal wieder... So kann ich dir einfach nicht ordentlich helfen.

Leg eine GPO in der Test OU nur mit dem Loopback-Eintrag an und probier es dann erneut.

Wenn es damit weiterhin nicht geht liefer endlich Screenshots von allen relevanten Konfigurationen, sowie den Inhalt des gpresults.

Geschrieben

Vererbung aktiviert?

Da gpresult /r die entsprechenden GPOs nicht als "verweigert" beschreibt, sondern diese als "nicht angewendet" definiert werden, liegt es wohl eher nicht an den Berechtigungen.

Geschrieben
Vererbung aktiviert?

Da gpresult /r die entsprechenden GPOs nicht als "verweigert" beschreibt, sondern diese als "nicht angewendet" definiert werden, liegt es wohl eher nicht an den Berechtigungen.

Hi Pantsoff,

vielen Dank für deine Antwort. Kannste mir vielleicht sagen wo ich die Vererbung aktiviere bzw. aktivieren kann ? Tausend Dank.

Geschrieben (bearbeitet)
Die anderen angefragten Informationen ignorierst du einfach mal wieder... So kann ich dir einfach nicht ordentlich helfen.

Leg eine GPO in der Test OU nur mit dem Loopback-Eintrag an und probier es dann erneut.

Wenn es damit weiterhin nicht geht liefer endlich Screenshots von allen relevanten Konfigurationen, sowie den Inhalt des gpresults.

44102626.jpg

51580224.jpg

53151478.jpg

35668290.jpg

So hab nun paar Screenshots eingefügt, hoffe das bringt etwas Klarheit. Vielen Dank für eure Hilfe

Bearbeitet von sezer1987
Geschrieben

In deiner gpresult Abfrage steht dein Benutzer ist in der Gruppen Domänen-Administratoren. Guck dir die Delegierung an und schau bei der Gruppe Domänen-Administratoren, dort steht vermutlich der Haken auf "Diese Richtlinie übernehmen" = verweigern.

So war es zumindest bei unseren Domänen-Administratoren.

Geschrieben
In deiner gpresult Abfrage steht dein Benutzer ist in der Gruppen Domänen-Administratoren. Guck dir die Delegierung an und schau bei der Gruppe Domänen-Administratoren, dort steht vermutlich der Haken auf "Diese Richtlinie übernehmen" = verweigern.

So war es zumindest bei unseren Domänen-Administratoren.

Morgen,

alles schon bereits gemacht. Kannst du mir vielleicht ein Beispiel Screenshot von der Registerkarte "Delegierung" zukommen lassen ? Das ich dort genau sehen könnte welche Gruppen, welche Berechtigungen zugewiesen werden sollen.

Tausend Dank :)

Geschrieben

Genau das hast du eben nicht gemacht, denn sonst würde bei "Security Filtering" (letzter Screenshot) nicht nur Authenticated Users, sondern auch Domänen-Admins stehen.

Den Haken für den Eintrag Domänen-Admins bei verweigert rausnehmen und bei Zulassen reinsetzen, oder alternativ einfach mal einen neuen Benutzer zum testen nehmen. Der braucht bis auf die Domänen-Benutzer Gruppe auch nichts anderes.

Geschrieben
Genau das hast du eben nicht gemacht, denn sonst würde bei "Security Filtering" (letzter Screenshot) nicht nur Authenticated Users, sondern auch Domänen-Admins stehen.

Den Haken für den Eintrag Domänen-Admins bei verweigert rausnehmen und bei Zulassen reinsetzen, oder alternativ einfach mal einen neuen Benutzer zum testen nehmen. Der braucht bis auf die Domänen-Benutzer Gruppe auch nichts anderes.

Ich hab mal das ganze so wie du es mir gesagt hast bei mir auf der virtuellen Platte erstellt sprich das selbe Szenario. Auf Anhieb super funktioniert. Müsste jetzt noch einiges ausprobieren und würde mich dann nochmal melden. Es würde mich sehr freuen wenn du mir weiterhelfen könntest. Tausend Dank und ein schönes vor allem sonniges Wochenende.^^

Geschrieben

Hab nun das ganze auf der virtuellen Maschine eingerichtet, siehe da irgendwie funktionierts. Bin erst einmal super happy und bedanke mich über eure Hilfe vor allem an Servior für seine großartige Unterstützung.

gpresult.jpg

w2003ad.jpg

Das ganze natürlich noch in der Firma probieren und melde mich wieder zurück.

Schönes WE an alle :)))

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...