9
Zugriff auf Gruppenrichtlinie unter Windows 7 nicht möglich
Hallo zusammen,
ich habe eine Gruppenrichtlinie mit Sicherheitsfilterung angelegt (Infos hier). Eigentlich funktioniert soweit alles – die Richtlinie wird an die entsprechenden PCs verteilt und nur bei den Nutzern ausgeführt, die in der Gruppe der Sicherheitsfilterung Mitglied sind.
Jetzt kam ein neuer Client mit Windows 7 hinzu. Dieser holt sich, bis auf diese eine, alle für ihn vorgesehenen Richtlinien. Zur Prüfung des Problems habe ich folgendes probiert:
(1) Ich habe als erstes im Ereignisprotokoll nachgeschaut – aber keinen Fehler gefunden.
(2) Mit rsop.msc den Richtlinienergebnissatz angeschaut. Ergebnis: Das Skript, welches die Richtlinie aufruft, wird nicht am Client ausgeführt.
(3) Danach habe ich mit der Management Console ein Gruppenrichtlinienergebnis für den Win7-Client und den Nutzer erstellt. Dort taucht die Richtlinie unter "Abgelehnte Gruppenrichtlinienobjekte" auf. Anstelle der Bezeichnung steht die Kennung "{c4xxxx-xxxx-xxxx-xxxxxx}" und als Grund ist "Zugriff nicht möglich" aufgelistet.
(4) Ich habe den Benutzer, um den es geht, testweise in die Sicherheitsfilterung aufgenommen. Keine Besserung.
(5) Unter dem Benutzernamen an einem XP-Client angemeldet. Keinerlei Probleme – ausnahmslos alle vorgesehenen Richtlinien werden angewendet.
(6) Am Win7-Client mit anderem User angemeldet, der die gleiche Richtlinie ausführen soll. Auch mit diesem User wird die eine Richtlinie nicht angewendet ("Zugriff nicht möglich").
Kennt jemand das Problem und eine Lösung? Warum verweigert ein Win7-Client den Zugriff auf eine Richtlinie die der gleiche Benutzer an einem XP-Client zugewiesen bekommt.
Ich hoffe, ich habe alles einigermaßen verständlich erklärt und freue mich auf Eure Antworten.
ich habe eine Gruppenrichtlinie mit Sicherheitsfilterung angelegt (Infos hier). Eigentlich funktioniert soweit alles – die Richtlinie wird an die entsprechenden PCs verteilt und nur bei den Nutzern ausgeführt, die in der Gruppe der Sicherheitsfilterung Mitglied sind.
Jetzt kam ein neuer Client mit Windows 7 hinzu. Dieser holt sich, bis auf diese eine, alle für ihn vorgesehenen Richtlinien. Zur Prüfung des Problems habe ich folgendes probiert:
(1) Ich habe als erstes im Ereignisprotokoll nachgeschaut – aber keinen Fehler gefunden.
(2) Mit rsop.msc den Richtlinienergebnissatz angeschaut. Ergebnis: Das Skript, welches die Richtlinie aufruft, wird nicht am Client ausgeführt.
(3) Danach habe ich mit der Management Console ein Gruppenrichtlinienergebnis für den Win7-Client und den Nutzer erstellt. Dort taucht die Richtlinie unter "Abgelehnte Gruppenrichtlinienobjekte" auf. Anstelle der Bezeichnung steht die Kennung "{c4xxxx-xxxx-xxxx-xxxxxx}" und als Grund ist "Zugriff nicht möglich" aufgelistet.
(4) Ich habe den Benutzer, um den es geht, testweise in die Sicherheitsfilterung aufgenommen. Keine Besserung.
(5) Unter dem Benutzernamen an einem XP-Client angemeldet. Keinerlei Probleme – ausnahmslos alle vorgesehenen Richtlinien werden angewendet.
(6) Am Win7-Client mit anderem User angemeldet, der die gleiche Richtlinie ausführen soll. Auch mit diesem User wird die eine Richtlinie nicht angewendet ("Zugriff nicht möglich").
Kennt jemand das Problem und eine Lösung? Warum verweigert ein Win7-Client den Zugriff auf eine Richtlinie die der gleiche Benutzer an einem XP-Client zugewiesen bekommt.
Ich hoffe, ich habe alles einigermaßen verständlich erklärt und freue mich auf Eure Antworten.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 150992
Url: https://administrator.de/contentid/150992
Printed on: April 19, 2024 at 20:04 o'clock
9 Comments
Latest comment
Hallo,
Startscripts werden auch von Windows 7 Clients ausgeführt. Es kann also nur an dem Inhalt des Scriptes liegen. Was soll das denn machen?
Viele Grüße vom creyzee
Startscripts werden auch von Windows 7 Clients ausgeführt. Es kann also nur an dem Inhalt des Scriptes liegen. Was soll das denn machen?
Viele Grüße vom creyzee
Ja, alle andere GPOs werden auch angewendet und einige davon rufen ebenfalls Skripte auf. Wie oben unter 3 beschrieben zeigt das Gruppenrichtlinienergebnis bei dieser (und nur dieser) GPO "Zugriff nicht möglich".
Eher nein. Wenn ich das Skript manuell ausführe funktioniert es einwandfrei. Zudem wird es ja laut rsop.msc nicht aufgerufen.
Zwei Einträge in die Registry schrieben. Eine andere GPO ruft ein Skript auf, das fast identische Einträge an anderer Stelle in die Registry schreibt.
Hallo,
sorry, ich hatte gestern noch Urlaub und da habe ich am Haus gearbeitet.
Wenn das Script nach der Anmeldung bei manueller Ausführung funktioniert, dann könnte es an den ACL der Registry-Zweige liegen. Vergleiche mal die ACL mit den Registry-Zweigen, welche von der anderen GPO geändert werden.
Viele Grüße vom creyzee
sorry, ich hatte gestern noch Urlaub und da habe ich am Haus gearbeitet.
Wenn das Script nach der Anmeldung bei manueller Ausführung funktioniert, dann könnte es an den ACL der Registry-Zweige liegen. Vergleiche mal die ACL mit den Registry-Zweigen, welche von der anderen GPO geändert werden.
Viele Grüße vom creyzee
Die Berechtigungen der Zweige sind absolut identisch.
Wir reden gerade etwas aneinander vorbei. Das Skript wird nicht ausgeführt, da der User an einem Windows 7 Client keinen Zugriff auf die GPO hat. An einem XP-Client kommt der gleiche Benutzer abr an die GPO.
Wir reden gerade etwas aneinander vorbei. Das Skript wird nicht ausgeführt, da der User an einem Windows 7 Client keinen Zugriff auf die GPO hat. An einem XP-Client kommt der gleiche Benutzer abr an die GPO.
Hallo,
Ich hatte mal nen ähnlichen Fall. Da versuchte eine GPO ein Script aufzurufen, das Änderungen vornehmen wollte, die durch die Benutzerkontensteuerung blockiert wurden. Dadurch wurde das Script nicht ausgeführt und die GPO wurde abgelehnt...
Hast du vielleicht ein Problem mit der Sicherheitsfilterung der GPO? Wer darf denn die GPO "lesen"? Wenn du das Script unter Computer\...\Starten&Herunterfahren stehen hast, dann muss dem Computerkonto Leserecht gewährt werden. Um das auszuschließen gibt mal der Gruppe "authentifizierte Benutzer" (das sind auch Compuerkonten) Leserechte.
Wobei das schon merkwürdig ist, weil ja die XP-Clients die GPO verarbeiten...aber ich kenne ja nicht deine Gruppen- und OU-Strukturen.
Viele Grüße vom creyzee
Ich hatte mal nen ähnlichen Fall. Da versuchte eine GPO ein Script aufzurufen, das Änderungen vornehmen wollte, die durch die Benutzerkontensteuerung blockiert wurden. Dadurch wurde das Script nicht ausgeführt und die GPO wurde abgelehnt...
Hast du vielleicht ein Problem mit der Sicherheitsfilterung der GPO? Wer darf denn die GPO "lesen"? Wenn du das Script unter Computer\...\Starten&Herunterfahren stehen hast, dann muss dem Computerkonto Leserecht gewährt werden. Um das auszuschließen gibt mal der Gruppe "authentifizierte Benutzer" (das sind auch Compuerkonten) Leserechte.
Wobei das schon merkwürdig ist, weil ja die XP-Clients die GPO verarbeiten...aber ich kenne ja nicht deine Gruppen- und OU-Strukturen.
Viele Grüße vom creyzee
Hallo,
ich habe mal weiter nach ner Lösung gesucht. Vielleicht findest du ja was in dieser Frage: Windows 7 RC führt Startskript aus GPO nicht aus
Da geht es um ein ähnliches Szenario. Folgende Ansätze klingen interessant:
a) Schalte mal die UAC ab.
b) leg auf das Script eine Überwachung an und schau mal, ob es überhaupt angefasst wird
c) baue in das Script eine Pause ein und konfiguriere sichtbare StartScripte
d) konfiguriere in der GPO "beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten"
Viele Grüße, creyzee
ich habe mal weiter nach ner Lösung gesucht. Vielleicht findest du ja was in dieser Frage: Windows 7 RC führt Startskript aus GPO nicht aus
Da geht es um ein ähnliches Szenario. Folgende Ansätze klingen interessant:
a) Schalte mal die UAC ab.
b) leg auf das Script eine Überwachung an und schau mal, ob es überhaupt angefasst wird
c) baue in das Script eine Pause ein und konfiguriere sichtbare StartScripte
d) konfiguriere in der GPO "beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten"
Viele Grüße, creyzee
Zur ersten Antwort:
Wenn ich "authentifizierte Benutzer" eintrage, funktioniert es.
Der Benutzer ist aber auch in der Sicherheitsgruppe die normalerweise in der Sicherheitsfilterung eingestellt ist.
Dann habe ich die "authentifizierten Benutzer" wieder entfernt und nochmals das Win7-Notebook in die Sicherheitsfilterung eingetragen. Bringt aber auch keine Besserung, da es ja eine Benutzerrichtlinie ist die per LBVM für eine bestimmte OU verteilt wird.
Zur zweiten Antwort:
UAC ist bereits abgeschaltet. Das Skript wird aber nicht angefasst.
Wenn ich "authentifizierte Benutzer" eintrage, funktioniert es.
Der Benutzer ist aber auch in der Sicherheitsgruppe die normalerweise in der Sicherheitsfilterung eingestellt ist.
Dann habe ich die "authentifizierten Benutzer" wieder entfernt und nochmals das Win7-Notebook in die Sicherheitsfilterung eingetragen. Bringt aber auch keine Besserung, da es ja eine Benutzerrichtlinie ist die per LBVM für eine bestimmte OU verteilt wird.
Zur zweiten Antwort:
UAC ist bereits abgeschaltet. Das Skript wird aber nicht angefasst.
Ich habe nochmals mit etwas Wartezeit einen Versuch gestartet. Wenn ich den Win7-Client in die Sicherheitsfilterung reinnehme, geht es scheinbar (Beim ersten Versuch war ich wohl zu schnell. Die Gegenprobe brachte auch das entsprechende Ergebnis).
Aber richtig erklären kann ich es mir nicht. Die Richtlinie macht ja nur Benutzereinstellungen. Und warum geht es an XP-Clients auch ohne den Eintrag in der Sicherheitsfilterung.
Da die Richtlinie ja nicht für alle gültig ist, müsste ich dann wohl eine Gruppe mit allen Computern anlegen, die ich in die Sicherheitfilterung eintrage, richtig?
Aber richtig erklären kann ich es mir nicht. Die Richtlinie macht ja nur Benutzereinstellungen. Und warum geht es an XP-Clients auch ohne den Eintrag in der Sicherheitsfilterung.
Da die Richtlinie ja nicht für alle gültig ist, müsste ich dann wohl eine Gruppe mit allen Computern anlegen, die ich in die Sicherheitfilterung eintrage, richtig?
Hallo,
sorry, habe momentan viel um die Ohren...
Die Wartezeiten lassen mich auch immer wieder verzweifeln.
Der Benutzer ist in der Sicherheitsgruppe, welche für die Filterung verwendet wird. Aber ist auch den Win7-Client in dieser Gruppe? Wenn nein, dann erklärt das, warum es für die Clients nicht funktioniert: du verwendest LBVM! In der Gruppe "authentifizierte Benutzer" sind nicht nur Benutzer, sondern auch Computerkonten drin!
Daher wird deine Vermutung richtig sein: du brauchst eine Gruppe mit den erforderlichen Computerkonten, die du dann auch für die Sicherheitsfilterung verwendest.
Schreibe mal, was da raus kommt. Viele Grüße vom creyzee
sorry, habe momentan viel um die Ohren...
Die Wartezeiten lassen mich auch immer wieder verzweifeln.
Der Benutzer ist in der Sicherheitsgruppe, welche für die Filterung verwendet wird. Aber ist auch den Win7-Client in dieser Gruppe? Wenn nein, dann erklärt das, warum es für die Clients nicht funktioniert: du verwendest LBVM! In der Gruppe "authentifizierte Benutzer" sind nicht nur Benutzer, sondern auch Computerkonten drin!
Daher wird deine Vermutung richtig sein: du brauchst eine Gruppe mit den erforderlichen Computerkonten, die du dann auch für die Sicherheitsfilterung verwendest.
Schreibe mal, was da raus kommt. Viele Grüße vom creyzee
