4
Üernommene Gruppenrichtlinie auf XP SP3 Clients entfernen - Problem mit Gruppenrichtlinien-Es werden Einstellungen auf manche Clients übernommen die nicht in der Gruppenrichtlinie eingestellt sind?
Hallo zusammen,
seit der Neuordnung der Gruppenrichtlinien auf dem Domänencontroller (Win Server 2008 Enterprise) wurden nun auf 3 von 18 XP SP3 Clients aus der "Default Domain Policy" die Internet-Explorereinstellungen übernommen, obwohl in der "Default Domain Policy" unter Einstellungen keine Einstellungen diesbezüglich gesetzt sind.
Die Gruppenrichtlinien wurden neu strukturiert, da bisher alles durcheinander war und die Standardrichtlinien teilweise deaktiviert waren.
An den 3 Clients an denen die Einstellungen übernommen wurden habe ich über das in "Hilfe und Support" integrierte Tool filtern lassen, welche Gruppenrichtlinen wirkten. Es war lediglich "Default Domain Policy", keine lokalen Richtlinien (gpedit.msc).
Es gibt ja gewisse Gruppenrichtlinien die ein "Branding" auf dem Client hinterlassen.
Wie kann ich die übernommenen Gruppenrichtlineneinstellungen auf den 3 Clients löschen?
Ich hab so das Gefühl, dass die "Default Domain Policy" "unsichtbare" Altlasten mit sich bringt (das System kam von Win Server 2000 wurde durch in-place update auf 2003 geupdatet und dann wurde die AD-Datenbank auf den neuen Win Server 2008 repliziert), denn diese Richtlinie ist an die Domäne gebunden und normalerweise müsste im Normalfall ja jeder XP Client diese Internetoptioneneinstellungen übernommen haben, was nicht so ist. Eine Sicherheitsfiltung nach PCs ist in der "Default Domain Policy" nicht eingestellt.
Ggf. macht es in diesem Fall mehr Sinn, die "Default Domain Policy" zu löschen und neu zu erstellen (dafür gibt es ja meines Wissens einen Kommandozeilenbefehl).
Vielen Dank für Unterstützung!
Gruß
seit der Neuordnung der Gruppenrichtlinien auf dem Domänencontroller (Win Server 2008 Enterprise) wurden nun auf 3 von 18 XP SP3 Clients aus der "Default Domain Policy" die Internet-Explorereinstellungen übernommen, obwohl in der "Default Domain Policy" unter Einstellungen keine Einstellungen diesbezüglich gesetzt sind.
Die Gruppenrichtlinien wurden neu strukturiert, da bisher alles durcheinander war und die Standardrichtlinien teilweise deaktiviert waren.
An den 3 Clients an denen die Einstellungen übernommen wurden habe ich über das in "Hilfe und Support" integrierte Tool filtern lassen, welche Gruppenrichtlinen wirkten. Es war lediglich "Default Domain Policy", keine lokalen Richtlinien (gpedit.msc).
Es gibt ja gewisse Gruppenrichtlinien die ein "Branding" auf dem Client hinterlassen.
Wie kann ich die übernommenen Gruppenrichtlineneinstellungen auf den 3 Clients löschen?
Ich hab so das Gefühl, dass die "Default Domain Policy" "unsichtbare" Altlasten mit sich bringt (das System kam von Win Server 2000 wurde durch in-place update auf 2003 geupdatet und dann wurde die AD-Datenbank auf den neuen Win Server 2008 repliziert), denn diese Richtlinie ist an die Domäne gebunden und normalerweise müsste im Normalfall ja jeder XP Client diese Internetoptioneneinstellungen übernommen haben, was nicht so ist. Eine Sicherheitsfiltung nach PCs ist in der "Default Domain Policy" nicht eingestellt.
Ggf. macht es in diesem Fall mehr Sinn, die "Default Domain Policy" zu löschen und neu zu erstellen (dafür gibt es ja meines Wissens einen Kommandozeilenbefehl).
Vielen Dank für Unterstützung!
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 161348
Url: https://administrator.de/contentid/161348
Printed on: April 18, 2024 at 10:04 o'clock
4 Comments
Latest comment
das in "Hilfe und Support" integrierte Tool
Welches ist das? Nimm bitte rsop.msc, falls es das nicht eh ist.
Eine allgemeine Regel zu Gruppenrichtlinien:
Man wechselt nie von "Aktiviert" auf "Nicht gesetzt" sondern erst zu "Deaktiviert" und wenn alle Clients es übernommen haben zu "Nicht gesetzt".
Der Grund ist genau der Effekt, den du jetzt siehst: Karteileichen.
Idealerweise löschst du das Profil und legst es neu an, dann hast du einen sauberen Start.
Du kannst auch offline den UserSoftwarePolicies Baum aus der NTUSER.dat laden und erstmal umbenennen.
Damit legt Windows alle Richtlinien neu an.
Es gibt aber auch GPOs die Außerhalb dieses Baums gespeichert werden und da hilft dann wirklich nur Umkehren oder Profil neu anlegen.
Man wechselt nie von "Aktiviert" auf "Nicht gesetzt" sondern erst zu "Deaktiviert" und wenn alle Clients es übernommen haben zu "Nicht gesetzt".
Der Grund ist genau der Effekt, den du jetzt siehst: Karteileichen.
Idealerweise löschst du das Profil und legst es neu an, dann hast du einen sauberen Start.
Du kannst auch offline den UserSoftwarePolicies Baum aus der NTUSER.dat laden und erstmal umbenennen.
Damit legt Windows alle Richtlinien neu an.
Es gibt aber auch GPOs die Außerhalb dieses Baums gespeichert werden und da hilft dann wirklich nur Umkehren oder Profil neu anlegen.
Hallo,
ja leider muss ich mich hier mit Altlasten rumschlagen. Ich hatte das System bisher nie verwaltet.
Vielen Dank schon mal für die Infos und Hilfe, ich werde das beschriebene umsetzen und dann Rückmeldung geben.
Falls jemand noch etwas weis kann er es gerne hier dazu reinschreiben.
Gruß
ja leider muss ich mich hier mit Altlasten rumschlagen. Ich hatte das System bisher nie verwaltet.
Vielen Dank schon mal für die Infos und Hilfe, ich werde das beschriebene umsetzen und dann Rückmeldung geben.
Falls jemand noch etwas weis kann er es gerne hier dazu reinschreiben.
Gruß
Zitat von @dog:
Eine allgemeine Regel zu Gruppenrichtlinien:
Man wechselt nie von "Aktiviert" auf "Nicht gesetzt" sondern erst zu "Deaktiviert" und wenn alle
Clients es übernommen haben zu "Nicht gesetzt".
Der Grund ist genau der Effekt, den du jetzt siehst: Karteileichen.
Eine allgemeine Regel zu Gruppenrichtlinien:
Man wechselt nie von "Aktiviert" auf "Nicht gesetzt" sondern erst zu "Deaktiviert" und wenn alle
Clients es übernommen haben zu "Nicht gesetzt".
Der Grund ist genau der Effekt, den du jetzt siehst: Karteileichen.
Kommt drauf an. Sind es vollständig verwaltbare Richtlinien? Wenn ja, werden die Einstellungen im Policy-Zwei der Registry gespeichert. Wird die Policy auf "nicht konfiguriert" gesetzt, wird die entsprechende Einstellung auf den Standardwert zurückgesetzt. Viel gemeiner sind dagegen die "nicht vollständig verwaltbaren". Diese werden direkt in der User-Registry abgelegt, und nur einmal angewendet. Heißt: Man MUSS die Einstellung auf deaktiviert setzen und auf dem Client gpupdate /force ausführen, damit die Einstellung wieder verschwindet.
Mit gpmc.msc kann man Reports erstellen, welche auch Fehler anzeigen. Ein gutes Tool ist auch ReadPol.VBS. Es analysiert die regsitry.pol, die auf den DCs liegt und die Einstellungen aus den Administrativen Vorlagen beinhaltet.
Aus der Beschreibung:
"Zusätzlich bietet es einen einfachen Weg, "Zusätzl. Reg.-einst." aus GPOs wieder loszuwerden. Das sind "verwaiste" Registry-Keys, die in den ADM-Vorlagen nicht mehr vorhanden sind."
Das heißt, in der registry.pol können noch Einstellungen aus Administrativen Vorlagen (adm) vorhanden sein, die längst entfernt worden sind.
