8
GroupPolicy Preferences - Zielgruppenadressierung - Benutzer in Gruppe, Richtlinie zieht nur wenn auf "nicht Groupmember" gestellt wird
Hi Gemeinde
Ich hab bei einer Domäne ein mir voll komisches Phänomen:
Ich lasse in einer GP Preference einige Verknüpfungen erstellen. Diese aktion wird über die Zielgruppenadressierung gesteuert.
Nur Mitglieder der Sicherheitsgruppe "Application" sollen die Desktopverknüpfung erhalten.
Die GPO selbst wird angewendet, die Verknüpfung jedoch nicht erstellt. Wenn ich die Einstellum umdrehe - also die Verknüpfung erstellt werden soll wenn der Benutzer NICHT Member der genannten Gruppe ist - dann sehe ich nach einem gpupdate die Verknüpfung auf dem Desktop. Scheint so wie der Benutzer nicht in der Sicherheitsgruppe ist.
Jedoch hab ich ihn dort hinzugefügt. Rechner x-fach neu gestartet, anderer Rechner getestet, gpupdate etc. ausgeführt... "gpresult" gibt mir zurück dass der am Rechner angemeldete Benutzer Member von "Application" ist. Jedoch immer noch dasselbe Verhalten. Es scheint fast so als würde der Rechner bei der Abarbeitung der GPOs nicht bemerken dass der Benutzer Member ist.
Dasselbe Verhalten habe ich auch wenn ich per GP Preferences Dateien kopieren will.
Testweise habe ich den Benutzer dann von der Gruppe entfernt, Rechner neu gestartet, gpupdate, Benutzer der Gruppe hinzugefügt, Rechner neu gestartet, gpupdate... dann hat es funktioniert.
Leider habe ich noch weitere Sicherheitsgruppen wo sich das Ganze genau gleich verhält. Entfernen und wieder hinzufügen hat leider nichts gebracht.
Kann sich jemand erklären wie diese kuriose Situation entsteht? Vor allem verunsichert mich, dass der Benutzer ja gemäss gpresult in der gewünschten Sicherheitsgruppe drin ist.
Ich hab bei einer Domäne ein mir voll komisches Phänomen:
Ich lasse in einer GP Preference einige Verknüpfungen erstellen. Diese aktion wird über die Zielgruppenadressierung gesteuert.
Nur Mitglieder der Sicherheitsgruppe "Application" sollen die Desktopverknüpfung erhalten.
Die GPO selbst wird angewendet, die Verknüpfung jedoch nicht erstellt. Wenn ich die Einstellum umdrehe - also die Verknüpfung erstellt werden soll wenn der Benutzer NICHT Member der genannten Gruppe ist - dann sehe ich nach einem gpupdate die Verknüpfung auf dem Desktop. Scheint so wie der Benutzer nicht in der Sicherheitsgruppe ist.
Jedoch hab ich ihn dort hinzugefügt. Rechner x-fach neu gestartet, anderer Rechner getestet, gpupdate etc. ausgeführt... "gpresult" gibt mir zurück dass der am Rechner angemeldete Benutzer Member von "Application" ist. Jedoch immer noch dasselbe Verhalten. Es scheint fast so als würde der Rechner bei der Abarbeitung der GPOs nicht bemerken dass der Benutzer Member ist.
Dasselbe Verhalten habe ich auch wenn ich per GP Preferences Dateien kopieren will.
Testweise habe ich den Benutzer dann von der Gruppe entfernt, Rechner neu gestartet, gpupdate, Benutzer der Gruppe hinzugefügt, Rechner neu gestartet, gpupdate... dann hat es funktioniert.
Leider habe ich noch weitere Sicherheitsgruppen wo sich das Ganze genau gleich verhält. Entfernen und wieder hinzufügen hat leider nichts gebracht.
Kann sich jemand erklären wie diese kuriose Situation entsteht? Vor allem verunsichert mich, dass der Benutzer ja gemäss gpresult in der gewünschten Sicherheitsgruppe drin ist.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 271456
Url: https://administrator.de/contentid/271456
Printed on: April 19, 2024 at 14:04 o'clock
8 Comments
Latest comment
Moin.
Jetzt hast Du leider vergessen, das Betriebssystem zu nennen. Gib auch an, ob das Preference item wirklich im Userkonfigabteil der GPO erstellt wurde.
Jetzt hast Du leider vergessen, das Betriebssystem zu nennen. Gib auch an, ob das Preference item wirklich im Userkonfigabteil der GPO erstellt wurde.
Hi DerWoWusste
Ups, hab ich in der Eile echt verpennt, sorry.
Es handelt sich um eine 2008R2 Domäne.
Die Clients basieren auf Windows 7, hab es aber auch schon auf dem 2012 R2 Remotedesktop Server versucht, habe dort dasselbe Resultat.
Das Preference ist im Benutzerabteil eingerichtet.
Wenn ich keine Zielgruppenadressierung aktiv habe funktioniert es genau so, wie wenn ich die Adressierung auf "nicht Mitglied der Gruppe" anwähle.
Ups, hab ich in der Eile echt verpennt, sorry.
Es handelt sich um eine 2008R2 Domäne.
Die Clients basieren auf Windows 7, hab es aber auch schon auf dem 2012 R2 Remotedesktop Server versucht, habe dort dasselbe Resultat.
Das Preference ist im Benutzerabteil eingerichtet.
Wenn ich keine Zielgruppenadressierung aktiv habe funktioniert es genau so, wie wenn ich die Adressierung auf "nicht Mitglied der Gruppe" anwähle.
Ich bin mir recht sicher, dass dies bei mir geht und es ist mehr als unwahrscheinlich, dass so ein vermeintlicher Bug nicht auffällt. Am besten wäre es, die GPO zu exportieren und in einer Testdomäne einzupflegen (oder sie zu einem Filehoster hochzuladen, dann würde ich mir das anschauen - aber Achtung: nimm eine Testpolicy mit nur diesem Setting).
Teste auch mal Skripts mit ifmember.exe - arbeiten die, so wie sie sollen?
Teste auch mal Skripts mit ifmember.exe - arbeiten die, so wie sie sollen?
Hab die Einstellung in einer Testumgebung importiert, dort funktioniert sie wie gewünscht.
ifmember funktioniert in der produktiven Domäne problemlos; da der Benutzer ja Mitglied der Domäne ist bekomme ich einen Errorlevel 1 zurück.
Es scheint wirklich so als würde die GP Preference mit aktivierter Zielgruppenadressierung Probleme machen.
Aber interessanterweise nicht immer, habe in derselben Domäne und derselben GPO's Preferences aktiv (Druckerverteilung, Netzlaufwerke - basierend auf anderen Sicherheitsgruppen) bei welchen es funktioniert.
Ich denke auch nicht dass es ein Bug ist... die Frage stellt sich dann aber... wo liegt der Fehler? habe keine Ideen mehr
ifmember funktioniert in der produktiven Domäne problemlos; da der Benutzer ja Mitglied der Domäne ist bekomme ich einen Errorlevel 1 zurück.
Es scheint wirklich so als würde die GP Preference mit aktivierter Zielgruppenadressierung Probleme machen.
Aber interessanterweise nicht immer, habe in derselben Domäne und derselben GPO's Preferences aktiv (Druckerverteilung, Netzlaufwerke - basierend auf anderen Sicherheitsgruppen) bei welchen es funktioniert.
Ich denke auch nicht dass es ein Bug ist... die Frage stellt sich dann aber... wo liegt der Fehler? habe keine Ideen mehr
Kann es sein, dass Du nicht auf die Netzwerkinitialisierung warten lässt beim Start? Dass Windows evtl. so vorgeht: "ich kann nicht abfragen, ob Du da drin bist, deswegen bist Du draußen"? Das würde erklären, warum es bei Negierung geht.
Wir haben hier die Policy alwayswaitforthenetwork an.
Wir haben hier die Policy alwayswaitforthenetwork an.
Jup, das ist so. Macht sinn die Richtlinie zu setzen; werd cih gleich noch nachholen.
Aber nichts desto trotz, nach einem gpupdate /force müsste dies ja dennoch funktionieren, dann bin ich ja an der Domäne angemeldet und aktualisiere die GPs... auch ohne die von dir erwähnte Richtlinie.
Aber nichts desto trotz, nach einem gpupdate /force müsste dies ja dennoch funktionieren, dann bin ich ja an der Domäne angemeldet und aktualisiere die GPs... auch ohne die von dir erwähnte Richtlinie.
Da hast Du Recht.
Hat noch wer eine Idee an was es liegen könnte?
