21
Verständnisfrage zu den Gruppenrichtlinienvererbung mit einem Screenshot
Hallo zusammen,
ich habe in den Default Domain Policy ein Logonskript (Benutzerkonfig > Logon) ein Skript hinterlegt das ein Netzlaufwerk mit einem Key mappt.
Es funktioniert gut.
Allerdings habe ich eine OU namens 1.Etage erstellt worin dann eine GPO verknüpft ist namens Proxy.
In dieser OU 1.Etage gibt es noch eine Ou wo mein User drin ist.
Die Proxy Gpo funktioniert richtig.
Allerdings werden die Konfigs der Default Domain Policy nicht von meinem User übernommen.
Die Gpo mit dem Proxy verteilt nur eine Proxy Konfig, während die Default unter anderem auch das Logonskript verteilt was mein User nicht annimmt.
Die anderen User bei denen es funktioniert sind in keiner Ou.
Kann das sein, dass das Problem daher kommt das die Default Domain Policy nicht den Rang 1 hat?
ich habe in den Default Domain Policy ein Logonskript (Benutzerkonfig > Logon) ein Skript hinterlegt das ein Netzlaufwerk mit einem Key mappt.
Es funktioniert gut.
Allerdings habe ich eine OU namens 1.Etage erstellt worin dann eine GPO verknüpft ist namens Proxy.
In dieser OU 1.Etage gibt es noch eine Ou wo mein User drin ist.
Die Proxy Gpo funktioniert richtig.
Allerdings werden die Konfigs der Default Domain Policy nicht von meinem User übernommen.
Die Gpo mit dem Proxy verteilt nur eine Proxy Konfig, während die Default unter anderem auch das Logonskript verteilt was mein User nicht annimmt.
Die anderen User bei denen es funktioniert sind in keiner Ou.
Kann das sein, dass das Problem daher kommt das die Default Domain Policy nicht den Rang 1 hat?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 319888
Url: https://administrator.de/contentid/319888
Printed on: April 19, 2024 at 16:04 o'clock
21 Comments
Latest comment
Habe auch schon mehrmals neu gestartet und mich auch mehrmals an- und abgemeldet.
In der Ad hatte ich vorher auch ein Anmeldeskript, was ich aber raus genommen habe.
In der Ad hatte ich vorher auch ein Anmeldeskript, was ich aber raus genommen habe.
Hallo,
man sollte die Default Domainpolicy und Default Domain Controller Policy NIE ändern.
Die Vererbung geht immer bis diese Aufgehoben wird oder eine GPO die Einstellungen einer GPO auf höherer Ebene wieder überschreibt.
In der adminkonsole gpresult /R machen, dann siest Du was abgearbeitet wird.
Die Abarbeitung der Richtlinien erfolgt nach LSDOU und was am dichtesten an der OU dran ist in der sich das Objekt befindet überschreibt halt alle vorangegangenen Einstellungen wieder.
Außnahme man erzwingt eine GPO, dann wird diese als letztes ausgeführt.
GPO die auf selber Ebene für die selben Objekte gelten und unterschiedliche Einstellungen für das selbe haben, sind keine gute Idee.
Wenn Hibernatemodus/Schnellstart bei den Rechnern an ist, kann das die Abareitung von Statrscripten beeinflussen.
Gruß
Chonta
man sollte die Default Domainpolicy und Default Domain Controller Policy NIE ändern.
Die Vererbung geht immer bis diese Aufgehoben wird oder eine GPO die Einstellungen einer GPO auf höherer Ebene wieder überschreibt.
In der adminkonsole gpresult /R machen, dann siest Du was abgearbeitet wird.
Die Abarbeitung der Richtlinien erfolgt nach LSDOU und was am dichtesten an der OU dran ist in der sich das Objekt befindet überschreibt halt alle vorangegangenen Einstellungen wieder.
Außnahme man erzwingt eine GPO, dann wird diese als letztes ausgeführt.
GPO die auf selber Ebene für die selben Objekte gelten und unterschiedliche Einstellungen für das selbe haben, sind keine gute Idee.
Wenn Hibernatemodus/Schnellstart bei den Rechnern an ist, kann das die Abareitung von Statrscripten beeinflussen.
Gruß
Chonta
1
Hi,
Was sagt "gpresult /r" oder "rsop.msc"?
E.
ich habe in den Default Domain Policy ein Logonskript (Benutzerkonfig > Logon) ein Skript hinterlegt das ein Netzlaufwerk mit einem Key mappt.
Die Proxy Gpo funktioniert richtig.
Soll heißen, unter Deiner Anmeldung werden diese Einstellungen übernommen?Die Proxy Gpo funktioniert richtig.
Allerdings werden die Konfigs der Default Domain Policy nicht von meinem User übernommen.
Woran machst Du das fest?Die Gpo mit dem Proxy verteilt nur eine Proxy Konfig, während die Default unter anderem auch das Logonskript verteilt was mein User nicht annimmt.
Wass heißt "nicht annimmt"? Kommt da ne Meldung "Annahme verweigert" oder was?Die anderen User bei denen es funktioniert sind in keiner Ou.
Also im Container "Users"?Kann das sein, dass das Problem daher kommt das die Default Domain Policy nicht den Rang 1 hat?
Nein. Scripte sind additiv.Was sagt "gpresult /r" oder "rsop.msc"?
E.
Hallo,
Never ever change the Default Domain Policy. Erstelle immer eine neue Zusätzliche GPO, aber lass die finger von der DDP.
Dem System ist es egal ob du 1 oder 20 GPOs hast. Die Verarbeitungszeit der GPOs leidet auch nicht darunter.
Gruß,
Peter
Never ever change the Default Domain Policy. Erstelle immer eine neue Zusätzliche GPO, aber lass die finger von der DDP.
Dem System ist es egal ob du 1 oder 20 GPOs hast. Die Verarbeitungszeit der GPOs leidet auch nicht darunter.Allerdings werden die Konfigs der Default Domain Policy nicht von meinem User übernommen.
Was sagt gpresult und rsop?Gruß,
Peter
Danke Chonta,
gpresult macht den Anschein, das er die Konfig aus der Default Domain P. erkannt hat und abgearbeitet hat.
Da die DDP unter der Proxy Gpo ist, wird die dann von der Proxy Gpo überschrieben?
Die Einstellungen der bedein Gpo´s stoßen sich ja nicht an.
gpresult macht den Anschein, das er die Konfig aus der Default Domain P. erkannt hat und abgearbeitet hat.
Da die DDP unter der Proxy Gpo ist, wird die dann von der Proxy Gpo überschrieben?
Die Einstellungen der bedein Gpo´s stoßen sich ja nicht an.
Da die DDP unter der Proxy Gpo ist, wird die dann von der Proxy Gpo überschrieben?
Die Einstellungen der bedein Gpo´s stoßen sich ja nicht an.
GPO überschreiben sich nicht. Einzelne Einstellungen dieser GPO können sich nur widersprechen. Hier wird dann jene aus der GPO mit höchsten Rangfolge übernommen. Die Rangfolge ergibt sich aus der Ebene, in welcher sie verlinkt sind, sowie aus ggf. festgelegten "force" (oder "no override") Attributen sowie aus ggf. eingestellter Unterbrecheung der Reihenfolge.Die Einstellungen der bedein Gpo´s stoßen sich ja nicht an.
Dein Problem ist doch offenbar, dass Du erwartest, dass das Script aus der Default Policy etwas tut, aber das Ergebnis nicht stimmt. Bau doch mal in das Script was Banales ein, woran Du nachvollziehen kannst, ob das Script überhaupt ausgeführt wird. z.B. ne Meldung oder eine Datei erstellen lassen oder oder.
1
Zu den Fragen von ermeriks:
1. Nein unter meinen User funktioniert es nicht, dass erkenne ich daran das weder die Netzlaufwerke gemappt worden sind noch ein cmdkey übergeben worden ist. Bei den Usern unter dem Standardordner User funktioniert es.
Eine Fehlermeldung erhalte ich nicht, aber ich erkenne den Fehler daran, dass das Skript nicht funktioniert hat, bei der lokalen Ausführung des Skriptes bei mir am Rechner funktioniert es sofort.
1. Nein unter meinen User funktioniert es nicht, dass erkenne ich daran das weder die Netzlaufwerke gemappt worden sind noch ein cmdkey übergeben worden ist. Bei den Usern unter dem Standardordner User funktioniert es.
Eine Fehlermeldung erhalte ich nicht, aber ich erkenne den Fehler daran, dass das Skript nicht funktioniert hat, bei der lokalen Ausführung des Skriptes bei mir am Rechner funktioniert es sofort.
Die GPO überschreiben NUR Einstellungen die bei beiden GPO unterschiedlich gesetzt sind.
Was nicht konfiguriert ist oder genauso eingestellt wird auch nicht geändert.-
Die DDP ist an oberster Stelle an der Domäne verknüpft und muss immer abgearbeitet werden!
Andere GPO werden normalerweise nicht auf Domainebene verknüpft sondern an der OU und setzen dann zusätzliche oder abweichende Einstellungen.
Scripte werden wie schon gesagt immer ausgeführt, vorrausgesetzt die Abarbeitung der Scripte wird nicht durch Hibernate/Schnellstart gestört.
Gruß
Chonta
Was nicht konfiguriert ist oder genauso eingestellt wird auch nicht geändert.-
Die DDP ist an oberster Stelle an der Domäne verknüpft und muss immer abgearbeitet werden!
Andere GPO werden normalerweise nicht auf Domainebene verknüpft sondern an der OU und setzen dann zusätzliche oder abweichende Einstellungen.
Scripte werden wie schon gesagt immer ausgeführt, vorrausgesetzt die Abarbeitung der Scripte wird nicht durch Hibernate/Schnellstart gestört.
Gruß
Chonta
1
Hibernate ist nicht konfiguriert worden.
rscop zeigt mir auch das die Konfigs erkannt worden sind.
rscop zeigt mir auch das die Konfigs erkannt worden sind.
Eine Fehlermeldung erhalte ich nicht, aber ich erkenne den Fehler daran, dass das Skript nicht funktioniert hat, bei der lokalen Ausführung des Skriptes bei mir am Rechner funktioniert es sofort.
Was heißt jetzt "lokale Ausführung"? Führst Du es sonst remote aus, oder was?Bau doch mal an erster Stelle in die CMD (wie ich annehme) ein
echo Test > "%temp%\test_gpo.txt"
danke emeriks,
ja die txt Datei wird erstellt mit dem Inhalt Test.
Die echo Zeile habe ich einfach nur über die bereits von mir eingetippten Befehle eingefügt.
ja die txt Datei wird erstellt mit dem Inhalt Test.
Die echo Zeile habe ich einfach nur über die bereits von mir eingetippten Befehle eingefügt.
Na bitte. jetzt weißt Du, dass das Script ausgeführt wird. Also müssen es inhaltliche Fehler sein.
1
es muss irgendwas an meinem Rechner nicht funktioniern, da es ja bei den anderen Usern funktioniert.
Hallo,
Rechner ungleich Benutzer
Gruß,
Peter
Zitat von @M.Marz:
es muss irgendwas an meinem Rechner nicht funktioniern, da es ja bei den anderen Usern funktioniert.
Äh, was denn nun? Rechner oder Benutzer? Bedeutet egal welcher Benutzer aber immer an deinen Rechner oder egal welcher Rechner aber immer mit deinen Benutzer oder was denn nun?es muss irgendwas an meinem Rechner nicht funktioniern, da es ja bei den anderen Usern funktioniert.
Rechner ungleich Benutzer
Gruß,
Peter
Rechner ungleich Benutzer
Das kapieren viele nicht.Es ist wie früher beim Pauker im Matheunterricht:
Wenn man schon beim Reden und Schreiben die Begriffe verwechselt oder falsch anwendet dann funktioniert das beim Denken schon gar nicht mehr und man kann die Aufgabe nicht verstehen, geschweige denn lösen. Manche verstehen auch diesen Satz nicht - da macht es dann eh keinen Sinn ...
es ist immer noch eine Benutzerrichtlinie.
Aber der Grund warum diese Richtlinie nicht funktioniert bei mir, muss wohl an meinem Rechner liegen.
Im Eventlog finde ich fehler wegen der NTLM-Authentifizierung
Protokollname: System
Quelle: LsaSrv
Datum: 03.11.2016 15:12:56
Ereignis-ID: 6038
Aufgabenkategorie:Keine
Ebene: Warnung
Schlüsselwörter:Klassisch
Benutzer: Nicht zutreffend
Computer: Computername
Beschreibung:
Von Microsoft Windows Server wurde festgestellt, dass momentan zwischen Clients und diesem Server die NTLM-Authentifizierung verwendet wird. Dieses Ereignis tritt einmal pro Serverstart auf, wenn NTLM von einem Client erstmalig für den Server verwendet wird.
NTLM ist ein relativ schwacher Authentifizierungsmechanismus. Prüfen Sie Folgendes:
Von welchen Anwendungen wird die NTLM-Authentifizierung verwendet?
Liegen Konfigurationsprobleme vor, die verhindern, dass ein stärkerer Authentifizierungsmechanismus (etwa Kerberos) verwendet wird?
Wenn NTLM unterstützt werden muss: Ist der erweiterte Schutz konfiguriert?
Protokollname: System
Quelle: Microsoft-Windows-DNS-Client
Datum: 03.11.2016 15:11:50
Ereignis-ID: 8033
Aufgabenkategorie
1028)
Ebene: Warnung
Schlüsselwörter:
Benutzer: Netzwerkdienst
Computer: computername
Beschreibung:
Fehler beim Aktualisieren und Entfernen der Hostressourceneinträge (A oder AAAA) für den Netzwerkadapter
mit den folgenden Einstellungen:
Adaptername: {BFF07292-BF5A-4B81...}
Hostname: computername
Primäres Domänensuffix:
DNS-Serverliste:
x.x.x.x, x.x.x.x
Server, an den das Update gesendet wurde: <?>
IP-Adresse:
x.x.x.x
Diese Ressourceneinträge des Hosts (A oder AAAA) konnten aufgrund einer Zeitüberschreitung der Updateanforderung während der DNS-Serverrückmeldung nicht entfernt werden. Wahrscheinlich wird der autoritative DNS-Server für die Zone, wo die Ressourceneinträge aktualisiert werden müssen, nicht ausgeführt oder ist nicht über das Netzwerk erreichbar.
Aber der Grund warum diese Richtlinie nicht funktioniert bei mir, muss wohl an meinem Rechner liegen.
Im Eventlog finde ich fehler wegen der NTLM-Authentifizierung
Protokollname: System
Quelle: LsaSrv
Datum: 03.11.2016 15:12:56
Ereignis-ID: 6038
Aufgabenkategorie:Keine
Ebene: Warnung
Schlüsselwörter:Klassisch
Benutzer: Nicht zutreffend
Computer: Computername
Beschreibung:
Von Microsoft Windows Server wurde festgestellt, dass momentan zwischen Clients und diesem Server die NTLM-Authentifizierung verwendet wird. Dieses Ereignis tritt einmal pro Serverstart auf, wenn NTLM von einem Client erstmalig für den Server verwendet wird.
NTLM ist ein relativ schwacher Authentifizierungsmechanismus. Prüfen Sie Folgendes:
Von welchen Anwendungen wird die NTLM-Authentifizierung verwendet?
Liegen Konfigurationsprobleme vor, die verhindern, dass ein stärkerer Authentifizierungsmechanismus (etwa Kerberos) verwendet wird?
Wenn NTLM unterstützt werden muss: Ist der erweiterte Schutz konfiguriert?
Protokollname: System
Quelle: Microsoft-Windows-DNS-Client
Datum: 03.11.2016 15:11:50
Ereignis-ID: 8033
Aufgabenkategorie
1028)Ebene: Warnung
Schlüsselwörter:
Benutzer: Netzwerkdienst
Computer: computername
Beschreibung:
Fehler beim Aktualisieren und Entfernen der Hostressourceneinträge (A oder AAAA) für den Netzwerkadapter
mit den folgenden Einstellungen:
Adaptername: {BFF07292-BF5A-4B81...}
Hostname: computername
Primäres Domänensuffix:
DNS-Serverliste:
x.x.x.x, x.x.x.x
Server, an den das Update gesendet wurde: <?>
IP-Adresse:
x.x.x.x
Diese Ressourceneinträge des Hosts (A oder AAAA) konnten aufgrund einer Zeitüberschreitung der Updateanforderung während der DNS-Serverrückmeldung nicht entfernt werden. Wahrscheinlich wird der autoritative DNS-Server für die Zone, wo die Ressourceneinträge aktualisiert werden müssen, nicht ausgeführt oder ist nicht über das Netzwerk erreichbar.
Im DNS gibt es einen Hosteintrag A, und über den Namen erreichbar bin ich auch.
Das mit dem NTLM ist nur ein Hiweis, aber kein Hindernis für GPO-Verarbeitung.
Der Hinweis mit dem Aktualisieren des A-Records kann interessant sein. Nämlich dann, wenn das darauf hinweisen würde, dass der Client z.B. mit keinem oder einem falschen DNS-Server konfiguriert ist.
Ist die Zeit des Clients mit der des DC synchron?
Der Hinweis mit dem Aktualisieren des A-Records kann interessant sein. Nämlich dann, wenn das darauf hinweisen würde, dass der Client z.B. mit keinem oder einem falschen DNS-Server konfiguriert ist.
Ist die Zeit des Clients mit der des DC synchron?
es ist immer noch eine Benutzerrichtlinie.
Aber auch auf eine OU Verknüpft, in der Dein Benutzerkonto drin ist, oder?gpupdate /force
gpresult /R und schauen ob die GPO verarbeitet wird.
ja die txt Datei wird erstellt mit dem Inhalt Test.
Das bedeutet die GPO greift und das Script wird ausgeführt.Wenn das Script jetzt nicht das macht was Du erwartest, dann ist das Script an sich hat einen Fehler.
Wenn Du das Script als Benutzer ausführst, geht es dann?
Evtl musst Du das Script mit erhöhten Rechten über die GPO ausführen.
Gruß
Chonta
Was soll das bringen? Ein Loginscript wird ausschließlich beim Login ausgeführt.
Wenn Überhaupt, dann kann man "gpscript.exe /Logon" ausführen (Groß/Kleinschreibung beachten). Das startet nochmal alle Loginscripte, auch in einer laufenden Sitzung.
Wenn das Script jetzt nicht das macht was Du erwartest, dann ist das Script an sich hat einen Fehler.
Soweit waren wir schon.
Wenn Überhaupt, dann kann man "gpscript.exe /Logon" ausführen (Groß/Kleinschreibung beachten). Das startet nochmal alle Loginscripte, auch in einer laufenden Sitzung.
ja die txt Datei wird erstellt mit dem Inhalt Test.
Das bedeutet die GPO greift und das Script wird ausgeführt.Wenn das Script jetzt nicht das macht was Du erwartest, dann ist das Script an sich hat einen Fehler.
Evtl musst Du das Script mit erhöhten Rechten über die GPO ausführen.
Wie willst du das mit einem Loginscript realisieren? Evtl musst Du das Script mit erhöhten Rechten über die GPO ausführen.
Wie willst du das mit einem Loginscript realisieren?Soweit waren wir schon.
Ich weiß das und Du auch Wenn Überhaupt, dann kann man "gpscript.exe /Logon" ausführen
Danke für den Tip!gpupdate /force
Was soll das bringen?Gruß
Chonta
