Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Computerkonfiguration der GPO wird nicht verteilt

Frage Microsoft Windows Userverwaltung

Mitglied: D33kay

D33kay (Level 1) - Jetzt verbinden

25.08.2011, aktualisiert 15:12 Uhr, 7947 Aufrufe, 11 Kommentare

Hallo Community,

Ich will mit Hilfe einer GPO die NTFS-Berechtigungen auf diverse Unterordner von C:\Programme auf den Clients verändern. Hierzu habe ich mir eine eigene GPO erstellt.
Unter Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Dateisystem habe ich hierzu die Berechtigungen angelegt und die User hinzugefügt.

Ich habe nun folgendes Problem - die Clients ziehen sich zwar alle Informationen aus der Benutzerkonfiguration, wie z.B. Start-Skripts, jedoch keine Einstellungen aus der Computerkonfiguration.


Ein gpresult bringt folgendes, Computer- und Benutzerkonfiguration in der GPO aktiv (Name der GPO rot und fett markiert):

COMPUTEREINSTELLUNGEN
CN=TEST-CLIENT,CN=Computers,DC=testdomain,DC=local
Zeit der letzten Gruppenrichtlinienanwendung: 25.08.2011 at 14:52:27
Gruppenrichtlinie wurde angewendet von: testserver.testdomain.local
Gruppenrichtlinienschwellenwert für langsame Verbindung: 500 kbps

Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Default Domain Policy
Richtlinien der lokalen Gruppe

Der Computer ist Mitglied der folgenden Sicherheitsgruppen:
-----------------------------------------------------------
Administratoren
Jeder
Benutzer
NETZWERK
Authentifizierte Benutzer
TEST-CLIENT$
Domänencomputer
CERTSVC_DCOM_ACCESS


BENUTZEREINSTELLUNGEN
CN=Testuser,OU=TEST,OU=users,DC=testdomain,DC=local
Zeit der letzten Gruppenrichtlinienanwendung: 25.08.2011 at 14:52:27
Gruppenrichtlinie wurde angewendet von: testserver.testdomain.local
Gruppenrichtlinienschwellenwert für langsame Verbindung: 500 kbps

Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Berechtigungen Ordner Clients
Default Domain Policy

Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefilt
ert wurden.
----------------------------------------------------------------------------
Richtlinien der lokalen Gruppe
Filterung: Nicht angewendet (Leer)

Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen:
-----------------------------------------------------------
Domänen-Benutzer
Jeder
Administratoren
Benutzer
INTERAKTIV
Authentifizierte Benutzer
LOKAL
REMOTE
CERTSVC_DCOM_ACCESS

Was mache ich falsch?
Mitglied: 60730
25.08.2011 um 15:25 Uhr
Moin,

Zitat von D33kay:
Unter Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Dateisystem habe ich hierzu die
Berechtigungen angelegt und die User hinzugefügt.

  • Stichwort Loopbackverarbeitung.....

Gruß
Bitte warten ..
Mitglied: D33kay
25.08.2011 um 15:49 Uhr
Moin Timo,

verstehe nicht ganz, was Du damit meinst. Bei einigen Ordnern unter C:\Programme sollen die authentifizierten Benutzer mit Schreibrechten angelegt werden.

Das generelle Problem besteht jedoch darin, dass die Clients sich keine Einstellungen aus der Computerkonfiguration ziehen. Die Benutzereinstellungen klappen alle problemlos.

Ein Beispiel hierfür wäre ein Startskript, angelegt unter der Computerkonfiguration in der GPO. Auch diese Einstellungen gehen nicht an die Clients.
Bitte warten ..
Mitglied: HubertN
25.08.2011 um 16:11 Uhr
Moin

da bin ich auch ein wenig erstaunt. Vielleicht hat Timo ja gerade ein Nickerchen gemacht und den Beitrag aufwachenderweise im Halbschlaf gelesen und geschrieben ?

Ich gehe mal ganz einfach davon aus, dass sich das Computerobjekt nicht in Reichweite des Greuppenrichtlinienobjektes befindet. Anders gefragt: In welcher OU befrindet sich der Computer ?

So gesehen hat Timo also auch nicht ganz unrecht mit seinem Stichwort (würde ich auch niemals denken ) - du musst die Richtlinie in den Bereich des Computers bringen und dann die Loopbackverarbeitung aktivieren, damit auch der Benutzerteil der Richtlinie übernommen wird.

Gruß

Hubert
Bitte warten ..
Mitglied: 60730
25.08.2011 um 16:51 Uhr
Moin,

Zitat von HubertN:
Moin

da bin ich auch ein wenig erstaunt. Vielleicht hat Timo ja gerade ein Nickerchen gemacht und den Beitrag aufwachenderweise im
Halbschlaf gelesen und geschrieben ?

Halb ertappt....

Unter Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Dateisystem habe ich hierzu die Berechtigungen angelegt und die User hinzugefügt.
/snip
BENUTZEREINSTELLUNGEN
/snap

Angewendete Gruppenrichtlinienobjekte

Berechtigungen Ordner Clients


Ich gehe mal ganz einfach davon aus, dass sich das Computerobjekt nicht in Reichweite des Greuppenrichtlinienobjektes befindet.

Yupp - du bist auch noch im Halbschlaf *duck*

  • Und dann mach bitte nicht den Fehler in die GPO irgendwelche User im Klartext reinzumalen, das bringt dir über kurz oder lang massiven Stress...

"Berechtigungen Ordner Clients"
Ist doch ein (naja fast) guter Name für eine Gruppe, da packst du die User rein und nur die Gruppe in das GPO, sonst .....

Gruß
Bitte warten ..
Mitglied: HubertN
25.08.2011 um 18:55 Uhr
hmm - stehe ich hier aufm Schlauch ?

COMPUTEREINSTELLUNGEN
(...)
Angewendete Gruppenrichtlinienobjekte
Default Domain Policy
Richtlinien der lokalen Gruppe

BENUTZEREINSTELLUNGEN
(...)
Angewendete Gruppenrichtlinienobjekte
Berechtigungen Ordner Clients
Default Domain Policy

Also für mich sieht das doch so aus, als ob der Computer die Richtlinie nicht übernimmt ?! Und nur weil ich eine Computerrichtlinie einstelle, bedeutet dass doch noch lange icht, dass sie auch übernommen wird
Bitte warten ..
Mitglied: D33kay
25.08.2011 um 19:29 Uhr
Zitat von HubertN:
Also für mich sieht das doch so aus, als ob der Computer die Richtlinie nicht übernimmt ?! Und nur weil ich eine
Computerrichtlinie einstelle, bedeutet dass doch noch lange icht, dass sie auch übernommen wird

Genau das ist mein Problem. Die GPO "Berechtigungen Ordner Clients" (ich gebe zu, der Name ist originell ! ) beinhaltet Computer- und Benutzereinstellungen. Aber NUR die Benutzereinstellungen werden auf den Clients übernommen, nicht aber die Computereinstellungen, egal was ich dort definiere (Berechtigungen, Skripts, andere Einstellungen). Darum stelle ich mir die Frage, warum nur die Benutzereinstellungen und nicht die Computereinstellungen übernommen werden.

Wie genau aktiviere ich die Loopback-Funktion?
Bitte warten ..
Mitglied: 60730
25.08.2011 um 22:40 Uhr
naaaaabend zusammen....

Ich weiß ja auch nicht aber-....

Zitat von D33kay:
Ich will mit Hilfe einer GPO die NTFS-Berechtigungen auf diverse Unterordner von C:\Programme auf den Clients verändern.
  • Ist eher der falsche Weg, aber dazu später...

Hierzu habe ich mir eine eigene GPO erstellt.
Unter Computerkonfiguration...
Ein gpresult bringt folgendes, Computer- und Benutzerkonfiguration in der GPO aktiv (Name der GPO rot und fett markiert):

COMPUTEREINSTELLUNGEN
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Default Domain Policy
Richtlinien der lokalen Gruppe
Hier sehe ich keine GPO Berechtigungen Ordner Clients
  • Hier schon...
  • Also ein klassischer Fall für den Loopbackverarbeitungsmodus oder das verlinken einer GPO sowohl in der Computer OU, als auch in der Benutzer OU.
Denn - wenn diese (gekürtzen) Zeilen stimmen, ist die GPO mit den Computereinstellungen in einer OU der Benutzer.

BENUTZEREINSTELLUNGEN
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Berechtigungen Ordner Clients**
Default Domain Policy

Was mache ich falsch?#
Wie genau aktiviere ich die Loopback-Funktion?

  • ganz ehrlich - nachdem ich dir das Stichwort geliefert habe und wir nun ungefragt nach deiner Domaincontroller Version rätseln, wäre eigentlich das anwerfen einer Suchmaschine x mit Daten x und y kein Thema?

Trotzdem - indem speziellen Fall würde ich das ganz Andreaskreuz machen, denn eine GPO und speziell eine mit Loopback läuft und läuft und läuft immer und immer und immer wieder, bei jeder Anmeldung - eher nix für Pappas Sohn, der gerne das letzte Tüpfelchen aus dem i kitzelt und die Anmeldung ASAP für die eh schon nörgelnden User gerne hat und auf lahm umgestrickte Kisten nicht mag....

Startupscript
if exist %programfiles\programfolderx\rightyright.ini goto end
xcalcs %programfiles\programfolderx /T /E /C /G TestUser:RWED /y
:end
:eof
N8
Bitte warten ..
Mitglied: D33kay
26.08.2011 um 08:25 Uhr
Bitte warten ..
Mitglied: D33kay
26.08.2011 um 11:10 Uhr
Es handelt sich hierbei um einen W2K3 Server Standard Edition.

Habe jetzt die Loopbackverarbeitung aktiviert. Die GPO sieht jetzt wie folgt aus:

Computerkonfiguration (Aktiviert) -> Windows-Einstellungen -> Sicherheitseinstellungen -> Dateisystem -> %ProgramFiles%\Test
Berechtigungen: domäne\Authentifizierte Benutzer - Ändern

Computerkonfiguration (Aktiviert) -> Administrative Vorlagen -> System/Gruppenrichtlinien
Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie Aktiviert, Modus Ersetzen

Wenn ich auf dem Client jetzt ein GPUPDATE mache, kommt folgende Statusmeldung:
Die Aktualisierung der Userrichtlinie wurde abgeschlossen.
Die Aktualisierung der Computerrichtlinie wurde abgeschlossen.

Dennoch werden die Ordnerberechtigungen auf dem Client nicht übernommen! Das Ganze habe ich dann noch mit Startskript auf Computerebene aufprobiert, ebenfalls ohne erfolg. Das Skript wird nicht ausgeführt.

Würde gerne ohne Startskript arbeiten, da die User keine lokalen Adminrechte besitzen, um die NTFS Berechtigungen zu verändern. Dazu wird bei calcs jede Datei angefasst und Berechtigungen bei jedem Start neu gesetzt, was unter umständen jedes mal relativ lange dauern könnte, oder irre ich?

Mein Hauptproblem besteht jedoch darin, dass die Computerkonfiguration anscheinend nicht auf dem Client zur Anwendung kommt.
Bitte warten ..
Mitglied: D33kay
26.08.2011 um 12:19 Uhr
Thema gelöst!

Hätte die GPO mit der OU verknüpfen müssen, in dem sich das Computerkonto befindet und dieses Konto befindet sich im Container Computer auf der höchsten Ebene...
Bitte warten ..
Mitglied: HubertN
26.08.2011 um 15:56 Uhr
ein wenig lesen hätte diese Erkenntnis gleich gebracht:

Zitat von HubertN:
Ich gehe mal ganz einfach davon aus, dass sich das Computerobjekt nicht in Reichweite des Greuppenrichtlinienobjektes befindet.
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (9)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...