20
GPO wird bei manchen Rechnern nicht übernommen
Hallo Zusammen,
ich habe einen Anmeldeskript den ich ausrollen möchte. Das Problem ist nur, das der Skript bei 70 % der Rechner funktioniert, bei den anderen 30 % nicht.
Bei gpresult /r bekomme ich die Nachricht:
Filterung: Verweigert (Sicherheit)
Die Einstellungen von einem PC, bei dem es funktioniert und bei dem wo es nicht funktioniert sind exakt identisch.
Hat jemand eine Idee woran das liegen könnte ?
VG
Hanuta
ich habe einen Anmeldeskript den ich ausrollen möchte. Das Problem ist nur, das der Skript bei 70 % der Rechner funktioniert, bei den anderen 30 % nicht.
Bei gpresult /r bekomme ich die Nachricht:
Filterung: Verweigert (Sicherheit)
Die Einstellungen von einem PC, bei dem es funktioniert und bei dem wo es nicht funktioniert sind exakt identisch.
Hat jemand eine Idee woran das liegen könnte ?
VG
Hanuta
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 316527
Url: https://administrator.de/contentid/316527
Printed on: April 25, 2024 at 05:04 o'clock
20 Comments
Latest comment
Hi,
Interessant ist nur, was an der GPO steht. Und "Verweigert (Sicherheit)" sagt nun mal aus, dass der betreffende Computer über die Sicherheitsfilterung der GPO ausgeschlossen wurde.
Was steht denn in der Sicherheitsfilterung der GPO drin?
E.
Die Einstellungen von einem PC, bei dem es funktioniert und bei dem wo es nicht funktioniert sind exakt identisch.
Welche Einstellungen?Interessant ist nur, was an der GPO steht. Und "Verweigert (Sicherheit)" sagt nun mal aus, dass der betreffende Computer über die Sicherheitsfilterung der GPO ausgeschlossen wurde.
Was steht denn in der Sicherheitsfilterung der GPO drin?
E.
Das Skript wird wird beim Anmelden ausgeführt und soll ein Programm starten.
Es betrifft alle Benutzer in der Domäne, also habe ich als Sicherheitsfilterung Domänen-Benutzer genommen. Diese dürfen auch die GPO übernehmen.
Habe den .cmd skript auch mal Zeile für Zeile ausgeführt. Das passt auch alles so weit.
VG
Es betrifft alle Benutzer in der Domäne, also habe ich als Sicherheitsfilterung Domänen-Benutzer genommen. Diese dürfen auch die GPO übernehmen.
Habe den .cmd skript auch mal Zeile für Zeile ausgeführt. Das passt auch alles so weit.
VG
Na was denn nun? Ein Start- oder ein Anmeldescript?
Falls Anmeldescript:
Wenn auf einigen Rechnern kommt "Verweigert (Sicherheit)", was passiert, wenn
Was steht im Eventlog?
Kann der Benutzer über
\\domain.tld\sysvol\domain.tld\policies\{GUID-der-GPO}
den Ordner öffnen und die Dateien lesen?
Falls Anmeldescript:
Wenn auf einigen Rechnern kommt "Verweigert (Sicherheit)", was passiert, wenn
- sich der selbe Benutzer an einem anderen PC anmeldet?
- man den PC mal durchstartet?
Was steht im Eventlog?
Kann der Benutzer über
\\domain.tld\sysvol\domain.tld\policies\{GUID-der-GPO}
den Ordner öffnen und die Dateien lesen?
Hallo,
Schnellstart an?
Das komputerkonto kann die GPO nicht lesen.
Sind die Rechner bei denen es geht alle < Win8?
Zeitunterschiede zwischen PC und DC?
Hilft ein gpresult /force?
Gruß
Chonta
Hat jemand eine Idee woran das liegen könnte ?
Benutzer in der Falschon OU?Schnellstart an?
Das komputerkonto kann die GPO nicht lesen.
Sind die Rechner bei denen es geht alle < Win8?
Zeitunterschiede zwischen PC und DC?
Hilft ein gpresult /force?
Gruß
Chonta
Hiho,
also der Benutzer kann den anmeldeskript zugreifen. Auf einem anderen Rechner wird er auch nicht ausgeführt, also hat es mit dem Benutzerkonto zu tun...
vg
also der Benutzer kann den anmeldeskript zugreifen. Auf einem anderen Rechner wird er auch nicht ausgeführt, also hat es mit dem Benutzerkonto zu tun...
vg
Hiho
Es werden ja noch mehrere anmeldeskripte ausgeführt, diese laufen wunderbar.
Zeitunterschied = Synchron
Alle Rechner sind Win10 1511 oder 1607 (ist bei beiden gleich)
gpupdate /force hat nichts gebracht
schnellstart ist an
Falsche OU, nein (jeder ist bei uns in Domäne Benutzer)
VG
Es werden ja noch mehrere anmeldeskripte ausgeführt, diese laufen wunderbar.
Zeitunterschied = Synchron
Alle Rechner sind Win10 1511 oder 1607 (ist bei beiden gleich)
gpupdate /force hat nichts gebracht
schnellstart ist an
Falsche OU, nein (jeder ist bei uns in Domäne Benutzer)
VG
Die Frage war nicht, ob er das Script lesen kann, sondern ob er die GPO lesen kann? (!)
Falsche OU, nein (jeder ist bei uns in Domäne Benutzer)
OU ! nicht GruppeEine GPO wird doch an eine OU verlinkt.
Ja, sry...... OU klappt 
und OU stimmt auch
Gibt mehrere Benutzer in der gleichen OU bei denen der anmeldeskript funktioniert
und OU stimmt auch
Gibt mehrere Benutzer in der gleichen OU bei denen der anmeldeskript funktioniert
Ja, sry...... OU klappt
????
Arrrgghh.....mach hier echt gerade zu viele sachen gleichzeitig ^^
Ich komme von dem Rechner aus auf den pfad der GPO
\\domain.tld\sysvol\domain.tld\policies\{GUID-der-GPO}
drauf
vg
Ich komme von dem Rechner aus auf den pfad der GPO
\\domain.tld\sysvol\domain.tld\policies\{GUID-der-GPO}
drauf
vg
Und er meldet immer noch im "gpresult /r" für die betreffenden GPO "Verweigert (Sicherheit)". Du verwechselst da auch nichts? Kannst die Ausgabe ja mal posten.
Was sagt "rsop.msc"?
Was sagt "rsop.msc"?
huhu,
jap meldet leider immer noch das gleiche.
rsop. msc meldet auch das der skript nicht ausgeführt wurde
VG
jap meldet leider immer noch das gleiche.
rsop. msc meldet auch das der skript nicht ausgeführt wurde
VG
Ausgaben?
Screenshots?
Screenshots?
Hallo,
hast du schon verstanden was das bedeutet? Du kummst hier net rein
Auch welches verhalten gerade bei Startskripte und GPOs diese Einstellung einfluss nimmt ist dir klar?
Ich würde Schnellstart aus machen da sonst ein herunterfahren nicht wirklich ein Herunterfahren ist.
Gruß,
Peter
Zitat von @Woraxor:
jap meldet leider immer noch das gleiche.
rsop. msc meldet auch das der skript nicht ausgeführt wurde
Diese Meldungjap meldet leider immer noch das gleiche.
rsop. msc meldet auch das der skript nicht ausgeführt wurde
Filterung: Verweigert (Sicherheit)
Auch welches verhalten gerade bei Startskripte und GPOs diese Einstellung einfluss nimmt ist dir klar?
schnellstart ist an
Gruß,
Peter
Ich würde Schnellstart aus machen da sonst ein herunterfahren nicht wirklich ein Herunterfahren ist.
Das hat doch nur für Startscripte Relevanz. Er gibt doch an, dass es ein Anmeldescript wäre.
Muss die Namen leider aus Datenschutzgründen schwärzen...
Ist ein Anmeldeskript, so....die Berechtigungen stimmen auch....Ich kann auch Manuell auf die GPO zugreifen....wenn ich den skript manuell ausführe klappt das ganze auch......es sollte doch alle theoretisch funktionieren...
VG
VG
Na, da sieht man gar nichts. Es ginge auch
Hier dann Namen ersetzen und posten.
Du kannst die GPO.-Debugprotokollierung aktivieren und auswerten.
https://blogs.technet.microsoft.com/csstwplatform/2010/11/09/how-to-enab ...
Keine Ahnung, ob das auch unter Win10 so funktioniert.
Schau mal bei der GPO unter den Berechtigungen nach, ob da irgendeine Verweigerung für "GPO übernehmen" gesetzt ist.
Reiter "Delegierung" --> Button "Erweitert"
gpresult /r >c:\gpresult.txtDu kannst die GPO.-Debugprotokollierung aktivieren und auswerten.
https://blogs.technet.microsoft.com/csstwplatform/2010/11/09/how-to-enab ...
Keine Ahnung, ob das auch unter Win10 so funktioniert.
Schau mal bei der GPO unter den Berechtigungen nach, ob da irgendeine Verweigerung für "GPO übernehmen" gesetzt ist.
Reiter "Delegierung" --> Button "Erweitert"
Fehler gefunden
Er war in einer Gruppe, die die Richtlinie verweigert.....und GPO Verweigern geht ja vor ausführen ....Danke für die schnelle Hilfe
VG
Hanuta
Er war in einer Gruppe, die die Richtlinie verweigert.....und GPO Verweigern geht ja vor ausführen ....Danke für die schnelle Hilfe
VG
Hanuta
