resolv
Jul 01, 2016, updated at 11:49:17 (UTC)
view9188
view13
0
Goto Top

GPO wird nicht auf Domänen Benutzer angewendet

GermansolvedQuestionMicrosoft
Hallo Leute,

eine Frage an die Gruppenrichtlinien Spezialisten hier. Ich sitze seit 2 Stunden und versuche den Fehler zu finden face-smile. Ich versucht ein GPO (User) nur auf einen bestimmten AD Account zu binden. Sprich, ich möchte das GPO mit User Settings nur auf einem speziellen User angewendet haben.

Was habe ich bis jetzt gemacht:

Ich habe mir eine OU im AD angelegt in welcher ein Computerkonto Mitglied ist. Auf diese OU haben ich ein GPO mit Usersettings gebunden und im Security Filtering die "Authenticated Users" gelöscht und meinen Test AD Account hinzugefügt. Ich melde mich am Computer mit dem Test AD Account an und es passiert "Zero". Was ich feststellen kann ist dass dieses GPO nicht angewendet wird (Not Applied - Unknown Reason) als resultat von gpresult /r

Ich habe hier igendwie einen Hund drinnen und finden den nicht. Sobald ich bei dem GPO unter Security Filtering die "Authenticated Users" wieder hinzufüge, wir das GPO auch angewendet.

Bitte um Hilfe. . . bin echt am verzweifeln

Besten Dank
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 308696

Url: https://administrator.de/contentid/308696

Printed on: April 26, 2024 at 01:04 o'clock

13 Comments
Latest comment
Goto Top
Member: ArnoNymous
ArnoNymous Jul 01, 2016 at 11:46:49 (UTC)
Goto Top
Moin,


Ich habe mir eine OU im AD Angelegt in welcher ein Computerkonto Mitglied ist.

Warum denn Computerkonto, wenn die GPO auf einen Benutzer wirken soll?

im Security Filtering die "Authenticated Users" gelöscht

Das solltest du wieder rückgängig machen, sonst wird es nicht funktionieren. Seit kurzem funktionieren GPOs, die auf bestimmte Gruppen geschlüsselt sind, nur noch, wenn die "Authenticades Users" Lese-Rechte auf die GPO haben.
Member: Resolv
Resolv Jul 01, 2016 at 11:55:29 (UTC)
Goto Top
Villeicht falsch formuliert. Ich habe ein OU. In dieser ist ein Computerkonto Mitglied. Auf dieser OU liegt auch ein GPO mit eben den User Settings welche wenn ich mich mit meinem Account auf diesem Computer anmelde, angewendet werden soll.

Auch wenn ich das GPO direkt in den root Baum meiner Domäne legen, funktioniert es nicht.

Ich habe schon sowas gelesen. Da hat es ein Update gegeben im Juni. Nicht ganz verständlich, denn wenn ich die "Authenticades Users" nicht lösche, wir das GPO ja auf alle Benutzer angewendet oder verstehe ich da was falsch?
Member: SlainteMhath
SlainteMhath Jul 01, 2016 at 11:56:51 (UTC)
Goto Top
Moin,

ich habe mir eine OU im AD Angelegt in welcher ein Computerkonto Mitglied ist. Auf diese OU haben ich ein GPO mit Usersettings gebunden
Das funktioniert nur, wenn in der GPO auch die Loopbackverarbeitung aktiviert ist! Die Usersettings werden dann auf alle User angewandt die sich auf Computern innerhalb der OU anmdeln.

lg,
Slainte
Member: Resolv
Resolv Jul 01, 2016 at 12:07:24 (UTC)
Goto Top
Und wie sieht das aus wenn ich die Richtline im root meiner Domäne ablegen? Da gibt es ja dann keine OU, sondern das GPO sollte auf alle Benutzer angewendet werden welche ich im Security Filtering angegeben habe.

z.B: Die Domain Policy wir auf alle angewendet weil Security Filtering = Authenticated Users, ok verständlich. Sobald ich hier aber nur einen Domänen Benutzer hinzufüge (z.B meinen Test Account) und die "Authenticated Users" lösche, passiert überhaupt nichts mehr. Das GPO wird gefiltert.
Member: emeriks
Solution emeriks Jul 01, 2016 at 12:11:31 (UTC)
Goto Top
Sobald ich hier aber nur einen Domänen Benutzer hinzufüge (z.B meinen Test Account) und die "Authenticated Users" lösche, passiert überhaupt nichts mehr. Das GPO wird gefiltert.
Das habe wir doch bereits erklärt. Du musst den "Authenticated Users" jetzt statt dessen Nur-Lese-Recht erteilen. Reiter "Delegierung", Button "Hinzufügen"
Member: SlainteMhath
SlainteMhath Jul 01, 2016 at 12:12:50 (UTC)
Goto Top
Die Suchfunktion hier im Forum hötte dir auch weitergeholfen face-smile

Drucker Netzlaufwerke per GPO werden nicht mehr verbunden - GPO plötzlich defekt - (MS16-072 - KB 3163016 KB 3163017 KB3163018 KB3159398)
Member: Chonta
Solution Chonta Jul 01, 2016 at 12:32:28 (UTC)
Goto Top
Hallo,

wenn Du ein GPO für einen Benutzer machst, dann verlinke es auch auf eine OU mit Benutzern.
Bei der Filterung auf Benutzer/Gruppen ist jetzt darauf zu achten, das Autentifizierte Benutzer oder Domänencomputer LESE-RECHTE auf die GPO haben.
Wenn das nicht der Fall ist wird die GPO nicht mehr abgearbeitet.

http://www.borncity.com/blog/2016/06/16/windows-gpo-update-kb3159398-ma ...

Gruß

Chonta
Member: Resolv
Resolv Jul 01, 2016 at 12:57:31 (UTC)
Goto Top
Danke Leute für den Hinweis. Ich sehe mir das im Detail am Montag an.

Grüße
Member: agowa338
Solution agowa338 Jul 01, 2016 updated at 15:51:08 (UTC)
Goto Top
Hier steht wie es funktioniert, seit dem Microsoft das Verhalten der GPOs geändert hat: http://www.gruppenrichtlinien.de/artikel/statt-loopback-benutzer-richtl ...

P. S. Loopback Verarbeitung wurde durch die Änderung übrigens überflüssig...
P. P. S. Und hier steht, was sich im Detail geändert hat: http://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfun ... ich habe in meiner Umgebung den Teil mit der Schema Anpassung ("defaultSecurityDiscriptor") gemacht.
Member: emeriks
emeriks Jul 01, 2016 at 16:19:22 (UTC)
Goto Top
P. S. Loopback Verarbeitung wurde durch die Änderung übrigens überflüssig...
Quatsch! Wo hast Du das denn her?

Diese Änderung betrifft allein den Sicherheitskontext, in welchem die Sammlung der für den Benutzer anzwendenden GPO erfolgt. Nichts weiter.
Bisher hat der GPO-Dienst die Benutzer-GPO im Kontext des Benutzers gesammelt. Jetzt erfolgt das im Kontext des Computers.

Loopback hat nichts mit Sicherheitsfilterung zu tun, sondern nur mit dem Pfad, über welchen die anzuwendenen GPO's gesammelt werden.
Member: agowa338
agowa338 Jul 02, 2016 at 01:47:58 (UTC)
Goto Top
Naja, die Policy wird auf die Benutzer nicht angewendet, wenn der PC keine Lebensberechtigung hat.
Daraus folgt ja wenn ich "Authentifizierte Benutzer" aus dem Sicherheitsfilter entferne und den Terminalserver mit Lese-Berechtigung so wie Domänen-Benutzer mit Lesen und Übernehmen hinzufüge, habe ich den gleichen Effekt.

Du kannst zwar die Loopback Verarbeitung verwenden, musst es jetzt aber nicht mehr. Es gibt einfach einen neuen weg, mit dem man das Verhalten noch gezielter steuern könnte.
Member: emeriks
emeriks Jul 02, 2016 updated at 14:37:40 (UTC)
Goto Top
Naja, die Policy wird auf die Benutzer nicht angewendet, wenn der PC keine Lebensberechtigung hat.
Und was hat das mit Loopback zu tun?

Daraus folgt ja wenn ich "Authentifizierte Benutzer" aus dem Sicherheitsfilter entferne und den Terminalserver mit Lese-Berechtigung so wie Domänen-Benutzer mit Lesen und Übernehmen hinzufüge, habe ich den gleichen Effekt.
Gleichen Effekt wie mit Loopback-Verarbeitung? Nein, definitiv nicht!

Du kannst zwar die Loopback Verarbeitung verwenden, musst es jetzt aber nicht mehr. Es gibt einfach einen neuen weg, mit dem man das Verhalten noch gezielter steuern könnte.
Wenn Du das so glaubst oder so verstanden hast, dann hast Du entweder die Änderung durch den besagten Patch nicht verstanden oder noch nie verstanden, wie die Loopbackverarbeitung überhaupt funktioniert, wofür sie benötigt wird und was da genau anders abläuft als ohne Loopback. Für letzteres gibt es aber genug Quellen im Web.
Member: Resolv
Resolv Jul 04, 2016 at 06:49:50 (UTC)
Goto Top
Besten Dank Leute für die rasche Hilfe. Es klappt nun nach dem hinzufügen der Authenticated Users mit (lese) rechten.

Grüße
GermansolvedQuestionMicrosoft
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 5 Comments