10
GPO zieht nicht bei allen Nutzern!?
Ich betreibe einige 2003 Terminalserver (Citrix Presentation Server). Um die Nutzerrechte einzuschränken habe ich eine Gruppenrichtlinie erstellt und dort sämtliche Restriktionen eingetragen. Bei den meisten Nutzern werden diese Einschränkungen auch ordnungsgemäß durchgeführt, bei einigen wenigen jedoch nicht. Bei dIesen Nutzer sind auch einige Rechte eingeschränkt, scheinbar von einer früheren Gruppenrichtlinie.
Da ich neben der "Default Domain Policy" nur noch meine "Terminalserverpolicy" habe und alle Nutzer nur in einer einzigen Gruppe enthalten sind, verstehe ich nicht, wie diese Unterschiede zustande kommen. Ein "gpresult" zeigt, dass die "Terminalserverpolicy" und (komischerweise) zweimal die "Default Domain Policy" angewendet wurden. Eine andere, ältere Richtlinie wird nicht angezeigt.
Werden denn irgendwelche Daten im Profil gespeichert, die durch die "Terminalserverpolicy" nicht überschrieben werden? Habt ihr ne Idee??
Da ich neben der "Default Domain Policy" nur noch meine "Terminalserverpolicy" habe und alle Nutzer nur in einer einzigen Gruppe enthalten sind, verstehe ich nicht, wie diese Unterschiede zustande kommen. Ein "gpresult" zeigt, dass die "Terminalserverpolicy" und (komischerweise) zweimal die "Default Domain Policy" angewendet wurden. Eine andere, ältere Richtlinie wird nicht angezeigt.
Werden denn irgendwelche Daten im Profil gespeichert, die durch die "Terminalserverpolicy" nicht überschrieben werden? Habt ihr ne Idee??
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 107822
Url: https://administrator.de/contentid/107822
Printed on: April 24, 2024 at 23:04 o'clock
10 Comments
Latest comment
Moin Moin
Hast du die GPMC installiert? Mach da mal einen Gruppenrichtlinienergebnis. Da erhälst du ein paar mehr Informationen aus via gpresult.
Gruß L.
Werden denn irgendwelche Daten im Profil gespeichert, die durch die "Terminalserverpolicy" nicht überschrieben werden?
Nein, normalerweise nicht.Da ich neben der "Default Domain Policy" nur noch meine "Terminalserverpolicy" habe und alle Nutzer nur in einer einzigen Gruppe enthalten sind, verstehe ich nicht, wie diese Unterschiede zustande kommen.
Außer der Gruppenzugehörigkeit spielt noch die OU Struktur eine Rolle. Hast Du evtl. eine "Sub" OU in der die Vererbung deaktiviert ist?Hast du die GPMC installiert? Mach da mal einen Gruppenrichtlinienergebnis. Da erhälst du ein paar mehr Informationen aus via gpresult.
Gruß L.
Hallo!
Soweit ich das jetzt sehe, wird bei den betroffenen Nutzern die eine Grupenrichtlinie nicht richtig abgearbeitet. In den Eigenschaften der Richtlinie ist zweifelsfrei die Gruppe eingetragen, in der sich alle Nutzer befinden. Selbst wenn ich einen Nutzer direkt dort eintrage, wird die Richtlinie nicht gezogen. Trotzdem taucht sie bei einem gpresult unter "Angewendete Gruppenrichtlinienobjekte" auf.
Gruppenrichtlinienergebnis folgt ....
Soweit ich das jetzt sehe, wird bei den betroffenen Nutzern die eine Grupenrichtlinie nicht richtig abgearbeitet. In den Eigenschaften der Richtlinie ist zweifelsfrei die Gruppe eingetragen, in der sich alle Nutzer befinden. Selbst wenn ich einen Nutzer direkt dort eintrage, wird die Richtlinie nicht gezogen. Trotzdem taucht sie bei einem gpresult unter "Angewendete Gruppenrichtlinienobjekte" auf.
Gruppenrichtlinienergebnis folgt ....
Ich habe gerade zwei Gruppenrichtlinienergebnissabfragen erstellt. Eine für einen Nutzer bei dem alles klappt und eben eine für einen Nutzer wo es nicht klappt. Im Bereich der Computerkonfiguration ist alles identisch. Im Bereich der Nutzerkonfiguration dagegen gibt es Unterschiede:
- Alle Einträge unter "Administrative Vorlagen" sind identisch
- Unter "Windows Einstellungen" habe ich ein Skript eingetragen. Beim funktionierenden User steht unter "zuletzt ausgeführt" ein Datum, beim nicht funktionierenden User dagegen nicht
- Alle Einträge unter "Windows Einstellungen"->"Internet Explorer Wartung" (Startseite, vorgegebene Favoriten) existieren nur beim funktionierenden User
Und, was mir gerade noch aufgefallen ist: die Einstellungen die beim nicht funktionierenden User im Gruppenrichtlinienergebnis angezeigt werden, werden in der Praxis nicht konfiguriert (beispielsweise ist "Taskmanager entfernen" oder "Laufwerke vom Arbeitsplatz nicht zulassen" aktiviert, auf beides hat der User aber Zugriff) !!
Das macht doch so keine Spaß, habt ihr ne Idee?
- Alle Einträge unter "Administrative Vorlagen" sind identisch
- Unter "Windows Einstellungen" habe ich ein Skript eingetragen. Beim funktionierenden User steht unter "zuletzt ausgeführt" ein Datum, beim nicht funktionierenden User dagegen nicht
- Alle Einträge unter "Windows Einstellungen"->"Internet Explorer Wartung" (Startseite, vorgegebene Favoriten) existieren nur beim funktionierenden User
Und, was mir gerade noch aufgefallen ist: die Einstellungen die beim nicht funktionierenden User im Gruppenrichtlinienergebnis angezeigt werden, werden in der Praxis nicht konfiguriert (beispielsweise ist "Taskmanager entfernen" oder "Laufwerke vom Arbeitsplatz nicht zulassen" aktiviert, auf beides hat der User aber Zugriff) !!
Das macht doch so keine Spaß, habt ihr ne Idee?
Moin Moin
Im Gruppenrichtlinienergebnis unter Zusammenfassung kannst du doch sehen welche Gruppenrichtlinien angewendet werden bzw welche nicht.
1. Gibt es da unterschiede bei den Ergebnisssätzen der beiden User?
2. Falls Gruppenrichtlinien abgelent wurden was steht da als Grund?
Hast du in der Zusammenfassung unter Komponentenstatus überall erfolgreich?
Gruß L.
Im Gruppenrichtlinienergebnis unter Zusammenfassung kannst du doch sehen welche Gruppenrichtlinien angewendet werden bzw welche nicht.
1. Gibt es da unterschiede bei den Ergebnisssätzen der beiden User?
2. Falls Gruppenrichtlinien abgelent wurden was steht da als Grund?
Hast du in der Zusammenfassung unter Komponentenstatus überall erfolgreich?
Gruß L.
Hallo!
zu 1. : angewendet werden in beiden Fällen alle zugewiesenen Richtlinien. Aber eben bei dem nicht funktionierenden Nutzer nur ein Teil angezeigt (zb alles unter "Internet Explorer Wartung" nicht)
zu 2. : im Reiter "Zusammenfassung" gibts in beiden Fällen keine abgelehnten Gruppenrichtlinienobjekte (auch alles andere in der Zusammenfassung ist identisch).
Ich werd mal eine neue Richtlinie erstellen und zuweisen. Mal sehen ob da das gleiche Phänomen auftritt ....
zu 1. : angewendet werden in beiden Fällen alle zugewiesenen Richtlinien. Aber eben bei dem nicht funktionierenden Nutzer nur ein Teil angezeigt (zb alles unter "Internet Explorer Wartung" nicht)
zu 2. : im Reiter "Zusammenfassung" gibts in beiden Fällen keine abgelehnten Gruppenrichtlinienobjekte (auch alles andere in der Zusammenfassung ist identisch).
Ich werd mal eine neue Richtlinie erstellen und zuweisen. Mal sehen ob da das gleiche Phänomen auftritt ....
Ich werd mal eine neue Richtlinie erstellen und zuweisen. Mal sehen
ob da das gleiche Phänomen auftritt ....
ob da das gleiche Phänomen auftritt ....
Ich habe jetzt eine neue Richtlinie Test erstellt und in dieser unter "Benutzerkonfiguration->Windows-Einlstellungen->Internet Explorer-Wartung" einen neuen Favoriten eingefügt. Diese Richtlinie hab ich dann der entsprechenden Gruppe zugewiesen. Bei beiden Nutzern wurde per "gpupdate /force" aktualisiert und nach dem "gpresult" taucht die Richtlinie in beiden Fällen unter "angewendete Gruppenrichtlinienobjekte" auf.
Was soll ich sagen, bei dem funktionierenden Nutzer taucht der neue Favoriteneintrage im IExplorer auf, bei dem anderen nicht
Moin
Hmm so langsam bin ich ratlos.
Es muss irgendeinen unterschied zwischen den Benutzern geben der dieses extrem putzige Verhalten erklärt.
Vorschlag für einen Versuch:
Kopiere im AD mal ein funktionierenden User und einen nicht funktionierenden (also 2 neue User).
Zeigen die das gleiche Verhalten wie die Originale?
Gruß L.
Hmm so langsam bin ich ratlos.
Es muss irgendeinen unterschied zwischen den Benutzern geben der dieses extrem putzige Verhalten erklärt.
Vorschlag für einen Versuch:
Kopiere im AD mal ein funktionierenden User und einen nicht funktionierenden (also 2 neue User).
Zeigen die das gleiche Verhalten wie die Originale?
Gruß L.
So, ich habe den Fehler deutlich eingrenzen können:
Ich habe das Profil des Problemnutzers auf dem Profileserver und den Terminalservern gelöscht, so dass es beim nächsten Anmelden neu erstellt wird. Und siehe da, alles ist so wie es sein soll !
Woran kann das liegen? Wär schön wenn ich die problematischen Dateien löschen / ändern könnte, dann brauch ich nicht bei allen betroffenen Nutzern das Profil löschen.
Ich habe das Profil des Problemnutzers auf dem Profileserver und den Terminalservern gelöscht, so dass es beim nächsten Anmelden neu erstellt wird. Und siehe da, alles ist so wie es sein soll !
Woran kann das liegen? Wär schön wenn ich die problematischen Dateien löschen / ändern könnte, dann brauch ich nicht bei allen betroffenen Nutzern das Profil löschen.
Moin
Ich wünscht ich wüste was da los ist.
Selbst wenn du Verbindliche Profile einsetzt sollten die Richtlinien greifen.
Wenn ich raten müste würde ich auf Fehlerhafte Rechte in der Registry (woher auch immer) tippen.
Aber diese wirst du im Profilordner so nicht finden.
Gruß L.
Ich wünscht ich wüste was da los ist.
Selbst wenn du Verbindliche Profile einsetzt sollten die Richtlinien greifen.
Wenn ich raten müste würde ich auf Fehlerhafte Rechte in der Registry (woher auch immer) tippen.
Aber diese wirst du im Profilordner so nicht finden.
Gruß L.
Naja, solange es jetzt funktioniert, soll mir die eigentliche Ursache egal sein.
Ich danke dir für die Hilfe !!
Ich danke dir für die Hilfe !!
