Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

GPO zieht nicht bei allen Nutzern!?

Frage Microsoft Windows Server

Mitglied: TBlinker

TBlinker (Level 1) - Jetzt verbinden

02.02.2009, aktualisiert 14:51 Uhr, 10929 Aufrufe, 10 Kommentare

Ich betreibe einige 2003 Terminalserver (Citrix Presentation Server). Um die Nutzerrechte einzuschränken habe ich eine Gruppenrichtlinie erstellt und dort sämtliche Restriktionen eingetragen. Bei den meisten Nutzern werden diese Einschränkungen auch ordnungsgemäß durchgeführt, bei einigen wenigen jedoch nicht. Bei dIesen Nutzer sind auch einige Rechte eingeschränkt, scheinbar von einer früheren Gruppenrichtlinie.

Da ich neben der "Default Domain Policy" nur noch meine "Terminalserverpolicy" habe und alle Nutzer nur in einer einzigen Gruppe enthalten sind, verstehe ich nicht, wie diese Unterschiede zustande kommen. Ein "gpresult" zeigt, dass die "Terminalserverpolicy" und (komischerweise) zweimal die "Default Domain Policy" angewendet wurden. Eine andere, ältere Richtlinie wird nicht angezeigt.

Werden denn irgendwelche Daten im Profil gespeichert, die durch die "Terminalserverpolicy" nicht überschrieben werden? Habt ihr ne Idee??
Mitglied: Logan000
02.02.2009 um 15:20 Uhr
Moin Moin

Werden denn irgendwelche Daten im Profil gespeichert, die durch die "Terminalserverpolicy" nicht überschrieben werden?
Nein, normalerweise nicht.

Da ich neben der "Default Domain Policy" nur noch meine "Terminalserverpolicy" habe und alle Nutzer nur in einer einzigen Gruppe enthalten sind, verstehe ich nicht, wie diese Unterschiede zustande kommen.
Außer der Gruppenzugehörigkeit spielt noch die OU Struktur eine Rolle. Hast Du evtl. eine "Sub" OU in der die Vererbung deaktiviert ist?

Hast du die GPMC installiert? Mach da mal einen Gruppenrichtlinienergebnis. Da erhälst du ein paar mehr Informationen aus via gpresult.

Gruß L.
Bitte warten ..
Mitglied: TBlinker
04.02.2009 um 08:57 Uhr
Hallo!

Soweit ich das jetzt sehe, wird bei den betroffenen Nutzern die eine Grupenrichtlinie nicht richtig abgearbeitet. In den Eigenschaften der Richtlinie ist zweifelsfrei die Gruppe eingetragen, in der sich alle Nutzer befinden. Selbst wenn ich einen Nutzer direkt dort eintrage, wird die Richtlinie nicht gezogen. Trotzdem taucht sie bei einem gpresult unter "Angewendete Gruppenrichtlinienobjekte" auf.



Gruppenrichtlinienergebnis folgt ....
Bitte warten ..
Mitglied: TBlinker
04.02.2009 um 09:10 Uhr
Ich habe gerade zwei Gruppenrichtlinienergebnissabfragen erstellt. Eine für einen Nutzer bei dem alles klappt und eben eine für einen Nutzer wo es nicht klappt. Im Bereich der Computerkonfiguration ist alles identisch. Im Bereich der Nutzerkonfiguration dagegen gibt es Unterschiede:

- Alle Einträge unter "Administrative Vorlagen" sind identisch
- Unter "Windows Einstellungen" habe ich ein Skript eingetragen. Beim funktionierenden User steht unter "zuletzt ausgeführt" ein Datum, beim nicht funktionierenden User dagegen nicht
- Alle Einträge unter "Windows Einstellungen"->"Internet Explorer Wartung" (Startseite, vorgegebene Favoriten) existieren nur beim funktionierenden User

Und, was mir gerade noch aufgefallen ist: die Einstellungen die beim nicht funktionierenden User im Gruppenrichtlinienergebnis angezeigt werden, werden in der Praxis nicht konfiguriert (beispielsweise ist "Taskmanager entfernen" oder "Laufwerke vom Arbeitsplatz nicht zulassen" aktiviert, auf beides hat der User aber Zugriff) !!


Das macht doch so keine Spaß, habt ihr ne Idee?
Bitte warten ..
Mitglied: Logan000
04.02.2009 um 09:38 Uhr
Moin Moin

Im Gruppenrichtlinienergebnis unter Zusammenfassung kannst du doch sehen welche Gruppenrichtlinien angewendet werden bzw welche nicht.
1. Gibt es da unterschiede bei den Ergebnisssätzen der beiden User?
2. Falls Gruppenrichtlinien abgelent wurden was steht da als Grund?

Hast du in der Zusammenfassung unter Komponentenstatus überall erfolgreich?

Gruß L.
Bitte warten ..
Mitglied: TBlinker
04.02.2009 um 10:31 Uhr
Hallo!

zu 1. : angewendet werden in beiden Fällen alle zugewiesenen Richtlinien. Aber eben bei dem nicht funktionierenden Nutzer nur ein Teil angezeigt (zb alles unter "Internet Explorer Wartung" nicht)

zu 2. : im Reiter "Zusammenfassung" gibts in beiden Fällen keine abgelehnten Gruppenrichtlinienobjekte (auch alles andere in der Zusammenfassung ist identisch).


Ich werd mal eine neue Richtlinie erstellen und zuweisen. Mal sehen ob da das gleiche Phänomen auftritt ....
Bitte warten ..
Mitglied: TBlinker
04.02.2009 um 10:54 Uhr
Zitat von TBlinker:

Ich werd mal eine neue Richtlinie erstellen und zuweisen. Mal sehen
ob da das gleiche Phänomen auftritt ....


Ich habe jetzt eine neue Richtlinie Test erstellt und in dieser unter "Benutzerkonfiguration->Windows-Einlstellungen->Internet Explorer-Wartung" einen neuen Favoriten eingefügt. Diese Richtlinie hab ich dann der entsprechenden Gruppe zugewiesen. Bei beiden Nutzern wurde per "gpupdate /force" aktualisiert und nach dem "gpresult" taucht die Richtlinie in beiden Fällen unter "angewendete Gruppenrichtlinienobjekte" auf.
Was soll ich sagen, bei dem funktionierenden Nutzer taucht der neue Favoriteneintrage im IExplorer auf, bei dem anderen nicht

Bitte warten ..
Mitglied: Logan000
04.02.2009 um 12:21 Uhr
Moin

Hmm so langsam bin ich ratlos.
Es muss irgendeinen unterschied zwischen den Benutzern geben der dieses extrem putzige Verhalten erklärt.

Vorschlag für einen Versuch:
Kopiere im AD mal ein funktionierenden User und einen nicht funktionierenden (also 2 neue User).
Zeigen die das gleiche Verhalten wie die Originale?

Gruß L.
Bitte warten ..
Mitglied: TBlinker
04.02.2009 um 16:34 Uhr
So, ich habe den Fehler deutlich eingrenzen können:

Ich habe das Profil des Problemnutzers auf dem Profileserver und den Terminalservern gelöscht, so dass es beim nächsten Anmelden neu erstellt wird. Und siehe da, alles ist so wie es sein soll !

Woran kann das liegen? Wär schön wenn ich die problematischen Dateien löschen / ändern könnte, dann brauch ich nicht bei allen betroffenen Nutzern das Profil löschen.
Bitte warten ..
Mitglied: Logan000
06.02.2009 um 14:27 Uhr
Moin

Ich wünscht ich wüste was da los ist.
Selbst wenn du Verbindliche Profile einsetzt sollten die Richtlinien greifen.

Wenn ich raten müste würde ich auf Fehlerhafte Rechte in der Registry (woher auch immer) tippen.
Aber diese wirst du im Profilordner so nicht finden.

Gruß L.
Bitte warten ..
Mitglied: TBlinker
09.02.2009 um 08:19 Uhr
Naja, solange es jetzt funktioniert, soll mir die eigentliche Ursache egal sein.

Ich danke dir für die Hilfe !!
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows XP
gelöst XP zieht keine GPO mehr, nur alte schon gezogene werden verwendet

Frage von Chonta zum Thema Windows XP ...

Windows Server
gelöst Skript per GPO ausführen - Berechtigungen? (13)

Frage von honeybee zum Thema Windows Server ...

Windows Server
gelöst Änderung eines Registryeintrages per GPO (15)

Frage von honeybee zum Thema Windows Server ...

Windows Server
GPO aktiv trotz Deaktivierung (7)

Frage von XxDarkAngelxX zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...