Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Trotz Löschung GPO immer noch aktiv

Frage Microsoft Windows Server

Mitglied: ozricXX

ozricXX (Level 1) - Jetzt verbinden

22.03.2012, aktualisiert 18.10.2012, 8117 Aufrufe, 30 Kommentare

Ein Proxy wurde per GPO an IE weitergegeben. Trotz Löschung der GPO Proxy jedes mal aktiv.

Guten Morgen,
ich kämpfe schon seit Wochen mit einem Problem in unserer Infrastruktur.

Via GPO war mal ein Proxy im IE der Clients eingetragen. DIeser wird nicht mehr benötigt (Hardware Gateway).
Nun, die GPO ist schon Wochen/Monate raus, trotzdem kommen oft Mitarbeiter die nicht surfen können, da der Proxy in den internetoptionen eingetragen ist.

Ich habe extra meinen Vorgänger angerufen, hätte ja sein können das er noch auf eine andere Art u. Weise ausgeliefert wird.
Aber er meinte es war nur die Richtlinie...

Hat jemand eine Idee wie mand as in den griff kriegt?

LG
30 Antworten
Mitglied: jsysde
22.03.2012 um 10:32 Uhr
Moin,

expected behaviour - durch das Löschen einer GPO werden die durch sie gemachten Einstellungen _NICHT!_ rückgängig gemacht!
Du hättest innerhalb der GPO die Einstellung auf "Nicht konfiguriert" setzen und die GPO dann anwenden müssen, dann wären die Einstellungen raus.

Cheers,
jsysde

EDIT:
Hat jemand eine Idee wie mand as in den griff kriegt?
Ja - neue GPO erstellen und die Einstellungen darüber "rauskonfigurieren"; ggf. "Erzwingen" für diese GPO einstellen.
Bitte warten ..
Mitglied: ozricXX
22.03.2012 um 10:39 Uhr
Zitat von jsysde:
Moin,

expected behaviour - durch das Löschen einer GPO werden die durch sie gemachten Einstellungen _NICHT!_ rückgängig
gemacht!
Du hättest innerhalb der GPO die Einstellung auf "Nicht konfiguriert" setzen und die GPO dann anwenden müssen,
dann wären die Einstellungen raus.

Cheers,
jsysde

EDIT:
> Hat jemand eine Idee wie mand as in den griff kriegt?
Ja - neue GPO erstellen und die Einstellungen darüber "rauskonfigurieren"; ggf. "Erzwingen" für
diese GPO einstellen.

Hallo, danke für die Antwort.

Ich habe unter Benutzerkonfiguration-Einstellungen-Systemsteuerungseinstellungen-Internetexplorer unter den Lan Einstellungen den Proxy deaktiviert.

Wo sollte ich es denn noch machen?
Bitte warten ..
Mitglied: jsysde
22.03.2012 um 10:41 Uhr
Moin,

Ich habe unter Benutzerkonfiguration-Einstellungen-Systemsteuerungseinstellungen-Internetexplorer unter den Lan Einstellungen den
Proxy deaktiviert.
Wie das, ich dachte, die GPO wäre gelöscht?
Oder hast du bereits eine neue GPO angelegt?

Cheers,
jsysde
Bitte warten ..
Mitglied: ozricXX
22.03.2012 um 10:51 Uhr
Habe mich unklar ausgedrückt, habe die alte GPO umkonfiguriert.

Grüße,
ozric
Bitte warten ..
Mitglied: d4shoerncheN
22.03.2012 um 11:01 Uhr
Wird die GPO den angewandt?
Was sagt die Ausgabe von
C:\>gpresult /H GPReport.html
Bitte warten ..
Mitglied: DerWoWusste
22.03.2012 um 11:09 Uhr
@jsysde
expected behaviour - durch das Löschen einer GPO werden die durch sie gemachten Einstellungen _NICHT!_ rückgängig gemacht!
Oh oh... gefährliches Halbwissen macht sich breit. Das stimmt längst nicht mehr.
http://www.gpoguy.com/FAQs/Whitepapers/tabid/63/articleType/ArticleView ...
Bitte warten ..
Mitglied: ozricXX
22.03.2012 um 11:23 Uhr
Zitat von d4shoerncheN:
Wird die GPO den angewandt?
Was sagt die Ausgabe von
> C:\>gpresult /H GPReport.html

Dort hat er den Proxy unter Benutzerkonfiguration-Windows-Einstellungen-Internet Explorer-Wartung-Verbindung-Proxyeinstellungen den alten Proxy. Aber auf dem DC ist kein Häckchen in Proxyserver verwenden und alles ausgegraut...
Sehr strange.
Bitte warten ..
Mitglied: d4shoerncheN
22.03.2012 um 11:25 Uhr
Zitat von ozricXX:
> Zitat von d4shoerncheN:
> ----
> Wird die GPO den angewandt?
> Was sagt die Ausgabe von
> > C:\>gpresult /H GPReport.html

Dort hat er den Proxy unter Benutzerkonfiguration-Windows-Einstellungen-Internet Explorer-Wartung-Verbindung-Proxyeinstellungen
den alten Proxy. Aber auf dem DC ist kein Häckchen in Proxyserver verwenden und alles ausgegraut...
Sehr strange.
Mal am Client "gpupdate /force" ausgeführt. Eigentlich sollte er sich alle 90 Minuten die neuen GPO's holen, aber vielleicht gibt es da Probleme.
Bitte warten ..
Mitglied: jsysde
22.03.2012 um 13:36 Uhr
@DerWoWusste:
Netter Text, aber irgendwie finde ich den Bezug nicht so ganz. Davon abgesehen: Halbwissen?
Genau die vom TE angefragte Einstellung wird definitiv _NICHT!_ gelöscht, wenn man die zu Grunde liegende GPO entfernt.

Cheers,
jsysde
Bitte warten ..
Mitglied: DerWoWusste
22.03.2012 um 13:40 Uhr
Hi.

Ich schätze, Du hast es in der Zwischenzeit getestet?
Im Normalfall wird, wie auch im verlinkten Text und bei MS nachzulesen ist, kein Tattooing der registry durchgeführt. Wird eine Policy nicht mehr angewendet, wird in der registry automatisch aufgeräumt und auf Null gesetzt - ein Überschreiben/Negieren/Enforcen ist definitiv nicht nötig.
Bitte warten ..
Mitglied: jsysde
22.03.2012 um 13:43 Uhr
Moin,

Ich schätze, Du hast es in der Zwischenzeit getestet?
Da brauchte ich nicht viel testen, wir haben grad in einem Kundennetz genau diesen Fall gehabt. Die Lösung war eben, eine neue GPO zu erstellen, in der diese Werte auf "Nicht konfiguriert" gestellt sind und deren Anwendung zu erzwingen.

Ich weiß, warum ich wpad mag.

Cheers,
jsysde
Bitte warten ..
Mitglied: DerWoWusste
22.03.2012 um 14:07 Uhr
Gut, bei Euch war es so. Aber, wie Du an besagten Stellen und auch bei MS nachlesen kannst: das ist nicht normal. Deshalb habe ich widersprochen. Ich habe es getestet, ja.
Bitte warten ..
Mitglied: ozricXX
22.03.2012 um 14:43 Uhr
Zitat von d4shoerncheN:
> Zitat von ozricXX:
> ----
> > Zitat von d4shoerncheN:
> > ----
> > Wird die GPO den angewandt?
> > Was sagt die Ausgabe von
> > > C:\>gpresult /H GPReport.html
>
> Dort hat er den Proxy unter Benutzerkonfiguration-Windows-Einstellungen-Internet
Explorer-Wartung-Verbindung-Proxyeinstellungen
> den alten Proxy. Aber auf dem DC ist kein Häckchen in Proxyserver verwenden und alles ausgegraut...
> Sehr strange.
Mal am Client "gpupdate /force" ausgeführt. Eigentlich sollte er sich alle 90 Minuten die neuen GPO's holen,
aber vielleicht gibt es da Probleme.

Jep, mit gpupdate /force hats geklappt.

WO kann das Problem liegen? Kann ja jetzt nicht immer den Befehl ausführen.

Vielöe Grüße
Bitte warten ..
Mitglied: d4shoerncheN
22.03.2012 um 14:47 Uhr
Siehe Post unten!
Bitte warten ..
Mitglied: ozricXX
22.03.2012 um 15:14 Uhr
Es funktioniert ja, wenn ich eben gpupdate /force am Client eingebe.
Aber es sollte natürlich automatisch funktionieren. Wo könnte da der Fehle rliegen?

LG
Bitte warten ..
Mitglied: d4shoerncheN
22.03.2012 um 15:15 Uhr
Sind die Clients in der Domäne integriert? Wie gesagt, alle integrierten Clients ziehen sich alle 90 Minuten die neuen Richtlinien. Bei DC alle 5 Minuten. Zumindest ist das mein letzter Stand.
Bitte warten ..
Mitglied: ozricXX
22.03.2012 um 15:16 Uhr
Ja, die Clients sind in der Domäne integriert.

Tut mir leid, überlesen :X
Bitte warten ..
Mitglied: d4shoerncheN
22.03.2012 um 15:18 Uhr
Hier einmal schauen, welche Werte hinterlegt sind:

Für Computer:
computerkonfiguration -> adm. vorlagen -> system -> gruppenrichtlinien -> aktualisierungsintervall für computer

Für DC's:
computerkonfiguration -> adm. vorlagen -> system -> gruppenrichtlinien -> aktualisierungsintervall für domänencontroller

Für User:
benutzerkonfiguration -> adm. vorlagen -> system -> gruppenrichtlinien -> aktualisierungsintervall für benutzer


Eventuell mal das hier testen, aber nur im Notfall und vorher Sicherung der Registry
http://wiki.winboard.org/index.php/Aktualisierungsrate_der_Gruppenricht ...
Bitte warten ..
Mitglied: ozricXX
22.03.2012 um 15:19 Uhr
Stehen alle auf Nicht konfiguriert. Zwingend erforderlich es jetzt zu konfigurieren? Oder sollten die Default Zeiten greifen?
Bitte warten ..
Mitglied: d4shoerncheN
22.03.2012 um 15:21 Uhr
Generell sollten die Defaultwerte greifen. Mal in der Ereignisanzeige des SBS geschaut, ob dort Fehler zu finden sind?

Sind für deine individuellen Einstellungen neue Gruppenrichtlinien angelegt worden, oder wurden die Defaults angepasst?

Ansonsten musst du den Befehl ja "nur" bei Neuerungen durchführen. Die Einstellungen behalten die Clients ja bei.
Bitte warten ..
Mitglied: ozricXX
22.03.2012 um 15:26 Uhr
Zitat von d4shoerncheN:
Generell sollten die Defaultwerte greifen. Mal in der Ereignisanzeige des SBS geschaut, ob dort Fehler zu finden sind?

Sind für deine individuellen Einstellungen neue Gruppenrichtlinien angelegt worden, oder wurden die Defaults angepasst?

Ansonsten musst du den Befehl ja "nur" bei Neuerungen durchführen. Die Einstellungen behalten die Clients ja bei.

In der Ereignisanzeige fällt nichts auf...

Es wurde (von meinem Vorgänger) Neue erstellt, wie ich das so sehe.
Naja, trotzdem, bei knapp 200 Rechnern immer den Befehl ausführen und kontrollieren, auf Dauer etwas doof.
Bitte warten ..
Mitglied: d4shoerncheN
22.03.2012 um 15:28 Uhr
Alternativ eine Gruppenrichtline erstellen, wo nach dem Bootvorgang ein Anmeldescript gestartet wird. Erstmal mit einem Computer testen, dieses Anmeldescript beinhaltet dann den oben geschriebenen Befehl. Wobei die Clients dieses eigentlich nach jedem Neustart automatisch eh aktualisieren sollten.

Vllt. hat jemand aus dem Forum hier ja noch eine konstruktive Lösung, wie man das Problem beheben kann. Denn mir ist sowas noch nicht bekannt, dass ein Client die GPO's nicht aktualisiert.
Bitte warten ..
Mitglied: DerWoWusste
22.03.2012 um 15:51 Uhr
An jsysde und den Threadersteller:
Ich muss noch etwas revidieren: In meinem Link steht:
Any registry values placed under one of these 4 keys will be removed when the policy no longer applies. These 4 keys are:

HKEY_LOCAL_MACHINE\Software\Policies
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
HKEY_CURRENT_USER\Software\Policies
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

Dies trifft in diesem speziellen Fall nicht zu, da diese spezielle Policy gar nicht diesen Pfad verwendet! Deshalb ist es in der Tat so, wie jsysde empfiehlt - in diesem Fall muss überschrieben werden oder, wie der Threadersteller selbst bemerkt hat, forciert eingelesen werden über gpupdate /force. Generell jedoch, jsysde, ist Dein Hinweis mit dem "_NICHT_..." _NICHT KORREKT_
Bitte warten ..
Mitglied: ozricXX
22.03.2012 um 16:17 Uhr
Was mich interessieren würde...

Wie kann ich die Regel überschreiben lassen? (Es gibt ja nur Hacken gesetzt bzw nicht gesetzt, kann ja kein 0 als Proxyserver eintragen).

Bin ich dazu gezwungen jetzt per Anmeldescript alle Clients zu forcen?

Viele Grüße
Bitte warten ..
Mitglied: DerWoWusste
22.03.2012 um 16:23 Uhr
Doch, Du kannst einen leeren Eintrag setzen lassen ->Haken setzen und nichts eintragen.
Bitte warten ..
Mitglied: ozricXX
22.03.2012 um 16:29 Uhr
Okay, Danke !

Aber ich glaube das Problem ist damit nicht geklärt. Mir ist aufgefallen das for dem gpupdate /force auch andere Einstellungen (Drucker zb) geladen waren, nach dem gpupdate dann die aktuellen.
Also kann es (so denke ich, bin kein Experte) ja nicht nur an dieser Regel hängen?
Bitte warten ..
Mitglied: DerWoWusste
22.03.2012 um 16:43 Uhr
Die Wege des Herrn mögen unergründlich sein...

vielleicht als Kompromiss einfach einen geplanten Task erstellen, der gpupdate /force einmal täglich um Highnoon absetzt? Geht über Group Policy Preferences und nimmt den "currently logged on user" (wobei der Admin dessen Kennwort nicht zu kennen braucht, einfach default settings wählen).
Bitte warten ..
Mitglied: ozricXX
22.03.2012, aktualisiert 18.10.2012
Zitat von DerWoWusste:
Die Wege des Herrn mögen unergründlich sein...

vielleicht als Kompromiss einfach einen geplanten Task erstellen, der gpupdate /force einmal täglich um Highnoon absetzt?
Geht über Group Policy Preferences und nimmt den "currently logged on user" (wobei der Admin dessen Kennwort nicht
zu kennen braucht, einfach default settings wählen).

Könnte ich nicht gpupdate /force in die aktuellen netlogon Scripts setzen (Die bringen das Laufwerksmapping etc.)?

http://www.administrator.de/forum/prim%c3%a4ren-dc-neu-einrichten%3f-18 ...

Hoffe die Aktion bringt das ganze wieder in eine saubere Bahn.
Bitte warten ..
Mitglied: DerWoWusste
22.03.2012 um 17:41 Uhr
Doch klar. Nur verlängert das Ganze evtl. die Anmeldezeit. Mittags würde es wohl weniger auffallen. Kommt drauf an, wieviele Policies das sind und wie stark die PCs und vor allem, wie ungeduldig die User ;)
Bitte warten ..
Mitglied: holli.zimmi
04.03.2016 um 12:58 Uhr
Hi,

was ist mit diesen regestry Schlüsseln:
KEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\

und

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy\

Gruß

Holli
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
GPO aktiv trotz Deaktivierung (7)

Frage von XxDarkAngelxX zum Thema Windows Server ...

Windows Server
gelöst Skript per GPO ausführen - Berechtigungen? (13)

Frage von honeybee zum Thema Windows Server ...

Windows 10
Problem: einzige Konto gesperrt + Bitlocker aktiv (14)

Frage von Windows11 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...

Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...

Windows Server
Suche passender Treiber (12)

Frage von stolli zum Thema Windows Server ...