Phiber2000 10 Geschrieben 16. Juli 2008 Melden Teilen Geschrieben 16. Juli 2008 Hallo! Folgendes Szenario: Es gibt eine Gruppenrichtlinie, die den Nachrichtendienst auf "Automatisch starten" stellt. Diese wurde unter XP SP2 korrekt angewendet - kein Problem. Nun kommt der WSUS und spielt auf den Clients SP3 drauf und startet neu. Maschinen laufen 2 Tage, ab und zu mit Neustarts und laufen perfekt, bis auf eine Kleinigkeit: Die Installation von SP3 stellte den Nachrichtendienst wieder auf deaktiviert - doch trotz der Gruppenrichtlinie wird das nicht korrigiert! Mit "gpupdate /force" macht er das dann aber. Die Frage: Wieso wird das nicht automatisch korrigiert, also die Richtlinie automatisch angewendet? Wie bringe ich meinen DC dazu die Clients die Richtlinien erneut anzuwenden ohne "gpupdate" an allen Clients manuell durchführen zu müssen?? Gruppenrichtlinien sollten doch sowohl beim Computerstart, Benutzeranmeldung und alle 90 Minuten automatisch angewendet werden... naja, ich denke Ihr wisst, worauf ich raus will... Vielen Dank im Voraus und Grüße Phiber Zitieren Link zu diesem Kommentar
mfischer70 12 Geschrieben 16. Juli 2008 Melden Teilen Geschrieben 16. Juli 2008 Hi, schau doch mal mit "gpresult" , ob der client die richtlinie überhaupt zieht und dann such im anwendungsprotokoll auf einem client mal nach fehlern mit quelle application management. vielleicht verhindert auch die aktivierte windows firewall (oder eine andere) auf den clients die anwendung der richtlinie? Zitieren Link zu diesem Kommentar
Phiber2000 10 Geschrieben 16. Juli 2008 Autor Melden Teilen Geschrieben 16. Juli 2008 Es stehen keine Abrufe im Ereignisprotokoll... (lasse nur Fehler loggen, also sind keine da.) Firewallproblem schließe ich aus, da ein manuelles "gpupdate /force" ja den erwarteten Erfolg bringt - da wird sie angewendet. Interessanterweise bringt ein ein einfaches "gpupdate" ohne "/force" keinen Erfolg. Kann es sein, dass der Zustand nicht mehr geprüft wird, sondern der Client nach dem Motto: "hab die Richtlinie schon mal angewendet, brauch ich nix mehr mit machen und guck nur nach neuen Richtlinien", was ja der Sinn des "/force" ist das zu überbrücken, verfahren wird?? – Ich habe das eben mal auf 2 VMs getestet: - Frisch installierter 2003-DC, frisch installiertes XP mit SP1 - Gruppenrichtlinie erstellt, die den Nachrichtendienst auf automatisch starten stellt -> wird wie gewünscht angewendet (automatisch bei PC-Start) - SP2 wird auf XP-Rechner installiert und deaktiviert den Nachrichtendienst -> bei automatischer Gruppenrichtlinienanwendung wird diese Richtlinie übersprungen -> "gpupdate /force" wendet die Richtlinie an ergo: Es liegt nicht speziell am SP3, sondern daran, dass der aktuelle Status der Gruppenrichtlinieneigenschaft nicht geprüft wird. Es kann doch nicht sein, dass ich jetzt im ganzen Netz an jedem Client ein "gpupdate /force" durchführen muss. Wenn ich das skripte, wäre die Wartezeit bei JEDEM Rechnerstart enorm hoch, da ein normales gpupdate meines Wissens inkrementell abläuft. Außerdem müsste ich darauf warten, bis ich sicher bin dass wirklich jeder Client das Skript einmal durchlaufen hat lassen bevor ich es wieder rausnehmen kann. Aber warum checkt der nicht, dass sich durch das SP-Aufspielen was an der Starteinstellung des Dienstes geändert hat?? Vorschläge?? Bitte... Ihr habt's doch drauf, das weiß ich!! ;) Zitieren Link zu diesem Kommentar
Phiber2000 10 Geschrieben 17. Juli 2008 Autor Melden Teilen Geschrieben 17. Juli 2008 :cry: :cry: :cry: :cry: Das Problem ist noch schlimmer als ich dachte und leicht reproduzierbar. Vergesst ServicePacks und Co: - Richtlinie erstellen, die z.B. den Nachrichtendienst auf "Automatisch starten" stellt - Richtlinie automatisch oder manuell anwenden lassen ->funktioniert - stellt manuell den Starttyp am Client auf einen anderen Wert -> die Richtlinie korrigiert dies nicht mehr... (außer mit manuellem /force) Könnt ihr das bestätigen? Hat jemand eine Idee? Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 17. Juli 2008 Melden Teilen Geschrieben 17. Juli 2008 - stellt manuell den Starttyp am Client auf einen anderen Wert -> die Richtlinie korrigiert dies nicht mehr... (außer mit manuellem /force) Könnt ihr das bestätigen? Hat jemand eine Idee? Jepp, ist so. Ab VISTA ist das AFAIR korrigiert. Die GPO wurde ja nicht verändert, deshalb meint der Client auch nichts verändern zu müssen. Wer sollte den Dienst auf Manuell setzen? Zitieren Link zu diesem Kommentar
Phiber2000 10 Geschrieben 17. Juli 2008 Autor Melden Teilen Geschrieben 17. Juli 2008 Das ist hart... @Sunny61: Vielen Dank schonmal!! Wer das ändern soll? Na die Installation des SP2 oder SP3!! Gibt es dazu einen Fix/KB-Artikel, welchen ich nicht finde?? Sinnvolle Workarounds?? Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 17. Juli 2008 Melden Teilen Geschrieben 17. Juli 2008 Wer das ändern soll? Na die Installation des SP2 oder SP3!! Eine Installation vom SP2 sollte heute schon durch sein. ;) Gibt es dazu einen Fix/KB-Artikel, welchen ich nicht finde?? Sinnvolle Workarounds?? Entweder ein GPUPDATE /FORCE in ein Startupscript einbauen oder den Zähler in der GPT.INI hochsetzen. Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 17. Juli 2008 Melden Teilen Geschrieben 17. Juli 2008 Eine Installation vom SP2 sollte heute schon durch sein. ;) Entweder ein GPUPDATE /FORCE in ein Startupscript einbauen oder den Zähler in der GPT.INI hochsetzen. Also Dienstekonfig zählt afair zu den Sicherheitsrichtlinien und "sollte eigentlich" spätestens nach 16h (default) auf den im GPO definierten Wert korrigiert werden. Ohne Änderung am GPO oder per gpupdate /force. Habs aber mit Sp3 noch nicht getestet. Aber in allen Umgebungen funktioniert das hier bspw. mit Eingeschränkten Benutzern. Ich definiere eine Gruppe die lokale Admins sind und kann an einem PC manuell einen User als zusätzlichen Admin einfügen. Nach 16h wird er automatisch entfernt. Bye Norbert – :cry: :cry: :cry: :cry: Heul nicht. ;) Das Problem ist noch schlimmer als ich dachte und leicht reproduzierbar. Vergesst ServicePacks und Co: - Richtlinie erstellen, die z.B. den Nachrichtendienst auf "Automatisch starten" stellt - Richtlinie automatisch oder manuell anwenden lassen ->funktioniert - stellt manuell den Starttyp am Client auf einen anderen Wert -> die Richtlinie korrigiert dies nicht mehr... (außer mit manuellem /force) Könnt ihr das bestätigen? Hat jemand eine Idee? Ja kann ich bestätigen. Ein GPO hat noch nie nach der erstmaligen Anwendung einen auf dem lokalen Client verdrehten Wert wieder korrigiert wenn du nicht gpupdate /force auf diesem Client anwendest, oder aber das GPO änderst (gpt.ini bspw.). Einzige Ausnahmen sind: - Sicherheitsrichtlinien werden nach 16h der Übernahme erneut angewandt - du definierst, dass die CSE (deiner Wahl) immer angewandt werden, auch wenn keine Änderung erfolgt. Bye Norbert Zitieren Link zu diesem Kommentar
Phiber2000 10 Geschrieben 17. Juli 2008 Autor Melden Teilen Geschrieben 17. Juli 2008 Nach 16 Stunden also... Ich sollte mich weniger um Probleme kümmern, offensichtlich lösen sich manche nun doch von alleine! ;) Erst mal vielen, vielen Dank an Sunny61 und NorbertFe!! (Das mit der SP2-Installation war übrigens nur ein Test um ein evtl. Problem bei SP3 mit auszuschließen. Keine Angst; SP2 ist seit Ewigkeiten geslipstreamt und im Image. Migration auf SP3 will halt sorgfältig vorbereitet sein. Deswegen der ganze Stress.) Letzte Frage, dann bin ich ruhig (hoffe ich): Bezüglich Norberts Vorschlag; wo definiere ich das allgemeine Anwenden der Client Side Extension und welche wäre das dann; Sind das nicht DLLs? So hätte übrigens mein Skript ausgesehen. Vielleicht kann's ja mal einer brauchen... rem @ECHO OFF :ProofWinVer ver | find "[Version 5." IF NOT ERRORLEVEL == 0 GOTO End sc query Messenger | find "[sC] QueryServiceConfig ERFOLG" IF NOT ERRORLEVEL == 0 GOTO End GOTO ProofScStat :ProofScStat sc qc Messenger | find "START_TYPE" | find "AUTO_START" IF %ERRORLEVEL% == 0 SET SetRunType=0 IF %ERRORLEVEL% == 1 SET SetRunType=1 sc query Messenger | find "STATE" | find "RUNNING" IF %ERRORLEVEL% == 0 SET SetRunState=0 IF %ERRORLEVEL% == 1 SET SetRunState=1 GOTO Handler :Handler IF %SetRunType% == 1 sc config Messenger start= auto IF %SetRunState% == 1 sc start Messenger :End SET SetRunType= SET SetRunState= Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 17. Juli 2008 Melden Teilen Geschrieben 17. Juli 2008 Letzte Frage, dann bin ich ruhig (hoffe ich):Bezüglich Norberts Vorschlag; wo definiere ich das allgemeine Anwenden der Client Side Extension und welche wäre das dann; Sind das nicht DLLs? In den Gruppenrichtlinien Kategorie Gruppenrichtlinien. Würde ich aber nur tun, wenn es dazu zwingende Gründe gibt. Und die sind bei dir, meiner Meinung nach, nicht gegeben. Bye Norbert Zitieren Link zu diesem Kommentar
Phiber2000 10 Geschrieben 17. Juli 2008 Autor Melden Teilen Geschrieben 17. Juli 2008 Wieder was gelernt. Du meintest: Administrative.Vorlagen/System/Gruppenrichtlinien/Registrierungsrichtlinienverarbeitung -> Option: "Gruppenrichtlinienobjekte auch ohne Änderungen bearbeiten" Korrekt?? Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 18. Juli 2008 Melden Teilen Geschrieben 18. Juli 2008 Wieder was gelernt.Du meintest: Administrative.Vorlagen/System/Gruppenrichtlinien/Registrierungsrichtlinienverarbeitung -> Option: "Gruppenrichtlinienobjekte auch ohne Änderungen bearbeiten" Korrekt?? Ja, wobei die Registrierungsrichtlinienverarbeitung jetzt nicht bei Dienstekonfigurationen helfen würde. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Phiber2000 10 Geschrieben 18. Juli 2008 Autor Melden Teilen Geschrieben 18. Juli 2008 Äh... ja... logisch! :suspect: Dann nehme ich jetzt die Sicherheitsrichtlinie, lasse das einen Monat so; und wenn einer merkt, dass er ein paar Messages halt nicht bekommt, freue ich mich über seinen Besuch. :D :D 1000-Dank an alle; insbesondere Norbert!! Viele Grüße Phiber --<< ERLEDIGT >>-- Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.