stephan_1975 0 Geschrieben 20. August 2014 Melden Teilen Geschrieben 20. August 2014 Hallo liebe MCSE-Spezialisten, ich habe hier ein Poblem, an dem ich mir nun schon seit zwei Wochen die Zähne ausbeiße. Es geht um folgende Rahmenbedingung: - Benutzer befinden sich in einer Benutzer-OU - Rechner befinden sich in einer Computer-OU (genannt "PC") - Gruppenrichtlinien werden vererbt - Server ist Windows Server 2008 R2 - Replikationsdienste funktionieren ohne Probleme Die GPO, um die es geht, besitzt ausschließlich Benutzer-Einstellungen. Sie ist in der Gruppenrichtlinienverwaltung an die Benutzer-OU deligiert. Als Sicherheitsgruppen-Mitgliedschaft wurde Authentifizierte Benutzer angegeben. Die GPO ist aktiviert (sowohl Benutzer- als auch Computer-Einstellungen). Wenn sich nun ein Benutzer, welcher der oben beschriebenen Benutzer-OU angehört, anmeldet, wird die GPO jedoch nicht angewandt. Das wird noch nicht einmal versucht, das heißt, sie wird nicht angewendet und auch nicht abgelehnt. Extrem strange ist folgendes Verhalten: Befindet sich die GPO in der PC-OU, so wird sie angewandt. Wie oben schon beschrieben ist die Vererbung aktiviert. Vielleicht hat jemand von euch irgendeinen Tipp, wo ich mit der Suche anfangen soll. Vielen Dank für eure Hilfe schon vorab! Grüße Stephan Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 20. August 2014 Melden Teilen Geschrieben 20. August 2014 Moin, was gibt dir gpresult /r aus, wenn du als Benutzer aus der Benutzer-OU angemeldet bist? Was genau meinst du mit "Befindet sich die GPO in der PC-OU, so wird sie angewandt."? Wenn in der PC-OU nur Rechner sind und das GPO nur Benutzereinstelllungen sind, kann das ja nicht sein. Gruß, Nils Zitieren Link zu diesem Kommentar
stephan_1975 0 Geschrieben 20. August 2014 Autor Melden Teilen Geschrieben 20. August 2014 Hallo Nils, danke für die zügige Antwort. Hier kommt die Ausgabe von gpresult /r: ---- schnipp ---- Betriebssystem Microsoft ® Windows ® Gruppenrichtlinienergebnis-Tool v2.0Copyright © Microsoft Corp. 1981-2001Am 20.08.2014, um 14:59:07 erstelltRSOP-Daten fr BS-PAN\ar-demo-sh11 auf AR-201-LH01: Protokollmodus-------------------------------------------------------------------Betriebssystemkonfiguration: Mitglied der Dom„ne/ArbeitsgruppeBetriebssystemversion: 6.1.7601Standortname: Nicht zutreffendZwischengespeichertes Profil:Nicht zutreffendLokales Profil: C:\Users\ar-demo-sh11Langsame Verbindung? NeinBENUTZEREINSTELLUNGEN---------------------- CN=ar-demo-sh11,OU=SH,OU=AR,OU=BS,DC=bs-pan,DC=local Letzte Gruppenrichtlinienanwendung: 20.08.2014, um 14:57:18 Gruppenrichtlinieanwendung von: DCAR02.bs-pan.local Schwellenwert fr langsame Verbindung:500 kbps Dom„nenname: BS-PAN Dom„nentyp: Windows 2000 Angewendete Gruppenrichtlinienobjekte -------------------------------------- Default Domain Policy GPO-PC-W7 Default Domain Policy GPO-AR-Printers GPO-RS Richtlinien der lokalen Gruppe Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet. ---------------------------------------------------------------------- Desktop Authority 32bit Client Install Filterung: Verweigert (WMI-Filter) WMI-Filter: Desktop Authority 32bit Systems Desktop Authority 64bit Client Install Filterung: Nicht angewendet (Leer) Desktop Authority 32bit Client Install Filterung: Verweigert (WMI-Filter) WMI-Filter: Desktop Authority 32bit Systems Desktop Authority 64bit Client Install Filterung: Nicht angewendet (Leer) GPO-AR-PC Filterung: Deaktiviert (Gruppenrichtlinienobjekt) Desktop Authority 64bit Client Install Filterung: Nicht angewendet (Leer) Desktop Authority 32bit Client Install Filterung: Verweigert (WMI-Filter) WMI-Filter: Desktop Authority 32bit Systems Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen ---------------------------------------------------------- Dom„nen-Benutzer Jeder Benutzer INTERAKTIV KONSOLENANMELDUNG Authentifizierte Benutzer Diese Organisation LOKAL ar_sh_gl ar_sh_drucker_lo mb_sh_drucker_lo ar_sh_lo Mittlere Verbindlichkeitsstufe ---- schnapp ---- Wichtig aus meiner Sicht ist folgendes: Der Benutzer "ar-demo-sh11" ist der OU "SH" zugeordnet. Der PC, an dem sich er Benutzer einloggt, ist einer Untereinheit der OU "PC" zugeordnet. Die Gruppenrichtlinie GPO-PC-W7 ist für die OU PC und ihre Untereinheiten (über Vererbung) zugeordnet und wird folgerichtig angewendet. Die fragliche GPO nennt sich "GPO-AR-SH-Neu". Sie enthält ausschließlich Benutzereinstellungen. Diese GPO ist an die OU "SH", in der sich ausschließlich Benutzer befinden, deligiert. Leider wird sie aber nicht gezogen, das heißt, sie wird weder angewendet noch abgeleht - siehe gpresult /r . Verschiebe ich die GPO jedoch in die GPO "PC", so kommt sie zur Anwendung. Offensichtlich geschieht dies über den PC (hier: AR-201-LH01), welcher einer Untereinheit der OU "PC" zugeordnet ist. Allmählich reift in mir der Verdacht, dass hier irgendetwas mit einer Art "Loopback" oder etwas ähnlichem geschieht! Grüße Stephan Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 20. August 2014 Melden Teilen Geschrieben 20. August 2014 Allmählich reift in mir der Verdacht, dass hier irgendetwas mit einer Art "Loopback" oder etwas ähnlichem geschieht! Dann lies dich hier ein: http://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loopback-processing-mode/ Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 20. August 2014 Melden Teilen Geschrieben 20. August 2014 Moin, wie sehen die Berechtigungen für das fragliche GPO aus? Damit meine ich in der GPMC nicht "vorne" unter Bereich/Sicherheitsfilterung, sondern "hinten" unter Delegierung. Wenn du dort unten auf den Button Erweitert klickst, siehst du die Berechtigungen im Detail. Dort was Auffälliges? Damit ein GPO angewendet wird, müssen sowohl das Recht "Lesen" als auch das Recht "Gruppenrichtlinie übernehmen" gewährt sein. Gruß, Nils Zitieren Link zu diesem Kommentar
daabm 1.348 Geschrieben 22. August 2014 Melden Teilen Geschrieben 22. August 2014 ...und auch wenn hier vmtl. nix mehr kommt :cry: 1. gpresult in einer Admin-Commandline hätte uns auch die Computer-GPOs gezeigt 2. Loopback "replace" ist bekannt für unerwartete, aber nachvollziehbare Ergebnisse... :cool: Zitieren Link zu diesem Kommentar
stephan_1975 0 Geschrieben 24. August 2014 Autor Melden Teilen Geschrieben 24. August 2014 Hallo zusammen, vielen Dank für die Antworten. Mittlerweile habe ich herausgefunden, dass das Problem an gleich mehreren Stellen gelegen hat: 1. Ganz oben im Stamm der Struktur war in der Default Domain Policy Loopback aktiviert. Der Grund lag in einer Mischung aus Windows XP und Windows 7 Rechnern und Benutzern in einer Domäne, Loopback hatte also seinen Sinn. Nachdem es nun aber keine Windows XP Rechner mehr gibt, habe ich Loopback jetzt deaktiviert. 2. Ein weiteres Problem liegt hier offensichtlich im Bereich der Replikation der Server. Auch hier musste ich - es ist eine Domäne, die im Jahr 2004 entstanden ist - bei der Revision einige Einstellungen abändern, damit es jetzt wieder vernünftig läuft. Vermutlich wäre es besser gewesen, ich hätte die Domäne komplett neu gemacht. Aufgrund der Vielzahl an Rechnern (hier: insgesamt etwa 150) und Benutzern (insgesamt etwa 2000) scheue ich sowas aber. Eine Totalrevision ist aber für das kommende Jahr im August geplant. Grüße Stephan Zitieren Link zu diesem Kommentar
daabm 1.348 Geschrieben 24. August 2014 Melden Teilen Geschrieben 24. August 2014 "Loopback hatte also seinen Sinn" - das stelle ich mal in Frage. In der DDP hat es den garantiert nicht... Und mit "Mischung aus XP und W7" hat es auch nix zu tun. Und was genau meinst Du mit "bei der Revision einige Einstellungen abändern"? Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 24. August 2014 Melden Teilen Geschrieben 24. August 2014 1. Ganz oben im Stamm der Struktur war in der Default Domain Policy Loopback aktiviert. Der Grund lag in einer Mischung aus Windows XP und Windows 7 Rechnern und Benutzern in einer Domäne, Loopback hatte also seinen Sinn. Nachdem es nun aber keine Windows XP Rechner mehr gibt, habe ich Loopback jetzt deaktiviert. Loopback in der Default Domain Policy macht NIE Sinn. 2. Ein weiteres Problem liegt hier offensichtlich im Bereich der Replikation der Server. Auch hier musste ich - es ist eine Domäne, die im Jahr 2004 entstanden ist - bei der Revision einige Einstellungen abändern, damit es jetzt wieder vernünftig läuft. Das Ereignisprotokoll muss viele Fehler aufweisen. Vermutlich wäre es besser gewesen, ich hätte die Domäne komplett neu gemacht. Aufgrund der Vielzahl an Rechnern (hier: insgesamt etwa 150) und Benutzern (insgesamt etwa 2000) scheue ich sowas aber. Eine Totalrevision ist aber für das kommende Jahr im August geplant. Nein, eine neue Domain macht in diesem Fall keinen Sinn. Du begehst dann möglicherweise die gleichen Fehler wieder, besser aus Fehlern lernen. Was genau meinst Du für eine Totalrevision? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.