GPO angeblich erfolgreich, wird aber nicht umgesetzt

[Theweber 10]

Hallo Zusammen,

ich weiß nicht mehr wo ich noch suchen soll, vieleicht hat einer von euch noch einen TIP.

 

Umgebung: Server 2012 R2, Windows 7 x64

 

gp-deall-bdv-support-local-admin = Computereinstellungen, Hinzufügen von Supportgruppe in lokale Admins auf den Rechnern

 

Die GPO liegt auf eine OU, in der OU sind alle Computer.

In der GPO ist Benutzerteil deaktieviert.

Delegation: Authenticadet Users: Lesen

 

Wenn ich auf den Cleint GPO Result mache kommt:

gp-deall-bdv-support-local-admin

Ergebniss: erfolgreich

 

Hier die Ausgabe:

Einstellungen
Systemsteuerungseinstellungen
Lokale Benutzer und Gruppen
Gruppe (Name: Administrators (built-in))
Die folgenden Einstellungen wurden auf das Objekt angewendet. In dieser Kategorie handelt es sich bei den Einstellungen, die sich weiter oben im Bericht befinden, um die Einstellungen zum Beheben von Konflikten.

Administrators (built-in)
Ausschlaggebendes Gruppenrichtlinienobjekt gp-deall-bdv-support-local-admin 
Ergebnis: Erfolgreich

Lokale Gruppe

Aktion Aktualisieren 
Eigenschaften
Gruppenname Administrators (built-in) 
Alle Mitgliederbenutzer löschen Deaktiviert 
Alle Mitgliedergruppen löschen Deaktiviert 
Mitglieder hinzufügen
KG\dl-XXX-bdv-support S-1-5-21-2048833772-1394058403-480687969-18102 
KG\gl-XXX-bdv-support S-1-5-21-2048833772-1394058403-480687969-17406 

Windows Protokoll meldet kein Fehler

 

Hoffe habe nichts vergessen, danke für eure Hilfe.

 

[NorbertFe 2.098]

Wenns nur lesen erlaubt, fehlt aber übernehmen. ;)

[Theweber 10]

Ok hätte vieleicht sagen sollen:

Delegation: Read (from Security Filtering)

 

und wenn ich das richtig gelesen habe ist hier das Lesen und das Übernehmen der GPO inkludiert.

 

[MurdocX 957]

Welches Ergebnis kommt bei einer RSOP-Zusammenfassung in Bezug auf "Angewendete Gruppenrichtlinienobjekte / Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet" raus ?

gpresult /R

 

Die ausführliche Variante wäre:

gpresult /Z > C:\Richtlinien.log

bearbeitet 16. September 2015 von MurdocX

[Theweber 10]

gpresult / r meldet

 

das die GPO angewendete wurde. (Computer) Sprich steht unter Angewendetet Gruppenrichtlienienobjekte.

 

Bei Benutzereinstellungen ist Sie nicht angewand weil deaktieviert.

[NorbertFe 2.098]

Und was genau ist jetzt eigentlich das Problem?

[MurdocX 957]

gp-deall-bdv-support-local-admin = Computereinstellungen, Hinzufügen von Supportgruppe in lokale Admins auf den Rechnern

 

So wird's gemacht: 

1. Computerkonfiguration > Richtlinen > Windows-Einstellungen > Sicherheitseinstellungen > Eingeschränkte Gruppen öffnen
2. Gruppe hinzufügen "Administratoren" (für ein deutsches Windows)
3. Mitglieder dieser Gruppe "Administrator", "DEINE SUPPORTGRUPPE"

[Theweber 10]

 

Und was genau ist jetzt eigentlich das Problem?

Das die Richtliene nicht angewendet wird. Sprich in den lokalen Administratoren ist nicht die grp "bdv-support", wo unsere Supporter drin stehen.

 

@ Newbie

Ich habe ein Englishes System.

Ist aber egal, ich habe meine Einstellungen mit mehrere Suchanfragen über einen Suchanbieter gegen geprüft.

1) Computer Configuration > Prefrences > Control Panel Settings > Local Useres and Groups

2) Groupname: Administrators (built-in)

3) Action Update > Members "Meine Supportgruppe"

[MurdocX 957]

Das die Richtliene nicht angewendet wird. Sprich in den lokalen Administratoren ist nicht die grp "bdv-support", wo unsere Supporter drin stehen.

 

@ Newbie ->  :nene:

Ich habe ein Englishes System.

Ist aber egal, ich habe meine Einstellungen mit mehrere Suchanfragen über einen Suchanbieter gegen geprüft.

1) Computer Configuration > Prefrences > Control Panel Settings > Local Useres and Groups

2) Groupname: Administrators (built-in)

3) Action Update > Members "Meine Supportgruppe"

 

@ Member   ;)

 

Genau das was ich geschrieben habe, nur für ein englischsprachiges Betriebssystem... Hat´s geklappt?  ;)

[Theweber 10]

UPS Newbie ist ja dein Forum Status :D

 

Sorry.

Die GPO Steht schon so da. Wie gesagt Sie wird angewand aber die Gruppe ist nicht unter lokaler Administration angelegt.

Und ich weiß nicht mehr wo ich den Fehler suchen soll.

 

Danke Newbie ;) ;)

[Sunny61 810]

Füge doch mal einzelne Benutzer zu der Gruppe der lokalen Admins. Ich meine ich hatte das auch schon mal so probiert wie Du und es hat nicht funktioniert. Nur wenn man die Benutzer einzeln hinzugefügt hatte.

[Remo79 0]

Das müsste man mit 2 GPO's lösen:

 

1. Add_localadmin_Group_to_Client

 

Computerkonfiguration --> Richtlinien --> Windows Einstellungen --> Sicherheitseinstellungen --> Eingeschränkte Gruppen / Gruppe hinzufügen / Domäne\ADGruppe / dann unter Diese Gruppe ist Mitgleid von: Administratoren einfügen

 

 

2. Add_localadmin_User_to_Client

 

Benutzerkonfiguration --> Einstellungen --> Lokale Benutzer und Gruppen --> neue lokale Gruppe erstellen / Aktion: Aktualisieren / Gruppenname: Administratoren (integriert) / Aktuellen Benutzer nicht konfigurieren auswählen / Mitglieder: localadmin reinschreiben und hinzufügen

 

 

so sollte dann alles klappen

 

Gruss Remo

[ChrisRa 42]

So müsste es richtig aussehen. :-)