AMiGA 0 Geschrieben 14. November 2017 Melden Teilen Geschrieben 14. November 2017 Hallo zusammen, ich habe irgendwie ein kleines Verständnisproblem. Ich habe in einer AD-Struktur eine Benutzer-OU, in welcher spezielle Benutzerkonten existieren. Für diese Benutzer soll der Windows Desktop stark reduziert sein, egal auf welchem Rechner sie sich anmelden. Dazu habe ich mit dieser OU ein Gruppenrichtlinienobjekt verknüpft. In der Sicherheitsfilterung ist die Gruppe "Domänen-Benutzer" eingetragen. In der Delegierung ist für die Gruppe der "Authentifizierten Benutzer" das Lesen des Objektes erlaubt. Ich hätte jetzt erwartet, dass das Objekt für diese Benutzer auf einem beliebigen Rechner angewendet wird. Dies ist aber nicht der Fall. Ein Aufruf von "gpresult /r" zeigt mir das Objekt überhaupt nicht an (weder angewendet noch herausgefiltert). Auch das Ergänzen des Loopbackverarbeitungsmodus für die Benutzergruppenrichtlinie (Zusammenführen) hat keine Auswirkungen. Wo genau ist da der Denkfehler/das Verständnisproblem? Gruß, AMiGA Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 14. November 2017 Melden Teilen Geschrieben 14. November 2017 Wer oder was steckt denn in der OU, auf die das GPO verlinkt ist? Und was sollte dir da der Loopback Modus bringen? Den nutzt man üblicherweise, wenn man weiß wie das funktioniert. ;) Bye Norbert Zitieren Link zu diesem Kommentar
AMiGA 0 Geschrieben 14. November 2017 Autor Melden Teilen Geschrieben 14. November 2017 In der OU stecken wie oben geschrieben Benutzer-Objekte. Der Loopback Modus wurde aktiviert, da seit 2016 meines Wissens zunächst das Computerobjekt, an dem sich der Benutzer anmeldet die Richtlinie liest und erst danach an den Benutzer übergibt. Daher auch die Delegierung an "Authentifizierte Benutzer", da das GP-Objekt sonst nie durch ein Computerobjekt ausgeführt würde. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 14. November 2017 Melden Teilen Geschrieben 14. November 2017 Der loopback kann aber nur ausgeführt werden, wenn das gpo (oder ein anderes) auf eine ou mit dem computerkonto verlinkt ist. Ansonsten müsstest du noch etwas genauer beschreiben was du wie konfiguriert hast. Ein normales gpo das nur auf Benutzerkonten wirkt, funktioniert einfach so per default. Wenn das bei dir nicht so ist, müsste man rausfinden warum das bei dir so ist. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 14. November 2017 Melden Teilen Geschrieben 14. November 2017 (bearbeitet) ich stell den Artikel von Mark ein. https://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/ Evtl. wird es klarer. Du hast das GPO auch korrekt auf die OU verlinkt? Es sind auch wirklich Benutzereinstellungen konfiguriert? bearbeitet 14. November 2017 von Sunny61 Zitieren Link zu diesem Kommentar
AMiGA 0 Geschrieben 15. November 2017 Autor Melden Teilen Geschrieben 15. November 2017 (bearbeitet) Du hast das GPO auch korrekt auf die OU verlinkt? Es sind auch wirklich Benutzereinstellungen konfiguriert? Ja genau. Eine OU, in der mehre Benutzerobjekte sind. Mit dieser (Benutzer-)OU ist ein Gruppenrichtlinienobjekt verknüpft. Dieses enthält verschiedene Benutzereinstellungen, keine Computereinstellungen. Mit einem Benutzer aus der OU melde ich mich an einem RDS-Broker an. Für diesen Computer gibt es einige direkt verknüpfte und einige geerbte Gruppenrichtlinienobjekte. Ich prüfe, ob mein gewünschtes Gruppenrichtlinienobjekt angewendet wurde, indem ich die angewendeten/herausgefilterten Objekte mit "gpresult /r" anzeige. Außerdem überprüfe ich zusätzlich mit "rsop.msc", ob die Einstellungen aus dem Objekt angewendet wurden. Leider wird das Objekt offenbar nicht angewendet. Gruß, AMiGA bearbeitet 15. November 2017 von AMiGA Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 15. November 2017 Melden Teilen Geschrieben 15. November 2017 Hi, in dem Bericht solltest du dann aber auch sehen, warum das GPO z.B. abgelehnt wurde bzw. aus welchem GPO die entsprechenden Einstellungen kommen. Gibt es evtl. ein GPO mit aktiviertem Loopbackverarbeitungsmodus, welches auf dem Client angewendet wird auf dem sich der User anmeldet (Sollte auch im Bericht auftauchen)? Gruß Jan Zitieren Link zu diesem Kommentar
AMiGA 0 Geschrieben 15. November 2017 Autor Melden Teilen Geschrieben 15. November 2017 in dem Bericht solltest du dann aber auch sehen, warum das GPO z.B. abgelehnt wurde bzw. aus welchem GPO die entsprechenden Einstellungen kommen. Leider taucht mein Objekt überhaupt nicht auf, weder bei den angewendeten noch bei den abgelehnten Objekten. Gibt es evtl. ein GPO mit aktiviertem Loopbackverarbeitungsmodus, welches auf dem Client angewendet wird auf dem sich der User anmeldet (Sollte auch im Bericht auftauchen)? Ja, es gibt ein Objekt mit aktiviertem Loopbackverarbeitungsmodus, was auf dem Client angewendet wird, es wird aber für den Benutzer nicht angewendet (aufgrund der Sicherheitsfilterung). Gruß, AMiGA Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 15. November 2017 Melden Teilen Geschrieben 15. November 2017 Moin, Leider taucht mein Objekt überhaupt nicht auf, weder bei den angewendeten noch bei den abgelehnten Objekten. das deutet darauf hin, dass es nicht an der richtigen Stelle verknüpft ist. Gruß, Nils Zitieren Link zu diesem Kommentar
AMiGA 0 Geschrieben 15. November 2017 Autor Melden Teilen Geschrieben 15. November 2017 das deutet darauf hin, dass es nicht an der richtigen Stelle verknüpft ist.Aber wo könnte ich da noch etwas falsch gemacht haben? Ich habe die OU, sehe das verknüpfte Gruppenrichtlinienobjekt, die Verknüpfung ist aktiv, das Objekt ist aktiviert, das Objekt enthält Benutzerkonfigurationseinstellungen. Der Benutzer ist definitiv in der OU, trotzdem wird das Gruppenrichtlinienobjekt nicht angewendet... Zitieren Link zu diesem Kommentar
AMiGA 0 Geschrieben 15. November 2017 Autor Melden Teilen Geschrieben 15. November 2017 Ich verstehe nicht wirklich, wieso das Objekt nicht angewendet wird. Bei der Anmeldung des Benutzers an einer Workstation wird es angewendet. Bei der Anmeldung des Benutzers an einem anderen Server wird es angewendet. Nur bei der Anmeldung des Benutzers an einem RDS-Sitzungshost wird es nicht angewendet (mit diesem habe ich bei der Problemrecherche gestartet). Wenn ich das genannte GP-Objekt deaktiviere, wird ein weiteres GP-Objekt, was mit der Benutzer-OU verknüpft ist ausgeführt. Wenn ich das genannte GP-Objekt aktiviere wird auch das weitere GP-Objekt, was mit der Benutzer-OU verknüpft ist, nicht ausgeführt. Sehr seltsam. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 15. November 2017 Melden Teilen Geschrieben 15. November 2017 Moin, dann wäre zu erwarten, dass dazu etwas im Eventlog steht. Gruß, Nils Zitieren Link zu diesem Kommentar
AMiGA 0 Geschrieben 15. November 2017 Autor Melden Teilen Geschrieben 15. November 2017 (bearbeitet) Leider nein, zumindest hatte ich weder unter Application, System noch unter Microsoft/Windows/GroupPolicy etwas entscheidendes gefunden. Die Liste der anzuwendenden Gruppenrichtlinienobjekte wird per LDAP angefragt und erhalten, die anzuwendenden und herausgefilterten Objekte entsprechen genau denen, die per gpresult ausgegeben werden. Das "Problem"-Objekt taucht nirgends auf. bearbeitet 15. November 2017 von AMiGA Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 15. November 2017 Melden Teilen Geschrieben 15. November 2017 Moin, Löschen und neu anlegen? Wenn es dann noch nciht geht, müsste man sich das vermutlich mal direkt ansehen. Gruß, Nils Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 15. November 2017 Melden Teilen Geschrieben 15. November 2017 Hi, wie viele DCs habt ihr? Nicht das es Probleme mit der Sysvol-Replikation gibt. Gruß Jan Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.