GPO auf Computergruppe greift auf allen PC, nicht nur der Gruppe

[TomSchmidt 0]

Hi,

ein Gruss in die Runde, ich habe mich hier neu registriert, weil ich ein seltsames Problem habe und ich keinen Ansatz finden konnte.

Wir arbeiten schon seit langem mit GPOs und das klappt im Wesentlichen auch gut, jetzt aber zum Problem:

Ich habe eine globale Sicherheitsgruppe GG-NTBACKUP angelegt, in der sich Computer befinden. Diese GPO verteilt eine geplante Aufgabe, dass diese PC abends ein 'wbadmin start backup...' ausführen. Die GG-NTBACKUP liest und übernimmt die GPO, aber leider auch an alle PC, die NICHT in der Gruppe sind. Ausserdem wird die Zeit auf 20h gesetzt, geplant ist sie aber für 19h. In der Delegierung habe ich die Authentifizierten Benutzer weggelassen und die GG-NTBACKUP ist die einzige, die die Gruppenrichtlinie übernehmen soll, alle anderen Gruppen an der Stelle dürfen nur lesen, mit allen anderen sind die Standardgruppen wie z.B. Domänenadmins gemeint, die automatisch mit angelegt werden. Einen WMI-Filter habe ich nicht definiert.

Das Ganze funktioniert nur wie gewollt, wenn ich anstelle der GG-NTBACKUP die einzelnen PC angebe, die Uhrzeit ist zwar weiterhin falsch, aber OK, das verwundert zwar, ist aber zu beherrschen.

 

Was zum Geier mache ich hier falsch?

 

Dankeschön und Gruss, Tom

[testperson 1.674]

Hi,

 

nachdem die PCs / Server in die Gruppe aufgenommen wurden hast du die Server / PCs auch einmal durchgebootet?

 

Gruß

Jan

[TomSchmidt 0]

Moin Jan,

nein, ein 'gpupdate' hat gereicht um zu sehen, dass die GPO übernommen wurde, die geplante Aufgabe war vorhanden Bei den PC, die nicht dazu gehören sollten, aheb ich nichts gemacht, nur heute morgen gewundert, dass der Backupserver, der für die Images herhalten soll, seine 6TB Speicherplatz voll geschrieben hatte...

 

Gruss, Tom

[testperson 1.674]

Ja, das GPO wird angewendet, weil du die Computer-Konten direkt berechtigt hast. Du hattest dich jedoch gewundert, warum das nicht funktioniert, wenn du nur die Gruppe GG-NTBACKUP berechtigst.

 

Wenn du die Computer-Konten in die Gruppe GG-NTBACKUP aufnimmst, musst du _zwingend_ durchbooten, damit die Computer auch mitbekommen, dass Sie Mitglied der Gruppe sind.

[TomSchmidt 0]

Ach, bei einem gpresult /r sehe ich, dass ein bestimmter PC, meiner, Mitgleid der Sicherheitsgruppe GG-NTBACKUP ist, ich war davon ausgegangen, dass das so ausreicht. Der geplante Task erschien ja auch. Ein Reboot der entsprechenden PC ist hier schwer möglich, weil Entwickler da recht eigen sind, aber OK.

Nur verstehe ich nicht, warum sich zu viele PC angesprochen fühlten, durch welche Einstellungen mögen die sich angesprochen gefühlt haben?

 

 

 

[Sunny61 806]

Das mit dem Reboot der Maschinen ist das gleiche Thema wie mit Benutzern zu Gruppen hinzufügen. Wo und wie genau hast Du denn die Sicherheitsgruppe im GPO eintragen? Sicherheitsfilter?

[TomSchmidt 0]

Hi Sunny,

ja, einfach platt in die Sicherheitsfilter rein. Ich hatte noch gelesen, dass man die 'Auth. Benutzer' zusätzlich in die Delegierung aufnehmen soll, diese aber nur lesen sollen, nicht übernehmen. Das Ergebnis blieb aber immer dasselbe. Jetzt arbeite ich, die unschöne Methode, mit den Einzelkonten der PC.

Der Plan ist ja alle 50 PC mit und mit in diese GG-NTBACKUP aufzunehmen, aber nach Aufnahme in diese Gruppe müsste der entsprechende PC ja rebootete werden, das kann es nicht sein.

 

[NorbertFe 2.027]

vor 24 Minuten schrieb TomSchmidt:

aber nach Aufnahme in diese Gruppe müsste der entsprechende PC ja rebootete werden, das kann es nicht sein.

Warum kann es das nicht sein?

[TomSchmidt 0]

Hi Norbert,

wenn ich entscheide Abteilung X mit in das Backupschema aufzunehmen, müssten dort alle PC rebootet werden, das ist unschön. Darum kann es das nicht sein. Und wie gesagt, auch ohne Reboot kam die GPO an, nur bei zu vielen PC. Dieses 'Fehlverhalten' würde mich interessieren.

[Sunny61 806]

vor 29 Minuten schrieb TomSchmidt:

Hi Sunny,

ja, einfach platt in die Sicherheitsfilter rein. Ich hatte noch gelesen, dass man die 'Auth. Benutzer' zusätzlich in die Delegierung aufnehmen soll, diese aber nur lesen sollen, nicht übernehmen. Das Ergebnis blieb aber immer dasselbe. Jetzt arbeite ich, die unschöne Methode, mit den Einzelkonten der PC.

Der Plan ist ja alle 50 PC mit und mit in diese GG-NTBACKUP aufzunehmen, aber nach Aufnahme in diese Gruppe müsste der entsprechende PC ja rebootete werden, das kann es nicht sein.

 

 

Tja, ich boote nach so einer Aktion die PCs einmal neu durch, schon funktioniert alles. :) Wenn Du einen Benutzer in eine neue Gruppe aufnimmst, musst Du den doch auch ab- und wieder anmelden. Beim PC ist das ein Reboot.

 

Lies doch mal diesen Artikel: https://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/

vor 1 Minute schrieb TomSchmidt:

Hi Norbert,

wenn ich entscheide Abteilung X mit in das Backupschema aufzunehmen, müssten dort alle PC rebootet werden, das ist unschön. Darum kann es das nicht sein. Und wie gesagt, auch ohne Reboot kam die GPO an, nur bei zu vielen PC. Dieses 'Fehlverhalten' würde mich interessieren.

Wahrscheinlich dürfen doch alle auch das GPO übernehmen, und nicht nur Lesen.

[NorbertFe 2.027]

vor 6 Minuten schrieb TomSchmidt:

enn ich entscheide Abteilung X mit in das Backupschema aufzunehmen, müssten dort alle PC rebootet werden, das ist unschön.

Bei Verwendung einer Gruppe, in die das Computerkonto erst später aufgenommen wird, aber vollkommen logisch. Egal wie "unschön" du das findest. Ohne Reboot gehts, weil du entweder eine bereits vorhandene Gruppe wie Authentifizierte Nutzer oder Domänencomputer verwendet hast, in der jeder Computer automatisch enthalten ist, oder weil du wie oben geschrieben, die Konten einzeln berechtigt hast. Ich seh dein Problem grad nicht. :)

 

Bye

Norbert

[TomSchmidt 0]

Hi,

@Sunny61, diesen Artikel habe ich gesehen und daher auch meine Anmerkung mit den Authentifizierten Benutzern. Unde nein, übernehmen dürfen sicher nur die Computerkonten bzw. vorher die GG-NTBACKUP.

 

@NorbertFe, das unschöne ist einfach die Übersicht, eine Gruppe, in die man einen PC rein wirft und nur diese Gruppe in der Sicherheitsfilterung steht ist übersichtlicher, als ein Rudel von ca. 50 PC, daher arbeite ich nach Möglichkeit immer mit Gruppen, nur dieses 'Phenomen' ist mir noch neu, meistens sind es ja Benutzergruppen, wo letztlich das Gleiche gilt, das ist richtig.

 

Aber es müsste ja gehen, wenn ich diese GG-NTBACKUP als leere Gruppe mit aufnehme und nach dem nächsten Patchday sie mit PC befülle. Denn nach dem Patchday müssen alle ja rebooten. Dann müsste ja Norbert's Anmerkung bzgl der bereits vorhandenen Gruppen greifen.

 

Jedenfalls DANKE! für eure Hilfe, Tom

[NorbertFe 2.027]

Richtig, jetzt einfach alle in die Gruppe schmeißen und später dann die einzelnen Konten aus der GPO-Berechtigung entfernen, so dass irgendwann nur noch die GG-NTBackup Gruppe drinsteht.

[testperson 1.674]

vor 45 Minuten schrieb TomSchmidt:

Aber es müsste ja gehen, wenn ich diese GG-NTBACKUP als leere Gruppe mit aufnehme und nach dem nächsten Patchday sie mit PC befülle. Denn nach dem Patchday müssen alle ja rebooten. Dann müsste ja Norbert's Anmerkung bzgl der bereits vorhandenen Gruppen greifen.

Du musst die Gruppe _vor_ dem nächsten Patchday befüllen _bevor_ die PCs durchbooten!

[magheinz 110]

ich würde die Gruppe JETZT befüllen und die einzelnen Rechner dann nach dem Patchday rausnehmen.

Die neue Gruppenmitgliedschaft stört nicht da ja ohne reboot das securitytoken nicht erneuert wird und du hast es einfach schon mal erledigt und kannst es nicht vergessen...