Kuddel071089 9 Geschrieben 11. Mai 2018 Melden Teilen Geschrieben 11. Mai 2018 Hallo zuzsammen, wir haben aktuell Probleme bei der Zuweisung von RegKeys über die Zielgruppenadressierung mit AD-Gruppen. Es scheint so als, wenn die hinterlegte Gruppe kompplett ignoriert wird. Anbei noch 2 Screenshots von den Einstellungen. Die Gruppenrichtlinie selber wird auch korrekt ausgeführt. GPRESULT meldet keine Fehler. WIr nutzen die Zielgruppenadressierung auch in anderen Richtlinien ohne Probleme, nur bei der einen mit ReqKeys funktioniert es nicht. Hat jemand ein Idee für mich? Vielen Dank schon einmal Zitieren Link zu diesem Kommentar
daabm 1.348 Geschrieben 14. Mai 2018 Melden Teilen Geschrieben 14. Mai 2018 Wird der Key jetzt erstellt oder wird er nicht erstellt? Hast Du den Computer nach Aufnahme in die Gruppe neu gestartet? Zitieren Link zu diesem Kommentar
Kuddel071089 9 Geschrieben 15. Mai 2018 Autor Melden Teilen Geschrieben 15. Mai 2018 (bearbeitet) Stand jetzt Funktioniert die Zuweisung des Reg-keys für die Computerkonten wieder, Benutzerkonten weisen noch immer das gegenteilige Phänomen auf. Für Benutzer werden die „Zielgruppenadressierung auf Elementebene“ nicht korrekt angewendet. Es wird in der Test GPO der Benutzer gehandhabt als wäre er in der Sicherheitsgruppe vorhanden, obwohl er es nicht ist. In unseren Produktiv Richtlinie für Office werden 2 Keys zugewiesen die auch die Zugehörigkeit der gleichen Sicherheitsgruppe abfragen. Hier verhält es sich auch anders. Ist der Benutzer in der entsprechende Sicherheitsgruppe dann wird der erste Schlüssel „korrekt“ geschrieben und der zweite bekommt den Eintrag als würde er nicht zugehörig sein würde. Wird der Benutzer aus der Sicherheitsgruppe entfernt, werden die Werte weiterhin identisch geschrieben. Das Problem betrifft augenscheinlich alle GPO´s. Neustart wurde schon mehrfach durchgeführt. bearbeitet 15. Mai 2018 von Kuddel071089 Zitieren Link zu diesem Kommentar
testperson 1.674 Geschrieben 15. Mai 2018 Melden Teilen Geschrieben 15. Mai 2018 (bearbeitet) Hi, schreib doch mal genau auf, welche Keys du an welche Gruppen mit welchen Mitgliedern verteilen möchtest. Dann noch wo die entsprechenden GPOs verlinkt sind und was in den OUs für Objekte liegen. Gruß Jan bearbeitet 15. Mai 2018 von testperson Zitieren Link zu diesem Kommentar
daabm 1.348 Geschrieben 15. Mai 2018 Melden Teilen Geschrieben 15. Mai 2018 Dir ist aber auch klar, daß die GPP Werte nicht von selbst wieder verschwinden, wenn sie - warum auch immer - mal da sind? Ich glaube, da liegt nur ein Verständnisproblem bei der Funktionsweise von GPP vor. Zitieren Link zu diesem Kommentar
Kuddel071089 9 Geschrieben 16. Mai 2018 Autor Melden Teilen Geschrieben 16. Mai 2018 _User-Client-Test-Fehler Daten ermittelt am: 15.05.2018 10:59:28 Allgemein Details Domäne Domain.local Besitzer Domain\admin-user Erstellt 08.05.2018 09:21:50 Geändert 11.05.2018 11:43:46 Benutzerrevisionen 76 (AD), 76 (SYSVOL) Computerrevisionen 82 (AD), 82 (SYSVOL) Eindeutige ID {C457FADB-1948-4767-95B3-0140F136CE04} GPO-Status Aktiviert Verknüpfungen Standort Erzwungen Verknüpfungsstatus Pfad Domain Nein Aktiviert Domain.local/Domain Die Liste enthält Verknüpfungen zur Domäne des Gruppenrichtlinienobjekts. Sicherheitsfilterung Die Einstellungen dieses Gruppenrichtlinienobjekts können nur auf folgenden Gruppen, Benutzer und Computer angewendet werden: Name DOMAIN\Test-1 DOMAIN\Computer1$ DOMAIN\Test-5 DOMAIN\Computer2$ Delegierung Folgende Gruppen und Benutzer haben die angegebene Berechtigung für das Gruppenrichtlinienobjekt Name Zulässige Berechtigungen Geerbt DOMAIN\admin-User Einstellungen bearbeiten, löschen, Sicherheit ändern Nein DOMAIN\Domänen-Admins Einstellungen bearbeiten, löschen, Sicherheit ändern Nein DOMAIN\Domänencomputer Lesen Nein DOMAIN\test-1 Lesen (durch Sicherheitsfilterung) Nein DOMAIN\Organisations-Admins Einstellungen bearbeiten, löschen, Sicherheit ändern Nein DOMAIN\Computer1$ Lesen (durch Sicherheitsfilterung) Nein DOMAIN\Test-5 Lesen (durch Sicherheitsfilterung) Nein DOMAIN\Computer2$ Lesen (durch Sicherheitsfilterung) Nein NT-AUTORITÄT\Authentifizierte Benutzer Lesen Nein NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION Lesen Nein NT-AUTORITÄT\SYSTEM Einstellungen bearbeiten, löschen, Sicherheit ändern Nein Computerkonfiguration (Aktiviert) Einstellungen Windows-Einstellungen Registrierung machine-ohne-zielgruppenzuweisung (Reihenfolge: 1) Allgemein Aktion Ersetzen Eigenschaften Struktur HKEY_LOCAL_MACHINE Schlüsselpfad Software\testgruppe Wertname machine-ohne-zielgruppenzuweisung Werttyp REG_DWORD Wertdaten 0x0 (0) Gemeinsam Optionen Bei Fehler keine Elemente mehr für diese Erweiterung verarbeiten Nein Element entfernen, wenn es nicht mehr angewendet wird Ja machine-mit-zielgruppenzuweisung (Reihenfolge: 2) Allgemein Aktion Ersetzen Eigenschaften Struktur HKEY_LOCAL_MACHINE Schlüsselpfad Software\testgruppe Wertname machine-mit-zielgruppenzuweisung Werttyp REG_DWORD Wertdaten 0x1 (1) Gemeinsam Optionen Bei Fehler keine Elemente mehr für diese Erweiterung verarbeiten Nein Element entfernen, wenn es nicht mehr angewendet wird Ja Zielgruppenadressierung auf Elementebene: Sicherheitsgruppe Attribut Wert bool AND not 0 name DOMAIN\Role-CMT-user-Client-Test-Fehler sid S-1-5-21-60489278-131706977-3027038188-36438 userContext 0 primaryGroup 0 localGroup 0 machine-mit-neg-zielgruppenzuweisung (Reihenfolge: 3) Allgemein Aktion Ersetzen Eigenschaften Struktur HKEY_LOCAL_MACHINE Schlüsselpfad Software\testgruppe Wertname machine-mit-zielgruppenzuweisung Werttyp REG_DWORD Wertdaten 0x2 (2) Gemeinsam Optionen Bei Fehler keine Elemente mehr für diese Erweiterung verarbeiten Nein Element entfernen, wenn es nicht mehr angewendet wird Ja Zielgruppenadressierung auf Elementebene: Sicherheitsgruppe Attribut Wert bool AND not 1 name DOMAIN\Role-CMT-user-Client-Test-Fehler sid S-1-5-21-60489278-131706977-3027038188-36438 userContext 0 primaryGroup 0 localGroup 0 Benutzerkonfiguration (Aktiviert) Einstellungen Windows-Einstellungen Registrierung user-ohne-zielgruppenzuweisung (Reihenfolge: 1) Allgemein Aktion Ersetzen Eigenschaften Struktur HKEY_CURRENT_USER Schlüsselpfad Software\testgruppe Wertname user-ohne-zielgruppenzuweisung Werttyp REG_DWORD Wertdaten 0x0 (0) Gemeinsam Optionen Bei Fehler keine Elemente mehr für diese Erweiterung verarbeiten Nein Im Sicherheitskontext des angemeldeten Benutzers ausführen (Benutzerrichtlinienoption) Ja Element entfernen, wenn es nicht mehr angewendet wird Ja user-mit-zielgruppenzuweisung (Reihenfolge: 2) Allgemein Aktion Ersetzen Eigenschaften Struktur HKEY_CURRENT_USER Schlüsselpfad Software\testgruppe Wertname user-mit-zielgruppenzuweisung Werttyp REG_DWORD Wertdaten 0x1 (1) Gemeinsam Optionen Bei Fehler keine Elemente mehr für diese Erweiterung verarbeiten Nein Im Sicherheitskontext des angemeldeten Benutzers ausführen (Benutzerrichtlinienoption) Ja Element entfernen, wenn es nicht mehr angewendet wird Ja Zielgruppenadressierung auf Elementebene: Sicherheitsgruppe Attribut Wert bool AND not 0 name DOMAIN\Role-CMT-user-Client-Test-Fehler sid S-1-5-21-60489278-131706977-3027038188-36438 userContext 1 primaryGroup 0 localGroup 0 user-mit-neg-zielgruppenzuweisung (Reihenfolge: 3) Allgemein Aktion Ersetzen Eigenschaften Struktur HKEY_CURRENT_USER Schlüsselpfad Software\testgruppe Wertname user-mit-zielgruppenzuweisung Werttyp REG_DWORD Wertdaten 0x2 (2) Gemeinsam Optionen Bei Fehler keine Elemente mehr für diese Erweiterung verarbeiten Nein Im Sicherheitskontext des angemeldeten Benutzers ausführen (Benutzerrichtlinienoption) Ja Element entfernen, wenn es nicht mehr angewendet wird Ja Zielgruppenadressierung auf Elementebene: Sicherheitsgruppe Attribut Wert bool AND not 1 name DOMAIN\Role-CMT-user-Client-Test-Fehler sid S-1-5-21-60489278-131706977-3027038188-36438 userContext 1 primaryGroup 0 localGroup 0 Zitieren Link zu diesem Kommentar
daabm 1.348 Geschrieben 16. Mai 2018 Melden Teilen Geschrieben 16. Mai 2018 Wenn ich das jetzt richtig verstehe: Du kriegst 1 als Wert, obwohl der User nicht in der Gruppe ist und es daher 2 sein sollte? Ist er verschachtelt drin? gpresult sagt Dir die effektiven Gruppenmitgliedschaften... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.