GPO Reihenfolge? Win Store wird deaktiviert, statt aktiviert.

[M_S 0]

Hallo,

ich habe eine Frage/Problem zu GPO's.

Im ganz speziellen Fall will ich den Windows Store für die meisten Systeme verbieten.

Hierzu habe ich eine GPO "Store_verbieten" direkt unter die Domäne gehängt.

Darin ist "Turn off the Store Application" auf >Aktiviert< gesetzt.
Natürlich gibt es noch weitere Einstellungen, aber es scheint nur diese problematisch zu sein.

Unterhalb der Domäne gibt es dann natürlich OU's und Unter-OU's. In einer der Unter-OU's habe ich dann eine GPO "Store_erlauben", wo die Einstellung dann auf >Deaktiviert> gesetzt ist. (Achtung Deaktiviert ist Aktiviert, da die GPO abschalten tut.)

Nun habe ich in meiner Sub-OU in der Anzeige der Reihenfolge auf 3. "Store_erlauben" und auf 12. "Store_verbieten".
Da meines Wissens nach die GPO's von unten nach oben verarbeitet werden, müsste ja die "Store_erlauben" GPO die Einstellungen vom "Store_verbieten" überschreiben und den Store somit erlauben.

In den Gruppenrichtlinienmodellierungs-Test'S geschieht dies auch genau so. Als ausschalggebendes GPO wird dort "Store_erlauben" gelistet.
Auf dem wirklichen Computer ist der Store allerdings deaktiviert. Per GPResult /H ...report.html findet sich in diesem aber auch als ausschlaggebendes GPO auf dem lokalen Computer das "Store_erlauben" GPO.

Und nun die Frage: Warum ist der Store deaktiviert? Was läuft falsch?

Auf dem lokalen Computer erscheint beim Report noch folgende Meldung, auf die ich mir keinen Reim machen kann:

"Eine Vererbung blockiert alle nicht erzwungenen Gruppenrichtlinienobjekte, die über Domaine\OU\OU\OU  verknüpft sind."
Bei der letzten OU handelt es sich jedoch um eine OU die nicht im gleichen Pfad, wir meine OU befindlich ist. Nur die erste OU ist gleich.

Gruß

M_S

[testperson 1.674]

Hi,

 

wird die "Store_verbieten" evtl. erzwungen? Um bei der Vererbung sicher zu gehen, an welcher OU ist im Gruppenrichtlinieneditor denn der blaue Kreis mit dem Ausrufezeichen?

Bei deinen Windows 10 System handelt es sich um die Enterprise oder Education Version (https://docs.microsoft.com/en-us/windows/client-management/group-policies-for-enterprise-and-education-editions)?

 

Gruß

Jan

[daabm 1.348]

Wegen der Vererbungsmeldung: Looback aktiviert? Dann kommen User-GPOs plötzlich aus der Computer-OU

 

bearbeitet 19. Januar 2020 von daabm

[M_S 0]

- "Store_verbieten" wird nicht erzwungen
- Einen Vererbungsverbot habe ich nicht konfiguriert, somit auch kein blauer Kreis mit ! vorhanden.
- Win10 Enterprise
- Loopback ist in den betreffenden OU's nicht aktiviert und wird auch nicht vererbt
Beste Grüße
 

[daabm 1.348]

Am 17.1.2020 um 23:33 schrieb M_S:

 

 

"Eine Vererbung blockiert alle nicht erzwungenen Gruppenrichtlinienobjekte, die über Domaine\OU\OU\OU  verknüpft sind."
Bei der letzten OU handelt es sich jedoch um eine OU die nicht im gleichen Pfad, wir meine OU befindlich ist. Nur die erste OU ist gleich.

Gruß

M_S

 

Wo ich das grad noch mal so lese: Da ist wohl doch Loopback aktiviert - oder Du hast ein grundsätzliches Verständnisproblem beim Anwenden von GPOs. Vererbung blockieren ist halt Vererbung blockieren. Screenshots aus der GPMC wären jetzt echt hilfreich.

[M_S 0]

10 hours ago, daabm said:

Wo ich das grad noch mal so lese: Da ist wohl doch Loopback aktiviert - oder Du hast ein grundsätzliches Verständnisproblem beim Anwenden von GPOs. Vererbung blockieren ist halt Vererbung blockieren. Screenshots aus der GPMC wären jetzt echt hilfreich.

[M_S 0]

[daabm 1.348]

Ahem - grad mal geschaut, "Turn off the store" gibt es für User und Computer... Hast Du beides geprüft?