Gruppenrichtlinien werden nicht angewendet bei Win10

[hwimmer 10]

Hallo,

 

ich habe bei uns eine neue Gruppenrichtlinie gebaut, diese wird bei Windows 7 angewendet,

bei Windows 10 Clients allerdings nicht.

 

Vorab schon mal. Ich kenne das Thema mit "Authenticated Users". Diese sind enthalten in der Delegierung

und in der Sicherheitsfilterung mit Lese-Rechte. WMI-Filterung ist keine angewendet.

 

unser Domänentyp: Windows 2008 oder höher.

 

Die Gruppenrichtlinie ist direkt mit der OU verknüpft, in der der User und das Computerkonto enthalten ist

mit dem ich das teste.

 

Im Vorfeld habe ich bereits hier im Forum gesucht und alle Lösungsvorschläge bereits geprüft, jedoch

nichts führt zur Lösung.

 

Danke schon mal im voraus für Eure Hilfe.

 

Gruß

Hans

 

[Sunny61 806]

Und was genau hast Du im GPO eingestellt? Was sagt GPRESULT auf dem Client?

bearbeitet 6. Februar 2020 von Sunny61

[hwimmer 10]

Mit dieser GPO soll nur ein Registry Key ausgerollt werden.

 

Die Ausgabe von GPRESULT führt die GPO eben nicht auf.

Sie wird nicht gezogen.

[hwimmer 10]

Habe nun herausgefunden, das bei den Win10 Clients nur die Benutzereinstellungen übernommen werden.

Die Computereinstellungen werden ignoriert. 

 

Sind in eine GPO nur Computereinstellungen hinterlegt wird Sie bei GPRESULT erst gar nicht angezeigt.

 

 

[Sunny61 806]

vor 3 Stunden schrieb hwimmer:

Habe nun herausgefunden, das bei den Win10 Clients nur die Benutzereinstellungen übernommen werden.

Die Computereinstellungen werden ignoriert.

Das ist so nicht richtig. Natürlich übernehmen W10 Computer auch die GPO-Einstellungen für Computer, dazu muss ein Computer auch die GPO lesen und *übernehmen* dürfen. Lies doch diesen Artikel mal langsam und in Ruhe: https://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/

D.h. in deinem Fall müssen die Authentifizierten Benutzer, dazu zählen übrigens auch die Computerkonten, das GPO lesen und übernehmen dürfen.

[daabm 1.348]

Der Computer wurde mal neu gestartet, seit er in der OU ist?

[hwimmer 10]

den Artikel habe ich gelesen und auch verstanden.

 

In den Gruppenrichtlinien ist bei uns in der Sicherheitsfilterung "Authenticated Users" mit Leserechten enthalten!

 

Der Client wurde auch schon neu gestartet.

 

 

ich hätte jetzt noch probiert den Wert "(A;CI;LCRPLORC;;;DC)" im ADSI Edit dem

DefaultSecurityDiscriptor hinzuzufügen. Bekomme aber leider folgenden Fehler:

 

 

 

[Sunny61 806]

Nochmal Leserechte alleine reichen nicht, wenn ein Computer Einstellungen übernehmen soll, muss er neben lesen auch übernehmen dürfen. Das sind zwei verschiedene Rechte!

[hwimmer 10]

Die Authentifzierte Benutzer haben Lese und ÜbernehmenRechte.

Das sollte doch passen!

 

[Nobbyaushb 1.464]

vor 20 Minuten schrieb hwimmer:

Die Authentifzierte Benutzer haben Lese und ÜbernehmenRechte.

Das sollte doch passen!

 

Die Computer auch?

[hwimmer 10]

Ja, die Gruppe "Domänencomputer" hat die gleichen Rechte

[Sunny61 806]

vor 9 Minuten schrieb Nobbyaushb:

Die Computer auch?

Die sind in den Authentifizierten Benutzern enthalten.

 

@hwimmer

Wie oft hast Du den Rechner schon neu gestartet? Bist Du sicher dass das Computerobjekt in der OU liegt, auf die das GPO verlinkt ist? Einfach mal ein gpupdate und anschließend neu starten.

[hwimmer 10]

Die GPO ist im AD weiter oben verknüpft und wird nach unten vererbt.

Das Computerobjekt ist definitiv in der OU drin und die GPO wird auch dahin vererbt.

Das habe ich schon alles mehrfach geprüft.

 

Habe jetzt noch versucht am Client "rsop.msc" zu öffnen.

 

Bekomme dabei folgende Fehlermeldung:

 

Anschließend wird im Richtlinienergebnissatz nur die Benutzerkonfiguration angezeigt.

Die Computerkonfiguration wird gar nicht angezeigt.

[Sunny61 806]

vor 16 Minuten schrieb hwimmer:

Die GPO ist im AD weiter oben verknüpft und wird nach unten vererbt.

Das Computerobjekt ist definitiv in der OU drin und die GPO wird auch dahin vererbt.

Das habe ich schon alles mehrfach geprüft.

Bei uns und bei Millionen anderer Admins funktioniert es wie es soll. Also ist bei dir irgendetwas nicht in Ordnung. Zu 99,99% hat sich bei Threads zu diesem Thema hier im Forum rausgestellt, dass eine Konfiguration vor Ort schuld für das Verhalten war.

Ist auf der OU die Vererbung von GPOs unterbrochen? OU löschen und neu anlegen wäre noch eine Möglichkeit.

 

RSOP.MSC zeigt auch als Admin nicht die Computerkonfig an, deshalb GPRESULT auf der Commandozeile verwenden.

[daabm 1.348]

1. rsop.msc ist deprecated

2. "gpresult /h report.html" in einer Admin-Commandline ist Dein Freund

Und im Rest bin ich bei Sunny61: Das ganze funktioniert millionenfach recht problemlos, nur bei Dir nicht. Wo könnte das Problem liegen?

Klar, das hilft Dir nicht, aber das Problem liegt in Deiner Umgebung bzw. in Deinem Verständnis dafür. Ich lehne mich mal etwas aus dem Fenster: Wenn ich vor Ort wäre und das Konstrukt live sehe, brauche ich keine 5 Minuten, um Dein Problem zu vestehen, zu erklären und zu beheben.

Hier im Forum finden wir aber leider sehr oft "vor-interpretierte" Infos - und da fehlen dann entscheidende Merkmale.