hwimmer 10 Geschrieben 6. Februar 2020 Melden Teilen Geschrieben 6. Februar 2020 Hallo, ich habe bei uns eine neue Gruppenrichtlinie gebaut, diese wird bei Windows 7 angewendet, bei Windows 10 Clients allerdings nicht. Vorab schon mal. Ich kenne das Thema mit "Authenticated Users". Diese sind enthalten in der Delegierung und in der Sicherheitsfilterung mit Lese-Rechte. WMI-Filterung ist keine angewendet. unser Domänentyp: Windows 2008 oder höher. Die Gruppenrichtlinie ist direkt mit der OU verknüpft, in der der User und das Computerkonto enthalten ist mit dem ich das teste. Im Vorfeld habe ich bereits hier im Forum gesucht und alle Lösungsvorschläge bereits geprüft, jedoch nichts führt zur Lösung. Danke schon mal im voraus für Eure Hilfe. Gruß Hans Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 6. Februar 2020 Melden Teilen Geschrieben 6. Februar 2020 (bearbeitet) Und was genau hast Du im GPO eingestellt? Was sagt GPRESULT auf dem Client? bearbeitet 6. Februar 2020 von Sunny61 Zitieren Link zu diesem Kommentar
hwimmer 10 Geschrieben 6. Februar 2020 Autor Melden Teilen Geschrieben 6. Februar 2020 Mit dieser GPO soll nur ein Registry Key ausgerollt werden. Die Ausgabe von GPRESULT führt die GPO eben nicht auf. Sie wird nicht gezogen. Zitieren Link zu diesem Kommentar
hwimmer 10 Geschrieben 6. Februar 2020 Autor Melden Teilen Geschrieben 6. Februar 2020 Habe nun herausgefunden, das bei den Win10 Clients nur die Benutzereinstellungen übernommen werden. Die Computereinstellungen werden ignoriert. Sind in eine GPO nur Computereinstellungen hinterlegt wird Sie bei GPRESULT erst gar nicht angezeigt. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 6. Februar 2020 Melden Teilen Geschrieben 6. Februar 2020 vor 3 Stunden schrieb hwimmer: Habe nun herausgefunden, das bei den Win10 Clients nur die Benutzereinstellungen übernommen werden. Die Computereinstellungen werden ignoriert. Das ist so nicht richtig. Natürlich übernehmen W10 Computer auch die GPO-Einstellungen für Computer, dazu muss ein Computer auch die GPO lesen und *übernehmen* dürfen. Lies doch diesen Artikel mal langsam und in Ruhe: https://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/ D.h. in deinem Fall müssen die Authentifizierten Benutzer, dazu zählen übrigens auch die Computerkonten, das GPO lesen und übernehmen dürfen. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 6. Februar 2020 Melden Teilen Geschrieben 6. Februar 2020 Der Computer wurde mal neu gestartet, seit er in der OU ist? Zitieren Link zu diesem Kommentar
hwimmer 10 Geschrieben 7. Februar 2020 Autor Melden Teilen Geschrieben 7. Februar 2020 den Artikel habe ich gelesen und auch verstanden. In den Gruppenrichtlinien ist bei uns in der Sicherheitsfilterung "Authenticated Users" mit Leserechten enthalten! Der Client wurde auch schon neu gestartet. ich hätte jetzt noch probiert den Wert "(A;CI;LCRPLORC;;;DC)" im ADSI Edit dem DefaultSecurityDiscriptor hinzuzufügen. Bekomme aber leider folgenden Fehler: Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 7. Februar 2020 Melden Teilen Geschrieben 7. Februar 2020 Nochmal Leserechte alleine reichen nicht, wenn ein Computer Einstellungen übernehmen soll, muss er neben lesen auch übernehmen dürfen. Das sind zwei verschiedene Rechte! Zitieren Link zu diesem Kommentar
hwimmer 10 Geschrieben 7. Februar 2020 Autor Melden Teilen Geschrieben 7. Februar 2020 Die Authentifzierte Benutzer haben Lese und ÜbernehmenRechte. Das sollte doch passen! Zitieren Link zu diesem Kommentar
Nobbyaushb 1.475 Geschrieben 7. Februar 2020 Melden Teilen Geschrieben 7. Februar 2020 vor 20 Minuten schrieb hwimmer: Die Authentifzierte Benutzer haben Lese und ÜbernehmenRechte. Das sollte doch passen! Die Computer auch? Zitieren Link zu diesem Kommentar
hwimmer 10 Geschrieben 7. Februar 2020 Autor Melden Teilen Geschrieben 7. Februar 2020 Ja, die Gruppe "Domänencomputer" hat die gleichen Rechte Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 7. Februar 2020 Melden Teilen Geschrieben 7. Februar 2020 vor 9 Minuten schrieb Nobbyaushb: Die Computer auch? Die sind in den Authentifizierten Benutzern enthalten. @hwimmer Wie oft hast Du den Rechner schon neu gestartet? Bist Du sicher dass das Computerobjekt in der OU liegt, auf die das GPO verlinkt ist? Einfach mal ein gpupdate und anschließend neu starten. Zitieren Link zu diesem Kommentar
hwimmer 10 Geschrieben 7. Februar 2020 Autor Melden Teilen Geschrieben 7. Februar 2020 Die GPO ist im AD weiter oben verknüpft und wird nach unten vererbt. Das Computerobjekt ist definitiv in der OU drin und die GPO wird auch dahin vererbt. Das habe ich schon alles mehrfach geprüft. Habe jetzt noch versucht am Client "rsop.msc" zu öffnen. Bekomme dabei folgende Fehlermeldung: Anschließend wird im Richtlinienergebnissatz nur die Benutzerkonfiguration angezeigt. Die Computerkonfiguration wird gar nicht angezeigt. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 7. Februar 2020 Melden Teilen Geschrieben 7. Februar 2020 vor 16 Minuten schrieb hwimmer: Die GPO ist im AD weiter oben verknüpft und wird nach unten vererbt. Das Computerobjekt ist definitiv in der OU drin und die GPO wird auch dahin vererbt. Das habe ich schon alles mehrfach geprüft. Bei uns und bei Millionen anderer Admins funktioniert es wie es soll. Also ist bei dir irgendetwas nicht in Ordnung. Zu 99,99% hat sich bei Threads zu diesem Thema hier im Forum rausgestellt, dass eine Konfiguration vor Ort schuld für das Verhalten war. Ist auf der OU die Vererbung von GPOs unterbrochen? OU löschen und neu anlegen wäre noch eine Möglichkeit. RSOP.MSC zeigt auch als Admin nicht die Computerkonfig an, deshalb GPRESULT auf der Commandozeile verwenden. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 7. Februar 2020 Melden Teilen Geschrieben 7. Februar 2020 1. rsop.msc ist deprecated 2. "gpresult /h report.html" in einer Admin-Commandline ist Dein Freund Und im Rest bin ich bei Sunny61: Das ganze funktioniert millionenfach recht problemlos, nur bei Dir nicht. Wo könnte das Problem liegen? Klar, das hilft Dir nicht, aber das Problem liegt in Deiner Umgebung bzw. in Deinem Verständnis dafür. Ich lehne mich mal etwas aus dem Fenster: Wenn ich vor Ort wäre und das Konstrukt live sehe, brauche ich keine 5 Minuten, um Dein Problem zu vestehen, zu erklären und zu beheben. Hier im Forum finden wir aber leider sehr oft "vor-interpretierte" Infos - und da fehlen dann entscheidende Merkmale. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.