StefanWe 14 Geschrieben 5. September 2022 Melden Teilen Geschrieben 5. September 2022 (bearbeitet) Hallo, ich habe scheinbar gerade einen Knoten im Knopf, oder MS hat irgendetwas an der Verarbeitungsreihenfolge der Richtlinien geändert. Nutzen tue ich Windows 10 21H2 CU August 2022. Meine OU und GPO Struktur sieht wie folgt aus [code] domain ou=company GPO= My User Default Settings ou=standart1 out=Benutzer GPO= My special User Settings ou=standort2 [/code] In den My User Default Settings habe ich eine GPO Einstellung auf Aktiv gesetzt. In der My special User Settings habe ich die selbe Einstellung auf deaktiviert gesetzt. Effektiv greifen am Client aber nur die Einstellung aus der obersten GPO. Also die My User default Settings. Um auszuschließen, das die GPO "My special settings..." auch zieht, habe ich eine andere Einstellung dort konfiguriert und siehe da, sie wird angewendet. Auch gpresult /H zeigt mir, das die GPO verarbeitet wird. In der Vererbungsreihenfolge auf der OU Benutzer sehe ich auch, das die "My user default ..." an stelle 2 steht und die "my user special..." an Position 1 ist. Demnach sollte sie ja eine höhere Priorität haben. Mir ist eigentlich seit Jahren die Methode des am nächsten am Objekt liegendste Setting gewinnt. Siehe https://www.gruppenrichtlinien.de/artikel/vererbung-und-hierarchien Deaktiviere ich die Einstellung in der "My User default Settings" so zieht diese Einstellung aus der "my special user..." ebenfalls. Nur in Kombination leider nicht. Ist euch da etwas anderes bekannt? Einzig, an den Systemen ist die Loopbackverarbeitung aktiv, aber die sollte ja in diesem Fall die Reihenfolge ja nicht verändern. bearbeitet 5. September 2022 von StefanWe Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 5. September 2022 Melden Teilen Geschrieben 5. September 2022 Moin, um welche Einstellung geht es denn genau, die nicht das gewünschte Verhalten zeigt? Gruß, Nils Zitieren Link zu diesem Kommentar
testperson 1.674 Geschrieben 5. September 2022 Melden Teilen Geschrieben 5. September 2022 Hi, vor 30 Minuten schrieb StefanWe: Einzig, an den Systemen ist die Loopbackverarbeitung aktiv, aber die sollte ja in diesem Fall die Reihenfolge ja nicht verändern. so gesehen schon: What you can do, should do and should NOT do with GPOs: Loopback demystified (evilgpo.blogspot.com) Ist es denn auch tatsächlich die Einstellung aus "My User Default Settings"? Was sagt denn ein "gpresult /f /h gpo.html & gpo.html" woher die Einstellung kommt? Gruß Jan Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 5. September 2022 Autor Melden Teilen Geschrieben 5. September 2022 (bearbeitet) vor 9 Minuten schrieb testperson: Ist es denn auch tatsächlich die Einstellung aus "My User Default Settings"? Was sagt denn ein "gpresult /f /h gpo.html & gpo.html" woher die Einstellung kommt? leider ja. Dort werden beide Gruppenrichtlinien als angewendet angezeigt. beim rsop.msc sieht man ja auch genau, welche Einstellung von welcher GPO umgesetzt wird. Und nur um ganz sicher zu sein, die "My User defaults..:" ist NICHT erzwungen. Und selbst wenn ich meine "My User special..." auf erzwungen setze, wird die Einstellung nicht gesetzt, sondern immer wieder durch die defaults überschrieben vor 41 Minuten schrieb NilsK: Moin, um welche Einstellung geht es denn genau, die nicht das gewünschte Verhalten zeigt? Gruß, Nils Um eine Google Chrome Einstellung [code] Erstellung von Roaming-Kopien für Google Chrome-Profildaten aktivieren [/code] In der My Defaults wird sie auf "aktiv" gesetzt und in der "My special" auf deaktiviert. bearbeitet 5. September 2022 von StefanWe Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 5. September 2022 Melden Teilen Geschrieben 5. September 2022 Moin, die kommt aus einer separaten ADM-/ADMX-Datei? Ich würde nicht ausschließen, dass das einfach falsch implementiert ist. Oder, wie Jan auch schon sagt - der Loopback-Modus greift ja gerade in die Verarbeitung ein. Ebensogut kann es also sein, dass der das Verhalten erzeugt. Da musst du dann parallel auch noch die Policies in den Blick nehmen, die auf das Computerkonto wirken. Wie verhält es sich, wenn du "normale" GPO-Einstellungen (also solche, die nicht aus einem separaten ADM/ADMX kommen) aus dem administrativen Zweig auf diese Weise setzt? Gruß, Nils Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 6. September 2022 Autor Melden Teilen Geschrieben 6. September 2022 vor 21 Stunden schrieb NilsK: Moin, die kommt aus einer separaten ADM-/ADMX-Datei? Ich würde nicht ausschließen, dass das einfach falsch implementiert ist. Oder, wie Jan auch schon sagt - der Loopback-Modus greift ja gerade in die Verarbeitung ein. Ebensogut kann es also sein, dass der das Verhalten erzeugt. Da musst du dann parallel auch noch die Policies in den Blick nehmen, die auf das Computerkonto wirken. Wie verhält es sich, wenn du "normale" GPO-Einstellungen (also solche, die nicht aus einem separaten ADM/ADMX kommen) aus dem administrativen Zweig auf diese Weise setzt? Gruß, Nils Verhalten ist identisch. Ich habe aber gerade festgestellt, auf einem anderen PC, auf dem nicht der Loopbackverarbeitungsmodus aktiv ist, ist die Einstellung richtig gesetzt. Es wird also doch am Loopback liegen. Leider finde ich gerade kein Dokument, welches die Reihenfolge nochmal genau beschreibt, aber beim näher drüber nachdenken müsste diese ja wie folgt sein. User Einstellung "My Users defaults" wird verarbeitet User Einstellung "My Special settings" wird verarbeitet Loopback Computerobjekt beginnt Da die GPO "My Users defaults" auch auf das Computerobjekt angewendet wird, weil oben definiert", wird diese erneut abgearbeitet und damit überschreibt sie die Einstellungen aus der "special" Policy. -> Mist ;) Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 6. September 2022 Melden Teilen Geschrieben 6. September 2022 Moin, na, dann ist ja gut, dass wir drüber geredet haben. Da man beim Beeinflussen der GPO-Abarbeitung sehr schnell in solche Fallen läuft, sollte man das nur dann tun, wenn es wirklich erforderlich ist. Und gut dokumentieren, sobald man sowas macht. (Vermutlich wirst du dir das jetzt auch gedacht haben, aber der Hinweis gehört an dieser Stelle einfach dazu. ) Gruß, Nils 1 Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 6. September 2022 Melden Teilen Geschrieben 6. September 2022 vor 9 Minuten schrieb StefanWe: Leider finde ich gerade kein Dokument, welches die Reihenfolge nochmal genau beschreibt, aber beim näher drüber nachdenken müsste diese ja wie folgt sein. Ich finde eins Loopbackverarbeitungsmodus - Loopback Processing Mode - Gruppenrichtlinien Zitieren Link zu diesem Kommentar
daabm 1.348 Geschrieben 6. September 2022 Melden Teilen Geschrieben 6. September 2022 vor 7 Stunden schrieb tesso: Ich finde eins Ich find direkt noch mal zwei - bzw "ich weiß, daß sie da sind, weil ich sie geschrieben habe" https://evilgpo.blogspot.com/2012/02/loopback-demystified.html (hat Zahni oben schon verlinkt) https://evilgpo.blogspot.com/2014/01/loopback-was-ist-das-und-warum-ist-es.html Und wenn man sich vor dem Einschalten nicht genau klar macht oder nicht versteht, was das bedeutet, sollte man es auslassen. vor 7 Stunden schrieb StefanWe: Da die GPO "My Users defaults" auch auf das Computerobjekt angewendet wird, weil oben definiert", wird diese erneut abgearbeitet und damit überschreibt sie die Einstellungen aus der "special" Policy. -> Mist ;) Korrekt. Deshalbt ist es beim Verwenden von Loopback eine SEHR gute Idee, seine GPOs strikt zu trennen in "User" und "Computer" und sie explizit nur dort zu verlinken, wo sie benötigt werden. Seit GPP mit Item Level Targeting kann man übrigens auf Loopback auch recht gut verzichten, macht das Leben oft einfacher: https://evilgpo.blogspot.com/2012/03/how-to-save-my-screen.html Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.