GPO's werden nicht aktualisiert - Warum ?

[info@vision4d.de 0]

Hallo zusammen,

 

ich habe ein kleines Problem und komme nicht dahinter warum es so ist:

Problem:
Ich habe das Login von bissher login.cmd auf jedem User auf ein zentral gesteuertes login.vbs umgestellt.

 

Folgendes wurde angepasst:

Ich habe bei allen usern in deren Konto das Login.cmd gelöscht.

Ich habe in den GPO's eine Richtlinie angelegt

Name "User login"

Darin steht:

 

Leider wird diese Richtlinie aber nicht auf allen rechnern ausgeführt ?!?
 

Ich habe auf alle Rechner bereits in der Gruppenrichtlinienverwaltung ein Gruppenrichtlinienupdate-Update ausgeführt

 

Ich habe auch auf allen Rechnern gpupdate/force ausgeführt!

 

Trotzdem wird auf manchen Arbeitsstationen das Login.vbs nicht ausgeführt.

 

Wenn ich auf einer Arbeitsstation mir die GPO's anzeigen lasse mit "rsop.msc"

dann erhalte ich ein falsches Ergebnis:

 

 

 

Es wurde also nicht von logon.vbs auf login.vbs aktualisiert.

 

Was muss ich tun damit der Sch... aktualisiert wird?
(Das Problem sitzt meist vor dem Computer. Als besser: was mache ich falsch?)

 

 

Gruß Ronald

 

 

 

[NorbertFe 2.045]

vor 29 Minuten schrieb info@vision4d.de:

Es wurde also nicht von logon.vbs auf login.vbs aktualisiert.

 

Weiß nicht, was du genau damit meinst, aber üblicherweise kann man sich den Pfad sparen, vor allem weil in deinem Fall explizit ein DC angesprochen wird. Wenn der offline ist, geht das Login Script definitiv nicht mehr. Für alles andere hast du zwar ganz viel geschrieben, aber nix, was wirklich hilfreich ist. Was steht denn im Eventlog der Clients, bei denen es geht bzw. nicht geht? ggf. sogar mal das GP Logging hochdrehen. @daabm kann dir erklären wie das geht. ;)

[NilsK 2.939]

Moin,

 

wirkt denn dein GPO überhaupt auf den Benutzer "Administrator"?

 

Gruß, Nils

 

[info@vision4d.de 0]

Danke für die Antworten.

 

@Nilsk
Wie Prüfe ich das?
Wenn ich mich als Admin einlogge wird es ausgeführt!
 

@NorbertFe

" Für alles andere hast du zwar ganz viel geschrieben, aber nix, was wirklich hilfreich ist."
Was wäre denn hilfreich?

 

"GP Logging hochdrehen"

Wie geht das?

 

Gruß Ronald

 

[testperson 1.680]

Hi,

 

ich vermute die GPOs wirken auf alles, da es stark danach aussieht, als wären sie auf Domänen-Ebene verlinkt. Zusätzlich sieht es im Screenshot so aus, als wäre die Verlinkung der Default Domain Policy inaktiv. Best Practice ist das so sicherlich nicht.

 

Aber ich frage einfach mal anders: Wozu ein Login Script? Was soll es denn alles erledigen?

 

Gruß

Jan

[info@vision4d.de 0]

@testperson

In dem Loginscript werden die AD Gruppenzugehörigkeiten von Usern ausgelesen und davon abhänig die Laufwerksmappings erzeugt.

Das Scruipt funktioniert wunderbar.

Ich kirege es nur nicht hin das das Skript ber GPO allen Usern zugewiesen wird.

 

Ich habe schon lauter Videos angeschaut und so mache ich das auch.

Aber funzt nicht.

Es geht zwar gerade etwas mehr, aber neue Fehlermeldungen kommen:

ping

[Sunny61 806]

Wenn ich das richtig gesehen habe, dann ist hier eine login.cmd, login.vbs und logon.vbs im Spiel. Das musst jetzt erstmal komplett aufschlüsseln.

 

Was hast Du genau gemacht? In den Userobjekten einen Eintrag für eine *.cmd entfernt? Hatten die User vorher schon ein GPO verlinkt bekommen?

 

Wo genau liegt das Benutzerobjekt Administrator? In den Usern? Ist das GPO auf der Domain verlinkt?

 

Am besten eine Test OU erstellen, ein Testbenutzerobjekt und einen Testcomputer dorthin verschieben. Die Vererbung von GPOs auf die OU entfernen, das Benutzer GPO mit dem Login Script verlinken und nach einem Neustart mit dem Testbenutzer anmelden. Was passiert?

 

EDIT: Wie sind diese Einstellungen gesetzt? https://www.gruppenrichtlinien.de/artikel/smb-signing-kommunikation-digital-signieren

bearbeitet 5. Januar 2023 von Sunny61

[NilsK 2.939]

Moin,

 

Ich werfe noch mal Fehler in der Zeitsynchronisation in den Raum. Das kann auch zu sowas führen.

 

Ansonsten wäre es aber gut, wenn wir nicht weiter stochern. Was sagen die Ereignisprotokolle? Scheitert es immer auf denselben Clients? Werden die anderen Einstellungen der GPOs angewendet? Wo ist das GPO verlinkt und wo sind die Benutzerkonten gespeichert?

 

Du sagst, für den Admin funktioniert es, aber dein Screenshot oben zeigt die Ergebnisse für den Admin, wo es ja nicht klappt. Was denn nun?

 

Gruß, Nils

[info@vision4d.de 0]

Hallo an alle,

 

danke dass Ihr mir hier helfen wollt.

Ist leider sehr schwer weil ich ständig am problem arbeite.

 

1. Beim Administrator geht es aktuell nicht!
   Das wäre aber kein Beinbruch weil einem User die Login.vbs in seinem Konto einzutragen wäre ja ok
    
2. Bei meinem User (RK) geht es.
   Komisch ich bin ja in der Gruppe der Administratoren
    
3. Bei allen anderen geht es nicht!
   Hier kommt folgende Meldung in der Ereignissanzeige:
   
   

 

Bitte vergesst einfach das am Anfang mit der Historie!

Ich habe eine Datei : login.vbs

Und die soll arbeiten!

 

Hier mal der Meldungstext im ganzen:

 

"

Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die Datei "\\DMSGBayern.local\SysVol\DMSGBayern.local\Policies\{1231CAD5-6642-4C7B-8D50-1E09D868581B}\gpt.ini" von einem Domänencontroller zu lesen, war nicht erfolgreich. Die Gruppenrichtlinieneinstellungen dürfen nicht angewendet werden, bis dieses Ereignis behoben ist. Dies ist möglicherweise ein vorübergehendes Problem, das mindestens eine der folgenden Ursachen haben kann:
a) Namensauflösung/Netzwerkverbindung mit dem aktuellen Domänencontroller.
b) Wartezeit des Dateireplikationsdienstes (eine auf einem anderen Domänencontroller erstellte Datei hat nicht auf dem aktuellen Domänencontroller repliziert).
c) Der DFS-Client (Distributed File System) wurde deaktiviert.

"

 

Die Namensauflösung kann es nicht sein!

Ein Ping auf den Namen des Domainservers liefert ein Ergebnis.

 

Die Wartezeit schließe ich erstmal aus.

 

Bleibt "Der DFS-Client (Distributed File System) wurde deaktiviert."

Welcher Dienst ist das?
Ich habe schon in den Diensten nachgeschaut.
 

bearbeitet 5. Januar 2023 von info@vision4d.de

[Sunny61 806]

vor 11 Minuten schrieb info@vision4d.de:

Bei meinem User (RK) geht es.
Komisch ich bin ja in der Gruppe der Administratoren

Gruppenrichtlinien greifen nicht auf Gruppen! Gruppenrichtlinien greifen nur auf eine Gruppe von Benutzer- und/oder Computerobjekten. Der Unterschied ist klein, aber sehr fein.

 

Prüf die Uhrzeit, das Datum und die Zeitzone der beteiligten Maschinen. Hast Du die Zeit irgendwie konfiguriert? Wenn ja, wie genau? Nein, nichts ändern, einfach nur beschreiben was Du konfiguriert hast.

[NorbertFe 2.045]

Und der kundenname wieder öffentlich im Forum. :/

[info@vision4d.de 0]

Die Uhrzeit ist auf allen rechnern exakt gleich!

 

Ich habe mir auf meinem Rechner ein Excel-Liste der Dienste erzeugt!

Ich habe mir auf dem Rechner NG ein Excel-Liste der Dienste erzeugt!

 

Diese versuche ich gerade zu vergleichen.

 

Frage: in der Gruppenrichtlinienverwaltung gibt es nicht die Gruppe "Users" di in der AD Verwaltung existiert.

Wie kann ich dem Aministrator die GPO zuweisen?

 

 

Sorry NorbertFe.

 

Hab mich so bemüht überall es rauszulösschen

[NorbertFe 2.045]

vor 32 Minuten schrieb info@vision4d.de:

Sorry NorbertFe.

 

Hab mich so bemüht überall es rauszulösschen

Bei mir musst du dich dafür nicht entschuldigen. War nur ein Hinweis, dass es da oben immer noch steht und es grundsätzlich eben Infos sind, die man nicht öffentlich bereitstellen sollte. Gründe dafür will ich nicht erläutern. :)

bearbeitet 5. Januar 2023 von NorbertFe

[testperson 1.680]

  

vor 9 Minuten schrieb info@vision4d.de:

Frage: in der Gruppenrichtlinienverwaltung gibt es nicht die Gruppe "Users" di in der AD Verwaltung existiert.

 

Das wird daran liegen, dass es keine Gruppen sind und in der Gruppenrichtlinienverwaltung nur Organisationseinheiten auftauchen. "Users" ist ein Container und deshalb nicht vorhanden.

[info@vision4d.de 0]

Danke

Ich mach mich mal auf den nachhauseweg.

Gibt eh schon Ärger.

Aber bitte morgen an der stelle weiter.

Danke an alle