none
Gruppenrichtlinien werden angewandt, aber die Einstellunge bleiben gleich. RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden
    Hallo liebe Community,

    ich habe ein kurioses Problem. Ich habe heute ein neues Gruppenrichtlinenobjekt erstellt, der 5 Werte in der Registry ersetzen soll. Ich habe für das Objekt zum Testen eine neue OU erstellt und dort ein Computerkonto reingeschoben um zu sehen ob die Richtline greift. An dem Client (Windows XPSP3) zeigt mir "gpresult" an, dass das neu erstellte Gruppenrichtline angewandt wurde. Problem dabei ist, dass keines der Werte gesetzt wird. Ich bekomme auch keine Fehler im Eventlog angezeigt oder über RSOP.msc. Kann mir vielleicht jemand von euch sagen, wie das angehen kann, dass ein Gruppenrichtlinenobjekt laut gpresult angewandt wird, aber nicht die dort konfigurierten Einstellungen vorgenommen werden?

    Gruß
    Martin
    Donnerstag, 10. September 2009 15:25
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden
    Hallo,

    mal ganz dumm gefragt: Das Update KB943729 hast Du aber auf den XP Kisten installiert? Sonst geht das nicht.

    Viele Grüße

    Frank
    Freitag, 11. September 2009 04:40
    |
  • Question
    Anmelden
    1
    Anmelden
    Hi,
    Konkret setze ich die Einstellungen unter : User Config. -> Windows Settings -> Registry. Dort habe ich die einzelnen Registry Items erstellt die ersetzt werden sollen.
    Ok, da fehlt wohl noch der Punkt "Preferences" zwischen den Knoten.
    Die Werte werden am Client nicht geschrieben. RSOP.msc zeigt die Richtline als angewandt an, das ist aber auch alles.
    Ralph Andreas meinte wahrscheinlich "CSE" und nicht "CSC". Also genau den Punkt, den Frank auch nannte - Du wirst schlichtweg die GPP CSEs nicht auf den Clients installiert haben. Installiere den genannten KB + XML-Lite auf den Clients (z.B. per WSUS), dann sollte es klappen.

    Viele Grüße Fabian
    http://blogs.technet.com/deds
    Freitag, 11. September 2009 06:56
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden
    Hi Martin,

    >sollte es dann nicht irgendwelche Fehler bei der Verarbeitung der Gruppenrichtline geben?
    Nicht unbedingt, denn was soll der Client melden, wovon er nichts kennt. :-)

    Gibt uns mal ein Bespiel - wie Fabian es schrieb.

    Wo hast Du die Reg-Änderung in der GruRiLi gesetzt ?

    Sind die CSC - Erweiterungen auf den Clients aktuallisiert ?
    Gruß Ralph Andreas Altermann
    Donnerstag, 10. September 2009 16:42
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden
    Hi Martin,

    >wie das angehen kann, dass ein Gruppenrichtlinenobjekt laut gpresult angewandt wird, aber nicht die dort konfigurierten Einstellungen

    ...indem der Client die Einstellungen nicht interpretieren kann und sie einfach ignoriert.

    Aus welchen Domänenlevel kommt den die GruRiLi ?
    Gruß Ralph Andreas Altermann
    Donnerstag, 10. September 2009 15:29
    |
  • Question
    Anmelden
    0
    Anmelden
    Hi Martin,

    ergänzend zu der Anmerkung von Ralph Andreas:

    - Welche Einstellungen setzt Du konkret?
    - Werden die Werte auf dem Client tatsächlich geschrieben? Wenn es Registry Werte sind, läßt sich das ja recht schnell nachprüfen.
    - Habt Ihr unter Umständen die Werte auf den betroffenen Clients einmal manuell gelöscht?

    Viele Grüße
    Fabian
    http://blogs.technet.com/deds
    Donnerstag, 10. September 2009 15:53
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden
    Hi Andreas,

    wenn du mit Domänenlevel die Funktionsebene meinst, dann ist Windows Server 2008. Meines Erachtens kann man Registry Keys über die GPO schon seit Win2k3 ändern...? Falls der Client mit den Einstellungen nichts anfangen kann, sollte es dann nicht irgendwelche Fehler bei der Verarbeitung der Gruppenrichtline geben?
    Donnerstag, 10. September 2009 15:56
    |
  • Question
    Anmelden
    0
    Anmelden
    Hi Martin,

    >sollte es dann nicht irgendwelche Fehler bei der Verarbeitung der Gruppenrichtline geben?
    Nicht unbedingt, denn was soll der Client melden, wovon er nichts kennt. :-)

    Gibt uns mal ein Bespiel - wie Fabian es schrieb.

    Wo hast Du die Reg-Änderung in der GruRiLi gesetzt ?

    Sind die CSC - Erweiterungen auf den Clients aktuallisiert ?
    Gruß Ralph Andreas Altermann
    Donnerstag, 10. September 2009 16:42
    |
  • Question
    Anmelden
    0
    Anmelden


    So, dann will ich mal auf eure Fragen eingehen...

    >- Welche Einstellungen setzt Du konkret?
    >- Werden die Werte auf dem Client tatsächlich geschrieben? Wenn es Registry Werte sind, läßt sich das ja recht schnell nachprüfen.
    >- Habt Ihr unter Umständen die Werte auf den betroffenen Clients einmal manuell gelöscht?

    Konkret setze ich die Einstellungen unter : User Config. -> Windows Settings -> Registry. Dort habe ich die einzelnen Registry Items erstellt die ersetzt werden sollen. Beispiel für eins das dort konfiguriert ist "System\CurrentControlSet\Control\Lsa" Value Name : "Security Packages" (REG_MULTI_SZ) -:          Value Data :kerberos
                     msv1_0
                     schannel
                     wdigest
                     tspkg

    Die Werte werden am Client nicht geschrieben. RSOP.msc zeigt die Richtline als angewandt an, das ist aber auch alles.

    Die Werte am Client wurden nicht manuell gelöscht. Der Client verhält sich so, als würde er die Richtline ignorieren.

    CSC Erweiterungen sind meines Wissens nicht auf dem Client installiert. Sind die notwendig?
    Donnerstag, 10. September 2009 22:02
    |
  • Question
    Anmelden
    1
    Anmelden
    Hallo,

    mal ganz dumm gefragt: Das Update KB943729 hast Du aber auf den XP Kisten installiert? Sonst geht das nicht.

    Viele Grüße

    Frank
    Freitag, 11. September 2009 04:40
    |
  • Question
    Anmelden
    1
    Anmelden
    Hi,
    Konkret setze ich die Einstellungen unter : User Config. -> Windows Settings -> Registry. Dort habe ich die einzelnen Registry Items erstellt die ersetzt werden sollen.
    Ok, da fehlt wohl noch der Punkt "Preferences" zwischen den Knoten.
    Die Werte werden am Client nicht geschrieben. RSOP.msc zeigt die Richtline als angewandt an, das ist aber auch alles.
    Ralph Andreas meinte wahrscheinlich "CSE" und nicht "CSC". Also genau den Punkt, den Frank auch nannte - Du wirst schlichtweg die GPP CSEs nicht auf den Clients installiert haben. Installiere den genannten KB + XML-Lite auf den Clients (z.B. per WSUS), dann sollte es klappen.

    Viele Grüße Fabian
    http://blogs.technet.com/deds
    Freitag, 11. September 2009 06:56
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden
    > Ok, da fehlt wohl noch der Punkt "Preferences" zwischen den Knoten.
    Sorry,mein Fehler. Habe ich nicht hingeschrieben.

    > Ralph Andreas meinte wahrscheinlich "CSE" und nicht "CSC". Also genau den Punkt, den Frank auch nannte - Du wirst schlichtweg die GPP CSEs nicht auf den Clients installiert haben. Installiere den genannten KB + XML-Lite auf den Clients (z.B. per WSUS), dann sollte es klappen.

    alles klar, werde ich dann machen und berichten.

    Danke erstmal für eure tatkräftige Unterstützung :-)
    Freitag, 11. September 2009 07:05
    |
  • Question
    Anmelden
    0
    Anmelden
    Hi Martin,

    zusätzlich noch der Hinweis, daß Du natürlich keine Maschinen-Einstellungen im Benutzer-Bereich konfigurieren kannst - zumindest solange die Benutzer keine lokalen Administratoren sind.
    Konkret setze ich die Einstellungen unter : User Config. -> Windows Settings -> Registry.

    Dort habe ich die einzelnen Registry Items erstellt die ersetzt werden sollen. Beispiel für eins das dort konfiguriert ist "System\CurrentControlSet\Control\Lsa"
    Value Name : "Security Packages" (REG_MULTI_SZ) -: Value Data :kerberos msv1_0 schannel wdigest tspkg
    Von daher ist fraglich, ob es danach laufen würde - ich vermute eher nicht.

    Der bessere Weg ist dann eher die Einstellungen im COmputer-Teil der Preferences zu definieren und ggf. über Item-Level Targeting einzuschränken, auf welchen Clients es angewendet werden soll (oder besser gleich auf Security Filter Ebene der Policy, wenn das möglich ist).

    Viele Grüße Fabian
    http://blogs.technet.com/deds
    Freitag, 11. September 2009 07:08
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden
    Hi Fabian,

    ursprünglich war die Konfiguration in den Machinen-Einstellungen. Ich habe zu Testzwecken in beiden Bereichen was eingetragen um den Fehler irgendwie einzugrenzen.

    Ich habe nun das Update installiert und es funktioniert... @_@

    ihr hattet somit alle Recht und ich war der Dumme. Na wenigstens habe ich was gelernt und ich hoffe euch nicht mehr mit solchen banalen Fragen belästigen zu müssen. ;-)

    Gruß Martin
    Freitag, 11. September 2009 08:12
    |
  • Question
    Anmelden
    0
    Anmelden
    Hi Martin,

    keine Sorge, für Fragen ist ein Forum da. :-)
    Schön, daß es nun funktioniert.

    Schönes Wochenende und viele Grüße
    Fabian
    http://blogs.technet.com/deds
    Freitag, 11. September 2009 08:14
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden
    Hi@All,

    den ausführlichen Anmerkung zum Schluß von Fabian, schliesse ich mich einfach mal an :-)

    PS: Der berümhte Tippfehler CSC und CSE - ich übe halt noch.
    Gruß Ralph Andreas Altermann
    Freitag, 11. September 2009 10:52
    |