none
Loopback Policy funktioniert nicht RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen,
    ich bin gerade dabei einen RDP Server (W2K8R2) in Betrieb zu nehmen.
    Habe innerhalb der 2003er Domäne unterhalb der Basis-OU eine neue OU erstellt.
    Die Gruppenrichtlinienvererbung in der neuen OU ist deaktiviert so daß neben der "Default Domain Policy" nur die Policies der neuen OU angewendet werden.
    Das Computerkonto des RDP Servers ist in dieser neuen OU.
    Die Accounts der Benutzer die sich am RDP anmelden befinden sich in anderen OUs unterhalb der Basis-OU aber außerhalb der neuen OU.
    Die Sicherheitsrichtlinien der Gruppenrichtlinien Delegation sind nicht verändert, kein Secutityfiltering oder WMI-Filter aktiv.
    Die Gruppe Authentifizierte Benutzer ist vorhanden.
    Innerhalb der neuen OU habe ich eine GPO erstellt.
    In den Computereinstellungen ist der Loopbackmodus auf "ersetzen" gestellt.
    Also komplett durchgängig nachvollziehbar.
    Gpupdate und/oder Reboot des RDP Servers wurden nach der Erstellung der GPO gemacht.
    Problem:
    Die Gruppenrichtlinie bzw. der Loopbackmodus wird nicht angewendet.
    Der Bericht von Gpresult belegt dieses.
    Die GPO wird zwar als "angewendet" aufgelistet aber die Loopbackeinstellung ist nicht zu finden.
    Eine Gruppenrichtlinien Modellierung mit den selben Einstellungen zeigt aber die gewünschten Resultate.

    Mittwoch, 5. Februar 2014 15:27
    |

Antworten

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden
    > Die Gruppenrichtlinienvererbung in der neuen OU ist deaktiviert so daß
    > neben der "Default Domain Policy" nur die Policies der neuen OU
    > angewendet werden.
     
    Die DDP ist nicht erzwungen, die wird also auch nicht angewendet :)
     
    > Die GPO wird zwar als "angewendet" aufgelistet aber die
    > Loopbackeinstellung ist nicht zu finden.
     
    Dann schau mal direkt in die Registry. Gibt es den Wert
    HKLM\Software\Policies\Microsoft\Windows\System:UserPolicyMode?
     
    1 wäre Zusammenführen, 2 Ersetzen.
     
    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Mittwoch, 5. Februar 2014 15:42
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Hallo Martin,
    wie man's konfiguriert mit der DDP (((-;
    Der Wert existiert nicht.
    Der würde wohl existieren wenn der Loopback Modus in den lokalen Richtlinien aktiviert wäre?
    Danke.

    Mittwoch, 5. Februar 2014 16:39
    |
  • Question
    Anmelden
    0
    Anmelden
    > wie man's konfiguriert mit der DDP (((-;
     
    Ja, kann man auch erzwingen, schon klar :)
     
    > Der würde wohl existieren wenn der Loopback Modus in den lokalen
    > Richtlinien aktiviert wäre?
     
    Ja, würde er. Dann guck mal, ob gpupdate /force eine Bildschirmausgabe
    produziert...
     
    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Mittwoch, 5. Februar 2014 16:49
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden
    Ja klar, beide User/Computer Updates werden anstandslos ausgeführt.
    So wie Du es kennst ... erfolgreich abgeschlossen ...
    Mittwoch, 5. Februar 2014 16:56
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi Martin,
    es tut mir leid, aber nach der Mini-Diskussion um DDP und nach nochmaliger Analyse des Gpresult Reports dämmerte es.
    Mein Vorgänger hatte den Loopbackmodus in der DDP deaktiviert.
    Vielen Dank, ohne Dich wäre ich so schnell nicht auf den Trichter gekommen.
    Schönen Abend noch. Der Feierabend ist gerettet.
    Wie kann ich Dir den Punkt gutschreiben?


    Mittwoch, 5. Februar 2014 17:03
    |
  • Question
    Anmelden
    0
    Anmelden
    > Wie kann ich Dir den Punkt gutschreiben?
     
    Einfach "Als Antwort markieren" ;-)
     
    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Donnerstag, 6. Februar 2014 09:14
    |
    Beantworter
  • Question
    Anmelden
    1
    Anmelden
    > Mein Vorgänger hatte den Loopbackmodus in der DDP deaktiviert.
     
    Und die habt Ihr erzwungen? Ok, zwei Vergehen gegen best practice:
     
    1. Ändere nie die DDP oder die DDCP - erstelle eigene Policies und
    schiebe die in der Link Order nach oben.
     
    2. Erzwinge nie eine Policy, wenn es keinen zwingenden (!) Grund dafür
    gibt. Und hier sehe ich gar keinen Grund :)
     
    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Donnerstag, 6. Februar 2014 09:15
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Am 06.02.2014 schrieb Martin Binder [MVP]:
    Hi,

    Und die habt Ihr erzwungen?

    Klar, das klingt so "mächtig". ;)

    Bye
    Norbert

    Dilbert's words of wisdom #10:
    I don't have an attitude problem. You have a perception problem.
    nntp-bridge Zugriff auf die MS Foren wieder möglich:
    https://communitybridge.codeplex.com/

    Donnerstag, 6. Februar 2014 14:47
    |
    Moderator