none
Gruppenrichtlinie greift für einen Benutzer nicht RRS feed

  • Frage

  • Hi an alle,



    nach Einrichtung einer Gruppenrichtlinie und nachfolgender Änderung wird
    die Änderung scheinbar an einem Rechner nicht umgesetzt.



    - Server: 2008 in 2008-Domäne

    - Gruppenrichtlinie X wird auf einen Computer angewendet, dieser ist Terminalserver mit 2008R2

    - Einstellungen u.a. in Gruppenrichtlinie X:

      - Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie ist mit Modus "Ersetzen" aktiviert.

      - Benutzerkonfiguration --> Richtlinien --> Administrative Vorlagen --> Windows Komponenten --> Windows-Explorer

        --> Standardkontextmenü aus Windows-Explorer entfernen ist aktiv

    - Clients wahlweise Windows XP oder Windows 7 (32 und 64bit)



    Entferne ich das Standardkontextmenü mittels aktiver Richtlinie, kann
    der Benutzer u.a. kein Kontextmenü eines Druckers mehr anzeigen lassen
    oder den Standarddrucker ändern. Das war für die Ersteinrichtung
    hinderlich, deshalb habe ich die Richtlinie noch einmal deaktiviert. An
    einem Rechner konnte ich danach wieder das Kontextmenü nutzen, an einem
    zweiten nicht. Noch merkwürdiger: Deaktiviere ich die komplette
    Richtlinie und noch nur den einen Wert, funktioniert es an dem Rechner
    trotzdem nicht. Testweise habe ich einen weiteren Testuser angelegt und
    diesen auch vom problematischen PC aus verbunden. Klappt. Verbindet sich
    hingegen der Mitarbeiter mit seinem Account wieder, funktioniert es
    nicht.

    Beide Mitarbeiter sind in derselben OU und haben dieselben
    Berechtigungen / Gruppenmitgliedschaften, daran kann es also nicht
    liegen. Beide Mitarbeiter haben ein Remotedesktopdienste-Benutzerprofil
    und einen -Basisordner auf dem Terminalserver.



    rsop.msc bzw. gpresult auf dem fraglichen Rechner zeigen auch nicht an, dass die Richtlinie aktiv ist, wenn ich sie deaktivere.



    Wie kann das sein?  Hat das evtl. etwas mit dem Benutzerprofil auf dem TS zu tun?



    Gruß

    MCITP Server Administrator MCTS 2008R2 Server Virtualization

    Freitag, 7. September 2012 13:12

Antworten


  • Frage ist jetzt eben, wie ich diesen Wert löschen kann und dann schaue, ob er wieder auftaucht oder nicht.



    Naja - das ist ein Terminal Server, da ist das eigentlich recht einfach: Regedit starten, gehe nach HKU. Ermittle vorher die SID des Users, die findest Du unter HKU wieder, wenn der User angemeldet ist...
    Alternativ: regedit, HKU, Menü Datei - Struktur laden - ntuser.dat des Users (dann darf er natürlich nicht angemeldet sein).

    mfg Martin

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    • Als Antwort markiert Coreknabe Dienstag, 25. September 2012 08:49
    Dienstag, 18. September 2012 20:54
    Beantworter

Alle Antworten

  • Hallo noch mal,

    zum Thema Benutzerprofil: Habe das RDP-Profil des Benutzers gelöscht, das Problem besteht trotzdem weiter.


    MCITP Server Administrator MCTS 2008R2 Server Virtualization

    Montag, 10. September 2012 10:41
  • Schau Dir mal das GPO-Eventlog des betroffenen Rechners auf Warnungen
    und Fehler an. Ggf. führe manuell "gpupdate" aus - was wird hier in der
    Konsole protokolliert?
     
    mfg Martin
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Freitag, 14. September 2012 08:05
    Beantworter
  • Moin Martin,

    habe ich ausgeführt, es werden aber keine Fehler oder Warnungen angezeigt.

    Gruß


    MCITP Server Administrator MCTS 2008R2 Server Virtualization

    Freitag, 14. September 2012 08:33
  • Dann wären wir jetzt bei "gpresult /h report.html" - was sagt
    report.html über angewendete User-GPOs? Und was steht da für eine
    Konfiguration für das Standardkontextmehnü?
     
    mfg Martin
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Freitag, 14. September 2012 09:24
    Beantworter
  • In der Konfiguration ist diese Einstellung nicht vorhanden, wenn ich gpresult aufrufe. Rufe ich die Richtlinienmodellierung für den fraglichen Benutzer auf, wird die Einstellung auch nicht angezeigt.


    MCITP Server Administrator MCTS 2008R2 Server Virtualization


    • Bearbeitet Coreknabe Freitag, 14. September 2012 11:13
    Freitag, 14. September 2012 11:12
  • Dann bin ich (per Forum) am Ende... Ich würde jetzt einfach den
    zugehörigen Regkey mal untersuchen, dann löschen, dann GPUpdate /force -
    ist er wieder da? Dann MUSS er aus einer GPO kommen.
    key="Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"
    valueName="NoViewContextMenu"
     
    mfg Martin
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Freitag, 14. September 2012 13:15
    Beantworter
  • Hi noch mal,

    vielen Dank auch für diesen Tipp. Habe heute mal in die Registry geschaut, nachdem der Benutzer die Verbindung aufgebaut hat. Lustig:  Unter HKLM\SOFTWARE\MICROSOFT\Windows\CurrentVersion\Policies\Explorer befindet sich kein Eintrag "NoViewContextMenu". Gesetzt den Fall, dass ist der richtige Schlüssel, frage ich mich jetzt erst recht, woher diese Einstellung kommt und gerade an diesem Benutzer "klebt". Der Benutzer hat sich auch über einen anderen Domänenrechner angemeldet, trotzdem darf er nicht den Druckerkontext ändern. An dem Benutzerrechner liegt es also auch nicht. Ist mir ein absolutes Rätsel, warum diese Einstellung immer noch da ist.

    Gruß


    MCITP Server Administrator MCTS 2008R2 Server Virtualization

    Montag, 17. September 2012 13:09
  •  
    > Unter HKLM\SOFTWARE\MICROSOFT\Windows\CurrentVersion\Policies\Explorer
    > befindet sich kein Eintrag "NoViewContextMenu".
     
    Ist ne User-Policy, da solltest besser unter HKCU schauen ;-)
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Dienstag, 18. September 2012 08:00
    Beantworter
  • Autsch... Ich stelle mich mal für den Rest des Tages in die Schäm-Ecke.

    Du hast Recht, ich bin schon mal einen Schritt weiter. Beim betreffenden Benutzer ist der Wert "NoViewContextMenu" auf (1) gesetzt. Teste ich mit einem anderen Benutzer, der das beschriebene Problem nicht hat, findet sich der Wert nicht.

    Allerdings kann ich den Wert nicht löschen, da der Benutzer logischerweise keine Adminrechte auf dem TS hat. Fehlermeldung beim Löschen: Nicht alle angegebenen Werte können gelöscht werden.

    Ich nehme an, dass ist die verklausulierte Beschreibung für "keine Adminrechte"?   Werde das bei Gelegenheit mal testen und gebe eine Rückmeldung. Bis hierhin schon mal vielen Dank an Dich, Martin!

    Gruß


    MCITP Server Administrator MCTS 2008R2 Server Virtualization

    Dienstag, 18. September 2012 13:29
  • Am 18.09.2012 schrieb Coreknabe:

    Du hast Recht, ich bin schon mal einen Schritt weiter. Beim betreffenden Benutzer ist der Wert "NoViewContextMenu" auf (1) gesetzt. Teste ich mit einem anderen Benutzer, der das beschriebene Problem nicht hat, findet sich der Wert nicht.

    Dann liegt der Benutzer nicht im Verwaltungsbereich der GPO.

    Allerdings kann ich den Wert nicht löschen, da der Benutzer logischerweise keine Adminrechte auf dem TS hat. Fehlermeldung beim Löschen: Nicht alle angegebenen Werte können gelöscht werden.

    Nein, ein Benutzer kann nicht unterhalb von Policies löschen, wäre ja
    auch zu blöd wenn das die Benutzer selbst löschen könnten. ;)

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Dienstag, 18. September 2012 17:04
  • Hi Winfried,

    danke auch für Deinen Beitrag.

    Richtig, der Benutzer liegt nicht im Verwaltungsbereich der GPO. Der "Problem-User" aber auch nicht, da ich die GPO entsprechend geändert habe, der Wert "NoViewContextMenu" dürfte eigentlich gar nicht vorhanden sein. Das ist ja eben die Krux.

    Frage ist jetzt eben, wie ich diesen Wert löschen kann und dann schaue, ob er wieder auftaucht oder nicht.


    MCITP Server Administrator MCTS 2008R2 Server Virtualization

    Dienstag, 18. September 2012 19:30

  • Frage ist jetzt eben, wie ich diesen Wert löschen kann und dann schaue, ob er wieder auftaucht oder nicht.



    Naja - das ist ein Terminal Server, da ist das eigentlich recht einfach: Regedit starten, gehe nach HKU. Ermittle vorher die SID des Users, die findest Du unter HKU wieder, wenn der User angemeldet ist...
    Alternativ: regedit, HKU, Menü Datei - Struktur laden - ntuser.dat des Users (dann darf er natürlich nicht angemeldet sein).

    mfg Martin

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    • Als Antwort markiert Coreknabe Dienstag, 25. September 2012 08:49
    Dienstag, 18. September 2012 20:54
    Beantworter
  • Das war es. Aus welchen Gründen auch immer gab es diesen Eintrag für den Benutzer. Ich habe Ihn gelöscht, danach ist er auch nicht wieder aufgetaucht.  Vielen herzlichen Dank!

    Gruß


    MCITP Server Administrator MCTS 2008R2 Server Virtualization

    Dienstag, 25. September 2012 08:49