none
Prüfen, auf wen eine GPO NICHT wirkt ?

    Frage

  • Hallo,
    wer sich mal ein wenig im Gruppenrichtlinieneditor von Windows Server 2012 R2 (und neuer) umschaut, dem wird auch die Option "Gruppenrichtlinienergebnisse" aufgefallen sein, mit dem man prüfen kann, welche GPO auf einen bestimmten Benutzer wirken und welche nicht. Gibt es eigentlich eine Möglichkeit, möglichst einfach den umgekehrten Weg zu prüfen ? Sprich: GPO angeben und dann angezeigt bekommen, auf welche User diese GPO wirkt und welche auf welche nicht?
    Donnerstag, 28. Februar 2019 17:42

Alle Antworten

  • Hi
     
    Am 28.02.2019 um 18:42 schrieb MarcoW75:
    > [...] Gibt es eigentlich eine Möglichkeit, möglichst einfach den
    > umgekehrten Weg zu prüfen ?
     
    Nein. Das musst du Scripten.
    Die GPO weiss nicht, wo sie angenwendet wird. Das ist kein Bestandteil
    des GP Objekts. Der Link ist eine Eigenschaft der OU.
     
    Du musst die gPLink Attribute der OUs durchsuchen und alle User
    auflisten, die im Sicherheitsfilter der GPO das Recht "übernehmen" haben.
     
    Nachteil und Grund, warum dir das nicht hilft:
    Du weisst nur "wo" sie ankommen sollte, aber das heisst ja nichts. Denn
    die fehlt der Rest der Kette. Wurde der GPO oder einer der Einstellungen
    widersprochen?
     
    Tschö
    Mark
    --
    Mark Heitbrink
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10
     
    Donnerstag, 28. Februar 2019 18:27
  • Hallo,

    Nein, es gibt es keine einfache oder vollständige Liste auf welche User eine GPO wirkt. Wenn es sich um eine reine GPO mit Benutzereinstellungen handelt, kann man sich einfach die Benutzer aus den OUs angeben lassen auf die die GPO wirkt. Handelt es sich aber um Computereinstellungen dann müsste man ja wissen ob sich der Nutzer auf einem Computer anmelden kann wo die GPO wirkt. Noch schlimmer wird es wenn die Loopback Verarbeitung ins Spiel kommt. 


    Benjamin Hoch
    MCSE: Data Platform & Data Management and Analytics
    MCSA: SQL Server 2012/2014 & 2016 DB Administration
    MCSA: Windows Server 2012

    Donnerstag, 28. Februar 2019 18:29
  • Nein. Das musst du Scripten.

    ...

     Tschö
    Mark
    --
    Mark Heitbrink
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10
     

    Darf ich mir den einrahmen? ;-)

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    Donnerstag, 28. Februar 2019 19:03
  • Hallo,

    Nein, es gibt es keine einfache oder vollständige Liste auf welche User eine GPO wirkt. Wenn es sich um eine reine GPO mit Benutzereinstellungen handelt, kann man sich einfach die Benutzer aus den OUs angeben lassen auf die die GPO wirkt.


    Das würde mir ja schon reichen,da es sich tatsächlich nur um eine GPO mit Benutzereinstellungen handelt.


    Um etwas ins Detail zu gehen, warum ich eigentlich frage: Unsere Nutzer sind in verschiedenen OU eingruppiert (je nach Firmenstandort eine). Ich habe das bisher verwendete Loginscript zum Mounten von Netzlaufwerken rausgeworfen und als GPO neu umgesetzt. Diese GPO habe ich per Zielgruppenadressierung auf die OU unseres Hauptstandortes zugewiesen. Ich habe die Ausführung der GPO mit mehreren verschiedenen Benutzeraccounts getestet...sie wird anstandlos ausgeführt.

    Es dauerte nicht lange, da meldete sich eine Benutzerin aus dieser OU, dass die Laufwerke nicht da seien. Nun, zuerst dachte ich, dass sie mal wieder vergessen hat, das Lan-Kabel in den Laptop einzustöpseln...wäre nicht das erste Mal. Nachdem sie Stein und Bein schwörte, dass dem nicht so war, hab ich mal die Gruppenrichtlinienergebnisse für ihren Account anzeigen lassen und kriegte angezeigt,dass die betreffende GPO tatsächlich nicht ausgeführt wird, obwohl ihr Account die GPO lesen darf. Erst nachdem ich ihren Account ausdrücklich der Zielgruppenadressierung hinzugefügt habe, wurde die GPO angewandt.   Und daher rührte auch letztendlich die Frage,ob ich quasi anhand der GPO anzeigen lassen kann, auf wen sie wirkt bzw auf wen nicht.
    Freitag, 1. März 2019 22:31
  • Ein kleines Update:

    Das Problem, dass die Laufwerke nicht eingebunden werden, scheint bei dieser Userin nur auf einem einzigen Terminalserver vorzukommen. Testweise habe ich mich mit ihrem Account mal an meinem Dienstlaptop angemeldet....alles ok. An einem anderen Terminalserver eingeloggt..alles ok. Nur bei diesem einen Terminalserver tut sich nix, obwohl nirgendwo was hinterlegt ist, was den betreffenden TS ausschließt. Wenn ich die GPO dort manuell aktualisiere (gpupdate /force) läuft das zwar durch und interessanterweise zeigt auch gpresult /r an, dass die GPO umgesetzt wurde. 
    Bei allen anderen Usern der entsprechenden OU funktioniert die GPO anstandslos.
    Mittwoch, 6. März 2019 09:26
  • Am 06.03.2019 um 10:26 schrieb Marco Jahn:
    > gpresult /r an, dass die GPO umgesetzt wurde.
    > Bei allen anderen Usern der entsprechenden OU funktioniert die GPO anstandslos.
    Auf dem Eintrag selbst: Item Level Targeting verwendet?
     
    Du wirst doch bestimmt nicht PRO LW eine GPO haben ...
     
    Tschö
    Mark
    --
    Mark Heitbrink
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10
     
    Mittwoch, 6. März 2019 13:53
  • Am 06.03.2019 schrieb Marco Jahn:

    Das Problem, dass die Laufwerke nicht eingebunden werden, scheint bei dieser Userin nur auf einem einzigen Terminalserver vorzukommen. Testweise habe ich

    Das lokale Benutzerprofil auf dem TS löschen und bei der nächsten
    Anmeldung neu erstellen lassen.

    Servus
    Winfried


    WSUS Package Publisher:
    https://github.com/DCourtel/Wsus_Package_Publisher
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren:
    https://github.com/JochenKalmbach/communitybridge
    GP-PACK - PRIVACY AND TELEMETRIE: http://www.gp-pack.com/

    Mittwoch, 6. März 2019 16:49