none
GPO´s werden erst nach "GPUpdate /force" gezogen RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo Forengemeinde!

    Es können noch nicht ganz viele Clients von diesem Phänomen betroffen sein, sonst würde mein Telefon nicht mehr still stehen, aber ich habe einige Clients (Anzahl derzeit unbekannt), die die vorhandenen GPO´s erst vollständig ziehen, wenn ich an dem betreffende Client nach der Anmeldung von Hand "GPUpdate /force" laufen lasse.

    Nur durch Starten des PCs und Anmeldung eines Benutzers werden die GPO´s allem Anschein nach nur teilweise angewendet.

    Aktuell nachvollziehen kann ich das a) an einer Umgebungsvariable, die ich via GPO gesetzt habe (Computer-Einstellungen-Windows-Einstellungen-Umgebungsvariable und b) an den Proxy-Einstellungen (Benutzer-Einstellungen-Systemsteuerungseinstellungen-Interneteinstellungen-(Vorlage für IE erstellt)-Verbindungen).

    Es handelt sich bei den o.g. Einstellungen um solche, die aus zwei versch. GPOs kommen, es kann also vermtl. nicht an einer bestimmten GPO liegen sondern muss wohl etwas grundsätzlicheres sein.

    Folgende Einstellungen sind bereits gesetzt:
    Computerkonfiguration \ Administrative Vorlagen \ System \ Anmeldung
    "Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten"     = aktiviert

    Computerkonfiguration \ Administrative Vorlagen \ System \ Skripts
    "Anmeldeskripts gleichzeitig ausführen"     = aktiviert


    Hat zu dem Problem jemand eine Idee?

    Vielen Dank im Voraus!

    TJ


    • Bearbeitet T.J. Hooker Donnerstag, 21. November 2013 09:40
    Donnerstag, 21. November 2013 09:20
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hi!

    So, so wie es aussieht bin ich der Sache nun doch auf den Grund gekommen,
    das Zauberwort heißt ZEITDIFFERENZ.

    Zum Hinterrgund:
    In den Client-PCs, bei denen die Richtlinie nicht vollständig gezogen wird, sind sog. "Safety-Cards" verbaut, evtl. auch bekannt als "HDD Sherrif" (das sind Karten, die das System bei/nach einem Neustart wieder in den Ausgangszustand versetzten und alle Änderungen seit dem letzten Boot verwerfen).
    Die BIOS-Uhr der PC-Systeme läuft korrekt, das Windows auf der Festplatte ist aber wg. der Safety-Card noch im Sommermodus (Sommerzeit). Beim Hochfahren zieht der Client sich dann wohl die (richtige) Zeit und Zeitzone inkl. Sommer-/Winterzeit vom Server, und wenn man als Benutzer oder Admin das erste Mal was sieht, scheint alles OK zu sein (das erklärt auch, warum die GPO DANN mit "gpupdate /force" korrekt übernommen wird, denn zu diesem Zeitpunkt stimmt die Zeit ja wieder und ist synchron mit dem Server). Im Anwendungslog kann man allerdings erkennen, dass die ersten Einträge mit einem Zeitversatz von -1h generiert werden. GPResult meldet dann auch entsprechend "...konnte wegen Zeitunterschied nicht...".

    Klingt das soweit logisch, kann das der Grund sein? Von hier sieht es so aus...

    Was ich daran noch nicht ganz verstehe:
    Es ist nicht so, dass Richtlinien vollständig nicht angewendet werden, was ich logisch fände, sondern das scheinbar und so blöd das klingt nur die Änderungen nicht angewendet werden, die ich seit dem 27. Oktober (Umstellung von Sommer- auf Winterzeit) vorgenommen hatte, und das war in diesem Fall nur diese eine Umgebungsvariable.
    Hat dafür jemand eine Erklärung oder?

    Vielen Dank im Voraus!

    TJ

    • Als Antwort markiert T.J. Hooker Mittwoch, 27. November 2013 10:20
    Montag, 25. November 2013 13:30
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Am 21.11.2013 10:20, schrieb T.J. Hooker:

    Es handelt sich bei den o.g. Einstellungen um solche, die aus zwei
    versch. GPOs kommen, es kann also vermtl. nicht an einer bestimmten
    GPO liegen sondern muss wohl etwas grundsätzlicheres sein.

    ... immer auf das Netzwerk warten
    ... Anmeldescripts gleichzeitig ausführen

    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Donnerstag, 21. November 2013 10:44
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi Mark!

    Danke!

    Die beiden Einstellungen sind aber gesetzt, s. auch mein Anfangs-Posting.

    VG

    TJ

    Donnerstag, 21. November 2013 10:51
    |
  • Question
    Anmelden
    0
    Anmelden
    > Hat zu dem Problem jemand eine Idee?
     
    Aber immer doch :-)
     
    GPMC RSoP Report erstellen, nachdem die GPOs "scheinbar" nicht
    angewendet wurden. Ist Deine GPO als "angewendet" enthalten? Stimmt die
    Versionsnummer?
     
    Martin

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Donnerstag, 21. November 2013 11:03
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Am 21.11.2013 schrieb T.J. Hooker:
    Hi,

    Es können noch nicht ganz viele Clients von diesem Phänomen betroffen sein, sonst würde mein Telefon nicht mehr still stehen, aber ich habe einige Clients (Anzahl derzeit unbekannt), die die vorhandenen GPO´s erst vollständig ziehen, wenn ich an dem betreffende Client nach der Anmeldung von Hand "GPUpdate /force" laufen lasse.

    Ich kenne sowas, wenn sich irgenwelche "Sicherheitssoftware" (in meinem Fall
    wars Kaspersky) dazwischen klinkt und meint der PC wäre jetzt sicher. ;)

    Bye
    Norbert

    Dilbert's words of wisdom #32:
    If it wasn't for the last minute, nothing would get done.
    nntp-bridge Zugriff auf die MS Foren wieder möglich:
    https://communitybridge.codeplex.com/

    Freitag, 22. November 2013 10:45
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    bist Du hier weitergekommen?

    Gruss,
    Raul

    Raul Talmaciu, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Montag, 25. November 2013 07:54
    |
  • Question
    Anmelden
    0
    Anmelden

    Sorry, hab mir das Wochenende gegönnt...

    Hallo!

    Nein, leider bin ich nicht weiter gekommen...
    Ich habe in der GPMC auf dem Server mal den Assistenten ausgeführt, um zu sehen, welche Einstellungen beim Client ankommen MÜSSTEN. Dazu anbei zwei Screenshots. Es geht um die Variable "_JAVA_OPTIONS". Sieht aus meiner Sicht alles sauber aus.

    http://social.technet.microsoft.com/Forums/getfile/379142

    http://social.technet.microsoft.com/Forums/getfile/379144

    Nun hatte ich gedacht, ich installiere die RSAT´s mal auf einem meiner Problem-Clients. Putzigerweise ist mir auf 3 Clients passiert, dass die GPO vollständig gezogen wurde, also inkl. der Umgebungsvariable, nachdem ich die RSAT´s installiert hatte, so gesehen macht dann da ein lokal erzeugter Berischt nicht mehr viel Sinn weil ja alles so ist wie es sein soll.

    Auf Clients, auf denen die die RSAT´s nicht installiert habe, wir die die Variable jedenfalls nach wie vor teilweise nicht gesetzt, und ich kann mir nicht erklären warum...

    Sonst jemand?

    TJ


    • Bearbeitet T.J. Hooker Montag, 25. November 2013 11:06
    Montag, 25. November 2013 11:05
    |
  • Question
    Anmelden
    0
    Anmelden
    > Auf Clients, auf denen die die RSAT´s nicht installiert habe, wir die
    > die Variable jedenfalls nach wie vor teilweise nicht gesetzt, und ich
    > kann mir nicht erklären warum...
     
    "gpresult /v report.html" geht auch ohne RSAT.
     
    Martin

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Montag, 25. November 2013 11:23
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Hi!

    So, so wie es aussieht bin ich der Sache nun doch auf den Grund gekommen,
    das Zauberwort heißt ZEITDIFFERENZ.

    Zum Hinterrgund:
    In den Client-PCs, bei denen die Richtlinie nicht vollständig gezogen wird, sind sog. "Safety-Cards" verbaut, evtl. auch bekannt als "HDD Sherrif" (das sind Karten, die das System bei/nach einem Neustart wieder in den Ausgangszustand versetzten und alle Änderungen seit dem letzten Boot verwerfen).
    Die BIOS-Uhr der PC-Systeme läuft korrekt, das Windows auf der Festplatte ist aber wg. der Safety-Card noch im Sommermodus (Sommerzeit). Beim Hochfahren zieht der Client sich dann wohl die (richtige) Zeit und Zeitzone inkl. Sommer-/Winterzeit vom Server, und wenn man als Benutzer oder Admin das erste Mal was sieht, scheint alles OK zu sein (das erklärt auch, warum die GPO DANN mit "gpupdate /force" korrekt übernommen wird, denn zu diesem Zeitpunkt stimmt die Zeit ja wieder und ist synchron mit dem Server). Im Anwendungslog kann man allerdings erkennen, dass die ersten Einträge mit einem Zeitversatz von -1h generiert werden. GPResult meldet dann auch entsprechend "...konnte wegen Zeitunterschied nicht...".

    Klingt das soweit logisch, kann das der Grund sein? Von hier sieht es so aus...

    Was ich daran noch nicht ganz verstehe:
    Es ist nicht so, dass Richtlinien vollständig nicht angewendet werden, was ich logisch fände, sondern das scheinbar und so blöd das klingt nur die Änderungen nicht angewendet werden, die ich seit dem 27. Oktober (Umstellung von Sommer- auf Winterzeit) vorgenommen hatte, und das war in diesem Fall nur diese eine Umgebungsvariable.
    Hat dafür jemand eine Erklärung oder?

    Vielen Dank im Voraus!

    TJ

    • Als Antwort markiert T.J. Hooker Mittwoch, 27. November 2013 10:20
    Montag, 25. November 2013 13:30
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Am 25.11.2013 14:30, schrieb T.J. Hooker:

    Zum Hinterrgund: In den Client-PCs, bei denen die Richtlinie nicht
    vollständig gezogen wird, sind sog. "Safety-Cards" verbaut, evtl.
    auch bekannt als "HDD Sherrif"

    Ihr habt per GPO die Änderung des Computerkontokennworts für diese
    Rechner verboten? Die fliegen sonst alle 30 Tage aus dem AD.

    Was ich daran noch nicht ganz verstehe: [...] das scheinbar und so
    blöd das klingt nur die Änderungen nicht angewendet werden, die ich
    seit dem 27. Oktober (Umstellung von Sommer- auf Winterzeit)
    vorgenommen hatte, und das war in diesem Fall nur diese eine
    Umgebungsvariable Hat dafür jemand eine Erklärung oder?

    Wie setzt du die Umgebungsvariable?

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Montag, 25. November 2013 18:33
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi!

    <blockquote>
    Ihr habt per GPO die Änderung des Computerkontokennworts für diese
    Rechner verboten? Die fliegen sonst alle 30 Tage aus dem AD.
    </blockquote>

    Nicht per GPO, aber die Einstellung ist gesetzt. Ich setze die Safety-Cards schon seit Jahren ein, und auf diese (samals nicht gesetzte) Einstellung bin ich schon vor langer Zeit "reingefallen"...  ;-)

    <blockquote>
    Wie setzt du die Umgebungsvariable?
    </blockquote>

    In meiner allgemeinen GPO unter
    COMPUTERKONFIG | EINSTELLUNGEN | WINDWS-EINSTELLUNGEN | UMGEBUNGSVARIABLEN
    und dort dann als Systemvariable mit der Aktion "Aktualisieren".

    VG

    TJ




    • Bearbeitet T.J. Hooker Dienstag, 26. November 2013 07:56
    Dienstag, 26. November 2013 07:54
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Am 26.11.2013 08:54, schrieb T.J. Hooker:

    In meiner allgemeinen GPO unter
    COMPUTERKONFIG | EINSTELLUNGEN | WINDWS-EINSTELLUNGEN | UMGEBUNGSVARIABLEN

    GPP laufen immer, es sei denn du hast unter Gemeinsam "nur einmalig anwenden" definiert. Die Version der GPO wird bei GPPs ignroriert und sie werden wie ein Script immer angewendet.
    Von daher sollte es selbst unter normalen Bedingungen KEIN force benötigen.

    Erstelle mal eine eigene neue GPO in der nur der Wert ist. Ändert das etwas?

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Dienstag, 26. November 2013 08:12
    |
  • Question
    Anmelden
    0
    Anmelden
    Hi!

    Das mit der GPO nur für diesen Zweck teste ich mal.

    Was mir auch noch eingefallen ist:
    Selbst wenn die GPO während des Systemstarts wegen der Zeitdifferenz nicht angewendet wird, im Laufe des Tages müsste sich der PC doch die Einstellung trotzdem ziehen, oder?

    TJ
    Dienstag, 26. November 2013 09:58
    |
  • Question
    Anmelden
    0
    Anmelden

    Selbst wenn die GPO während des Systemstarts wegen der Zeitdifferenz nicht angewendet wird, im Laufe des Tages müsste sich der PC doch die Einstellung trotzdem ziehen, oder?

    Nicht zwangsläufig.

    Stichwort TGT...

    http://www.grouppolicy.biz/2013/11/why-can-it-take-10-hours-for-group-policy-settings-to-apply/

    Der Benutzeranteil sollte eigentlich ohne Probleme laufen.
    Beim Computeranteil wird's fraglich.

    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    Dienstag, 26. November 2013 10:11
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden
    Danke für den Hinweis!
    Dienstag, 26. November 2013 10:37
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ist die Thematik abgeklärt? Wenn ja, bitte auch die Antworten markieren die Dir geholfen haben. So dass auch andere davon profitieren können.

    Gruss,
    Raul

    Raul Talmaciu, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Mittwoch, 27. November 2013 10:06
    |