none
falsche GPOs vom Client entfernen, damit neue richtige GPOs gezogen werden können RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hall zusammen,

    gibt es eine Möglichkeit, die AD-GPOs vom Client zu entfernen/löschen, damit der Client danach alle GPOs wieder neu von DC zieht?

    Wir haben eine UAG-GPO mir falschen Einträgen drin, die dazu führt, dass der Cleint auch intern seine DCs nicht mehr erreicht.

    Haken an der Sache. Ausser den lokalen Admin-Rechten am Client steht rein garnichts an Berechtigungen zur Verfügung. Selbst Regedit idt dem Dom-User mit localAdmin-Rechten verwehrt. Nur ein lokaler Admin-User dürfte das.

    Wer hat eine Idee?

    Grüße/Regards, Jens Klein
    Freitag, 20. Januar 2012 14:10
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Am 20.01.2012 15:10, schrieb Jens Klein_:

    die AD-GPOs vom Client zu entfernen/löschen

    Sofern es sich um ie Administrativen Vorlagen handelt und einige weitere
    CSEs, die in der Registry.pol Datei im Sysvol gespeichert werden, reicht es:

    HKCU und HKLM
    - \Software\Policies
    - \Software\Microsoft\Windows\CurrentVersion\Policies
    zu löschen

    Bei allen anderen liegt es daran, was du getan hast.

    TSchö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    • Als Antwort markiert Jens Klein_ Sonntag, 22. Januar 2012 10:10
    Freitag, 20. Januar 2012 15:37
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 20.01.2012 schrieb Jens Klein_:

    gibt es eine Möglichkeit, die AD-GPOs vom Client zu entfernen/löschen, damit der Client danach alle GPOs wieder neu von DC zieht?

    Wir haben eine UAG-GPO mir falschen Einträgen drin, die dazu führt, dass der Cleint auch intern seine DCs nicht mehr erreicht.

    Client in eine OU verschieben, auf der die GPO nicht wirkt. Wenn es
    keine Tattooenden Richtlinien sind, sollte mit dem verschieben alles
    im grünen Bereich sein.

    Haken an der Sache. Ausser den lokalen Admin-Rechten am Client steht rein garnichts an Berechtigungen zur Verfügung. Selbst Regedit idt dem Dom-User mit localAdmin-Rechten verwehrt. Nur ein lokaler Admin-User dürfte das.

    Alternativ den Rechner aus der Domain nehmen, und wieder aufnehmen.

    Servus
    Winfried

    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/
    Reg2xml:  http://www.reg2xml.com - Registry Export File Converter

    • Als Antwort markiert Jens Klein_ Sonntag, 22. Januar 2012 10:10
    Samstag, 21. Januar 2012 21:34
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Am 21.01.2012 21:30, schrieb Jens Klein_:

    nein, sind leider nicht die ADMs. Ist unter Windows-Einstellungen/Sicherheitseinstellungen...

    GPO im AD löschen und dann per secedit /export von einer sauberen
    Maschine (zB Win7 Blanko Install) die Einstellungen entnehmen und per
    secedit /import wieder integrieren.

    Deiner Beschreibung entnehme ich, dass es nicht möglich ist die geladenen GPOs sauber und einfach tuti completi zu entfernen?

    Doch das ist es. Nur hast du 42 Einzelkomponenten (CSE = Client Side
    Extensions), die die Daten importiert haben können und damit auch 42+x
    Lösungen, je nach verwendeter Komponente.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    • Als Antwort markiert Jens Klein_ Sonntag, 22. Januar 2012 10:10
    Sonntag, 22. Januar 2012 09:52
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Am 20.01.2012 15:10, schrieb Jens Klein_:

    die AD-GPOs vom Client zu entfernen/löschen

    Sofern es sich um ie Administrativen Vorlagen handelt und einige weitere
    CSEs, die in der Registry.pol Datei im Sysvol gespeichert werden, reicht es:

    HKCU und HKLM
    - \Software\Policies
    - \Software\Microsoft\Windows\CurrentVersion\Policies
    zu löschen

    Bei allen anderen liegt es daran, was du getan hast.

    TSchö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    • Als Antwort markiert Jens Klein_ Sonntag, 22. Januar 2012 10:10
    Freitag, 20. Januar 2012 15:37
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Mark,

    nein, sind leider nicht die ADMs. Ist unter Windows-Einstellungen/Sicherheitseinstellungen...

    Deiner Beschreibung entnehme ich, dass es nicht möglich ist die geladenen GPOs sauber und einfach tuti completi zu entfernen?

    Grüße/Regards, Jens Klein
    Samstag, 21. Januar 2012 20:30
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 20.01.2012 schrieb Jens Klein_:

    gibt es eine Möglichkeit, die AD-GPOs vom Client zu entfernen/löschen, damit der Client danach alle GPOs wieder neu von DC zieht?

    Wir haben eine UAG-GPO mir falschen Einträgen drin, die dazu führt, dass der Cleint auch intern seine DCs nicht mehr erreicht.

    Client in eine OU verschieben, auf der die GPO nicht wirkt. Wenn es
    keine Tattooenden Richtlinien sind, sollte mit dem verschieben alles
    im grünen Bereich sein.

    Haken an der Sache. Ausser den lokalen Admin-Rechten am Client steht rein garnichts an Berechtigungen zur Verfügung. Selbst Regedit idt dem Dom-User mit localAdmin-Rechten verwehrt. Nur ein lokaler Admin-User dürfte das.

    Alternativ den Rechner aus der Domain nehmen, und wieder aufnehmen.

    Servus
    Winfried

    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/
    Reg2xml:  http://www.reg2xml.com - Registry Export File Converter

    • Als Antwort markiert Jens Klein_ Sonntag, 22. Januar 2012 10:10
    Samstag, 21. Januar 2012 21:34
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Winfried,

    danke für Deine Hinweise.

    Grüße/Regards, Jens Klein
    Samstag, 21. Januar 2012 22:57
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Am 21.01.2012 21:30, schrieb Jens Klein_:

    nein, sind leider nicht die ADMs. Ist unter Windows-Einstellungen/Sicherheitseinstellungen...

    GPO im AD löschen und dann per secedit /export von einer sauberen
    Maschine (zB Win7 Blanko Install) die Einstellungen entnehmen und per
    secedit /import wieder integrieren.

    Deiner Beschreibung entnehme ich, dass es nicht möglich ist die geladenen GPOs sauber und einfach tuti completi zu entfernen?

    Doch das ist es. Nur hast du 42 Einzelkomponenten (CSE = Client Side
    Extensions), die die Daten importiert haben können und damit auch 42+x
    Lösungen, je nach verwendeter Komponente.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    • Als Antwort markiert Jens Klein_ Sonntag, 22. Januar 2012 10:10
    Sonntag, 22. Januar 2012 09:52
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Mark,

    das ist genau so 'einfach' wie ich es 'befürchtet' hatte. 

    Aber wenn Du das sagst, habe ich jetzt Gewissheit.   ;-)

    Danke für die Hinweise.

    Grüße/Regards, Jens Klein
    Sonntag, 22. Januar 2012 10:13
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 22.01.2012 11:13, schrieb Jens Klein_:

    das ist genau so 'einfach' wie ich es 'befürchtet' hatte.

    naja, aber wie Winfired schon schrieb:
    Die Security Settings sollte sich wieder auf "normal" einstellen, sobald
    die GPO entfernt wird, da sich (ausgenommen Dateisystem/NTFS Rechten) zu
    den automatisch löschbaren CSEs gehören.

    Ich habe es nur so verstanden, daß der DC garnicht mehr erreichbar ist,
    weil du nen fehlerhaften DNS verteilt hast, oder die Firewall zugemacht
    hast.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Sonntag, 22. Januar 2012 12:27
    |