none
GPO überschreitet Wirkungsbereich RRS feed

 > 

  • Allgemeine Diskussion

  • Discussion
    Anmelden
    0
    Anmelden

    Hallo,

    ich bin noch recht neu im GPO-Bereich und dachte eigentlich ich hätte die Grundlagen verstanden, aber dem scheint nicht so. Ich hoffe ihr könnt mir einen Tipp geben ob meine GPO's Amok laufen oder ob ich nur was übersehe.

    Folgendes Problem:

    Ich hab (vereinfacht gesagt) eine OU "Test" und eine "Produktiv". In der OU Test liegen nur die Test-GPOs und das Testsystem samt Testuser. In der Produktiv-OU der Rest. Nun hab ich in der Test-OU nach belieben GPO's getestet und unter anderem eine GPO erstellt, die Verknüpfungen auf dem Desktop erstellt, doch genau diese sehe ich plötzlich auch im Produktivsystem! Wenn ich mir aber in der GPO-Verwaltung die OU "Produktiv" anschaue, steht mein Testeintrag dort nirgends drin. Auch der Testeintrag in "Test" sagt er sei nur mit der OU-"Test" verknüpft. Den primären DC (auf dem ich auch die GPOs erstellt habe) habe ich schon mehrfach neu gestartet, ohne Änderung.

    Hat jemand einen Tipp für mich?

    Die Sicherheitsfilterung schränkt doch eigentlich nur weiter ein aber erweitert den Wirkungsbereich nicht, oder? Dort steht nämlich noch aus Testzeiten eine Gruppe mit allen Usern und Servern drin.

    Dienstag, 7. August 2012 13:36
    |

Alle Antworten

  • Discussion
    Anmelden
    0
    Anmelden
    Das mit dem Sicherheitsfilter ist richtig - der schränkt weiter ein...
     
    Was befindet sich denn so in Test und Produktiv? Und ist möglicherweise
    Loopback irgendwo aktiviert? Was sagt der
    Gruppenrichtlinien-Ergebnissatz für "Produktiv" - welche GPOs werden
    angwendet, welche abgelehnt, passt das alles?
     
    mfg Martin
     
    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Dienstag, 7. August 2012 15:01
    |
    Beantworter
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo Martin,

    danke für deine Antwort. LoopBack ist aktiv und auch gewollt und wird als allererstes ausgeführt, da hier nur Terminalserver benutzt werden. Allerdings hab ich mich Anfangs mit dem LBVM sehr schwer getan, evtl. hab ich da auch noch Mist gebaut.

    Im Gruppenrichtlinien-Ergebnissatz taucht mein Testlink nirgends auf.

    Die meisten GPO's sind nur Anpassungen des Startmenüs, Ordnerumleitungen und ähnlich "harmloses". Was ich aber gerade erstaunt feststelle, ist das mein "Installationen verbieten" abgelehnt wird, weil es angeblich leer ist. Klar, die Benutzerkonfiguration ist leer, aber die Computerkonfiguration ja nicht. Wieso taucht das dann nur unter den abgelehnten Gruppenrichtlienienobjekten auf und nicht unter den Angewendeten?

    "Installationen verbieten" sieht so aus:

    Computerkonfiguration (aktiviert)
Richtlinien
Administrative Vorgaben
Windows-Komponenten/Windows Installer
-->Windows Installer deaktivieren"Aktiviert" (Immer)

Benutzerkonfiguration (Aktiv)
leer

    Eine weitere GPO die Ports in der Windows-Firewall frei gibt, wird hingegen problemlos angewendet.

    Firewallanpassungen:

    Computerkonfiguration (aktiviert)
Richtlinien
Administrative Vorgaben
Netzwerk/Netzwerkverbindungen/Windows-Firewall/Domänenprofil
-->Windows-Firewall: Eingehende Portausnahmen festlegen
Port X:TCP 

Benutzerkonfiguration (Aktiv)
leer

    Kann es sein das der Sicherheitsfilter Probleme mit verschachtelten Gruppen hat?
    Ich hab eine Gruppe "Alle Terminalserverbenutzer" in der die Gruppen "User des Terminalservers 1" bis "User des Terminalservers X" sind. Erst in diesen Gruppen sind die eigentlichen User aufgeführt.

    Mittwoch, 8. August 2012 08:02
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Ich hab übrigens gerade ganz viele abgelehnt GPO's vom Typ

    {2FBC1DD9-C286-4E8B-9AA6-6740DDD0E42F} (und ähnlich)

    bekommen. Grund der Ablehnung war dann "Zugriff nicht möglich" oder "Deaktivierte Verknüpfung".

    Da ist doch was faul, oder?

    Mittwoch, 8. August 2012 13:41
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo,

    unter anderem eine GPO erstellt, die Verknüpfungen auf dem Desktop erstellt, doch genau diese sehe ich plötzlich auch im Produktivsystem

    mit welcher Gruppenrichtlinien-Einstellung hast du das gemacht?
    Ich gehe davon aus wir reden von Group Policy Preferences?

    Tritt das Problem nur an Rechnern auf, die in der Test OU waren und jetzt in der produktiven OU sind?

    Zu deiner Loobackkonfiguration, ist dort auch das Computerkonto des Terminalserver mit Leseberechtigungen eingetragen?

    Siehe hier:
    http://matthiaswolf.blogspot.de/2011/11/gpo-loopback-benotigt-leserechte-fur.html

    Kann es sein das der Sicherheitsfilter Probleme mit verschachtelten Gruppen hat?
    Ich hab eine Gruppe "Alle Terminalserverbenutzer" in der die Gruppen "User des Terminalservers 1" bis "User des Terminalservers X" sind. Erst in diesen Gruppen sind die eigentlichen User aufgeführt.

    Handelt es sich auch hierbei um die Richtlinien, die Computereinstellungen enthalten?
    Dann muss natürlich das Computerkonto des TS eingetragen sein (bzw. eine Gruppe die diese Konten enthält, Lesen + Gruppenrichtlinie übernehmen).
    Das Berechtigen des Users bringt hier nichts.

     

    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    Mittwoch, 8. August 2012 16:21
    |
    Beantworter
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo,

    bist Du inzwischen weitergekommen?

    Gruss,
    Raul

    Raul Talmaciu, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Freitag, 10. August 2012 08:45
    |
  • Discussion
    Anmelden
    0
    Anmelden 
    mit welcher Gruppenrichtlinien-Einstellung hast du das gemacht?
Ich gehe davon aus wir reden von Group Policy Preferences?

    Jep.

    Tritt das Problem nur an Rechnern auf, die in der Test OU waren und jetzt in der produktiven OU sind

    Kann ich nicht absolut sicher beantworten, glaub aber das es dich nur auf die beschränkt.

    Zu deiner Loobackkonfiguration, ist dort auch das Computerkonto des Terminalserver mit Leseberechtigungen eingetragen?

    Ja

    Handelt es sich auch hierbei um die Richtlinien, die Computereinstellungen enthalten?
Dann muss natürlich das Computerkonto des TS eingetragen sein (bzw. eine Gruppe die diese Konten enthält, Lesen + Gruppenrichtlinie übernehmen).
Das Berechtigen des Users bringt hier nichts.

    Dort ist die Gruppe "Authentifizierte Benutzer" drin. Auf einigen Seiten hab ich gelesen, das dort auch alle Computerkonten (der Domäne) drin enthalten sind. Stimmt das etwa nicht?

    Freitag, 10. August 2012 10:13
    |