none
GPO nur einmalig anwenden RRS feed

  • Frage

  • Hallo,
    ich habe folgendes Szenario:
    Ich möchte bei einer SAP-GUI Installation Reg-Werte mit geben. Das kann ich ja schön über die erweiterten GPP's machen.
    Da ich aber über Computerstartskript verteile und die GPO mit Computern + Benutzern verknüpft ist ziehen die Reg-Werte (HKCU) im Benutzerteil erst nach der Anmeldung, korrekt?

    Kurz.

    Wenn ich HKLM Keys verteile muss ein Computer mit der GPO verknüpft sein und ich muss das im Computerbereich machen (vor der Anmeldung)?
    Wenn ich HKCU Keys verteile mit einem Benutzer im Benutzerbereich (nach der Anmeldung)
    Macht es überhaupt Sinn oder ist es möglich HKCU im Computerteil zu hinterlegen?

    Jetzt aber zum eigentlichen Problem:
    Ich möchte einmalig für einen Benutzer/Station via GPO HKCU Werte mitgeben.
    Diese sollen einmalig nach der SAP-GUI Installation gesetzt werden.
    Danach soll der Benutzer aber trotzdem in der Lage sein, die Werte anzupassen ohne das diese alle 90 min. oder nach jeder Neuanmeldung überschrieben werden.
    Ist das in einer GPO möglich?

    Danke und Gruß

    Dennis






    • Bearbeitet HaschkeD Montag, 20. Februar 2012 16:06
    Montag, 20. Februar 2012 14:53

Antworten

  • Hallo,

    Da ich aber über Computerstartskript verteile und die GPO mit Computern + Benutzern verknüpft ist ziehen die Reg-Werte (HKCU) im Benutzerteil erst nach der Anmeldung, korrekt?

    mit einem Startscript kannst du erst einmal keine HKCU Einträge für deine "normalen" Benutzer verteilen.
    Zumindest nicht ohne Umwege.

    Ich möchte einmalig für einen Benutzer/Station via GPO HKCU Werte mitgeben.

    Du kannst mittels GPP sowohl HKCU als auch HKLM Einträge in der Benutzerkonfiguration verteilen.
    Wenn diese Einstellungen nur einmal gesetzt werden sollen, einfach Haken bei "Apply once and do not reapply"
    setzen.


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: http://matthiaswolf.blogspot.com/

    • Als Antwort markiert HaschkeD Montag, 20. Februar 2012 20:35
    Montag, 20. Februar 2012 17:31
    Beantworter
  • Am 20.02.2012 schrieb HaschkeD:

    HKLM ist klar. Diese kann ich in der Computer und Benutzerkonfig anwenden.

    OK.

    Aber wie ist das mit HKCU?
    Das kann ich zwar auch in der Computerkonfig setzen. Aber das wird ja dann vor der Anmeldung gesetzt wenn noch kein User angemeldet ist.

    HKCU gibt es aber vor der Anmeldung noch nicht. Es passiert also
    nichts. Wenn es für alle Benutzer sein soll, kannst Du natürlich auch
    HKEY_USERS\.DEFAULT probieren.

    Also bringts mir doch nix.

    Klar, weil es noch nicht da ist.
    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    • Als Antwort markiert HaschkeD Montag, 20. Februar 2012 20:36
    Montag, 20. Februar 2012 20:17
  • Am 20.02.2012 15:53, schrieb HaschkeD:

    Ich möchte einmalig für einen Benutzer/Station via GPO HKCU Werte mitgeben.

    -> GPP Registry -> Gemeinsam -> Checkbox: Nur einalig anwenden

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    • Als Antwort markiert HaschkeD Montag, 20. Februar 2012 20:35
    Montag, 20. Februar 2012 19:17

Alle Antworten

  • Hallo,

    Da ich aber über Computerstartskript verteile und die GPO mit Computern + Benutzern verknüpft ist ziehen die Reg-Werte (HKCU) im Benutzerteil erst nach der Anmeldung, korrekt?

    mit einem Startscript kannst du erst einmal keine HKCU Einträge für deine "normalen" Benutzer verteilen.
    Zumindest nicht ohne Umwege.

    Ich möchte einmalig für einen Benutzer/Station via GPO HKCU Werte mitgeben.

    Du kannst mittels GPP sowohl HKCU als auch HKLM Einträge in der Benutzerkonfiguration verteilen.
    Wenn diese Einstellungen nur einmal gesetzt werden sollen, einfach Haken bei "Apply once and do not reapply"
    setzen.


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: http://matthiaswolf.blogspot.com/

    • Als Antwort markiert HaschkeD Montag, 20. Februar 2012 20:35
    Montag, 20. Februar 2012 17:31
    Beantworter
  • Machmal sind die Lösungen doch so einfach :-)

    OK. Über ein Computerstartskript kann ich natürlich nicht so einfach HKCU Einträge verteilen. Meinte auch dann über die erweiterten GPP's nach dem Skipt nach Anmeldung.
    OK. HKCU und HKLM kann ich in der Benutzerkonfiguration verteilen. Diese werden dann nach der Anmeldung angewandt.
    In der Computerkonfiguration auch? Auswählen kann ich dort HKCU. Aber Sinn macht es doch nicht, oder?


    • Bearbeitet HaschkeD Montag, 20. Februar 2012 18:01
    Montag, 20. Februar 2012 18:00
  • Am 20.02.2012 15:53, schrieb HaschkeD:

    Ich möchte einmalig für einen Benutzer/Station via GPO HKCU Werte mitgeben.

    -> GPP Registry -> Gemeinsam -> Checkbox: Nur einalig anwenden

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    • Als Antwort markiert HaschkeD Montag, 20. Februar 2012 20:35
    Montag, 20. Februar 2012 19:17
  • Am 20.02.2012 schrieb HaschkeD:

    OK. HKCU und HKLM kann ich in der Benutzerkonfiguration verteilen. Diese werden dann nach der Anmeldung angewandt.

    Richtig.

    In der Computerkonfiguration auch? Auswählen kann ich dort HKCU. Aber Sinn macht es doch nicht, oder?

    Doch, Du kannst natürlich auch HKLM im Benutzerteil setzen. Ob es Sinn
    macht oder nicht, mußt Du selbst entscheiden. ;)

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Montag, 20. Februar 2012 19:50
  • HKLM ist klar. Diese kann ich in der Computer und Benutzerkonfig anwenden.

    Aber wie ist das mit HKCU?
    Das kann ich zwar auch in der Computerkonfig setzen. Aber das wird ja dann vor der Anmeldung gesetzt wenn noch kein User angemeldet ist.
    Also bringts mir doch nix.
    Montag, 20. Februar 2012 20:07
  • Am 20.02.2012 schrieb HaschkeD:

    HKLM ist klar. Diese kann ich in der Computer und Benutzerkonfig anwenden.

    OK.

    Aber wie ist das mit HKCU?
    Das kann ich zwar auch in der Computerkonfig setzen. Aber das wird ja dann vor der Anmeldung gesetzt wenn noch kein User angemeldet ist.

    HKCU gibt es aber vor der Anmeldung noch nicht. Es passiert also
    nichts. Wenn es für alle Benutzer sein soll, kannst Du natürlich auch
    HKEY_USERS\.DEFAULT probieren.

    Also bringts mir doch nix.

    Klar, weil es noch nicht da ist.
    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    • Als Antwort markiert HaschkeD Montag, 20. Februar 2012 20:36
    Montag, 20. Februar 2012 20:17
  • Servus,

    zwei Fragen sind mir noch eingefallen.

    1. Wenn ich die Reg-Werte über die GPP's setze und später die GPO entferne, bleiben die RegWerte auf der Station erhalten oder werden diese wieder in ein Default Zustand gesetzt?

    2. Wenn man den Wert
    -> GPP Registry -> Gemeinsam -> Checkbox: Nur einmalig anwenden setzt, und man installiert z.B eine neue Software mit den gleichen Werten, wird der Wert dann erneut angewendet?
    Wie prüft er dass er einen Wert nur einmal anwenden soll/darf?

    Gruß

    Dennis

    Dienstag, 21. Februar 2012 15:57
  • Hallo HaschkeD,

    zu 1.
    Wenn du "Element entfernen, wenn es nicht mehr angewendet wird" auswählst, dann werden die Werte wieder gelöscht
    wenn die GPO nicht mehr angewendet wird.
    Auf Default wird jedoch nichts zurückgesetzt. GPP verwendet "tattooing" d.h. es überschreibt gnadenlos die vorhandenen Werte.

    Wenn du also entfernen auswählst, kann es sein dass du benötigte Werte löscht, sobald die GPO nicht mehr wirkt.
    Ist also mit Vorsicht zu genießen.

    zu 2.
    Einmal anwenden heißt, es werden die Werte einmal angewendet, danach nicht mehr.
    Solange du also die Policy nicht löscht, weiß der Client das er die Policy bereits angewandt hat (anhand der GUID).


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: http://matthiaswolf.blogspot.com/

    Mittwoch, 22. Februar 2012 08:06
    Beantworter
  • Ergänzend zu deiner Frage 2:

    Die CSE erstellt einen Registry Wert unter:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Group Policy\Client\RunOnce (wenn du Computerconfiguration verwendest)

    Dort wird ein Key angelegt in diesem Beispiel: {8D28D679-65A6-4377-8A1A-C2F86686F04F}

    Der gleiche Key (ID) ist als filter im XML File der Policy vorhanden (Registry.xml):

    ... "AND" id="{8D28D679-65A6-4377-8A1A-C2F86686F04F}"

    Solange also ein RunOnce für dieses eine "Item" besteht, werden die Keys nicht erneut gesetzt.


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: http://matthiaswolf.blogspot.com/

    Mittwoch, 22. Februar 2012 08:14
    Beantworter
  • OK.
    Die Option "Element entfernen, wenn es nicht mehr angewendet wird" habe ich nicht gesetzt.
    Heißt also wenn die Reg Werte gesetzt werden und ich lösche (als Beispiel) die GPO bleiben die Werte erhalten?

    Wie schaut das generell bei GPO's aus?
    Wenn ich was setze und ich lösche die GPO bleiben diese Einstellungen erhalten?

    zu 2.
    Perfekt. Vielen Dank.
    Mittwoch, 22. Februar 2012 10:47
  • Am 22.02.2012 schrieb HaschkeD:

    OK.
    Die Option "Element entfernen, wenn es nicht mehr angewendet wird" habe ich nicht gesetzt.
    Heißt also wenn die Reg Werte gesetzt werden und ich lösche (als Beispiel) die GPO bleiben die Werte erhalten?

    Richtig.

    Wie schaut das generell bei GPO's aus?
    Wenn ich was setze und ich lösche die GPO bleiben diese Einstellungen erhalten?

    GPO-FAQ No. 16 erklärt das:
    http://www.gruppenrichtlinien.de/Grundlagen/faq.htm

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Mittwoch, 22. Februar 2012 19:21
  • Perfekt.
    Vielen Dank.
    Wo sehe ich die roten und blauen GPO's?

    Hoffentlich letzte Frage.

    Ich hatte mir damals ein ADM gebaut und das in einer GPO eingebunden.
    Dies benötige ich nicht mehr, also habe ich das ADM Template aus der GPO entfernt.
    Die Werte des ADM zogen aber trotzdem.
    Erst als ich das Template wieder in der GPO hinzugefügt hatte und die Werte auf "Nicht konfiguriert" gestellt habe zogen die Einstellungen nicht mehr.

    Ist das Verhalten so korrekt?


    • Bearbeitet HaschkeD Donnerstag, 23. Februar 2012 07:36
    Donnerstag, 23. Februar 2012 07:33
  • >Dies benötige ich nicht mehr, also habe ich das ADM Template aus der GPO entfernt.
    >Die Werte des ADM zogen aber trotzdem.

    Das ADM (oder ADMX) Template ist nur zum Erstellen der registry.pol da.
    Diese liegt im Order der Richtlinie. (\\domain.intern\sysvol\domain.intern\Policies\GUID)

    Die Templates werden vom Client nicht benötigt um die Einstellungen anzuwenden.

    >Erst als ich das Template wieder in der GPO hinzugefügt hatte und die Werte auf "Nicht konfiguriert" gestellt habe zogen die Einstellungen nicht >mehr.

    Ja, das ist normal.
    Bei "Nicht konfiguriert" wird der Wert aus der registry.pol gelöscht.
    (und folglich auch aus der Registry des Clients, zumindest bei Standardvorlagen)


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: http://matthiaswolf.blogspot.com/



    Donnerstag, 23. Februar 2012 08:24
    Beantworter