Änderung in GPO wird nicht übernommen

Alle Antworten

• 

  

  0

  Anmelden

  Am 09.08.2010 schrieb Ingo Schneider:
  Hi,

  Systeme sind ein DC 2008 und TS 2008. Es gibt eine OE auf die die Richtline wirkt und in der der TS steckt. LB-Modus ist aktiviert. Der TS übernimmt keine Änderungen mehr die an der Richtline vorgenommen werden.

  Was heißt keine? Wenn du jetzt also in dieser Richtlinie etwas änderst wird
  es nicht übernommen, oder wenn du ein neues GPO auf selber Ebene anlegst
  wird dieses auch nicht übernommen?

  Fehler könnte ausgelöst worden sein als die WindowsExplorer.admx editiert wurde um Userdirs-Laufwerk auszubelden. Da war das " etwas verrutscht. Fehler ist aber behoben.

  Eine fehlerhafte admx Vorlage kann sowas nicht auslösen.
  Wurde weitere Änderungen zu diesem Zeitpunkt vorgenommen? Insbesondere
  Sicherheitsfilterung usw.?

  Bye
  Norbert

  ---

  Dilbert's words of wisdom #04:
  There are very few personal problems that cannot be solved by a suitable
  application of high explosives.

  Montag, 9. August 2010 20:33

  Antworten

  |

  Zitieren

  Moderator
• 

  

  0

  Anmelden

  Hi

  Am 09.08.2010 18:58, schrieb Ingo Schneider:

  Der TS übernimmt keine Änderungen mehr die an der Richtline
  vorgenommen werden. [...] Einmal mit 1500 und einmal mit 1501.

  a)
  Von welcher Uhrzeit ist die secedit.sdb?
  Sie muss aktuelle Zeit und Datum haben, sie wird beim Start/Übernahme
  der GPO aktualisiert.
  C:\Windows\security\database\secedit.sdb

  Ist sie älter -> dann ist sie evtl korrupt, umbenennen, sie wird neu
  erstellt.

  b)
  LÖsche mal die GPO History;
  HKLM und HKCU
  \Software\Microsoft\Windows\CurrentVersion\Group Policy\History

  Fehler könnte ausgelöst worden sein als die WindowsExplorer.admx
  editiert wurde

  Nein. Das verursacht höchstens "fehlerhafte" Registry Werte, die am
  Client ankommen, aber mehr auch nicht.

  Tschö
  Mark

  ---

  Mark Heitbrink - MVP Windows Server - Group Policy

  Homepage:    www.gruppenrichtlinien.de - deutsch
  NNTP Bridge: http://communitybridge.codeplex.com/releases

  Montag, 9. August 2010 20:36

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hallo.

  Nein, es wurde noch keine neue Richtlinie in der OE erstellt, nur Änderungen an der vorhandenen gemacht.

  Die secedit.sdb ist von gestern Abend.

  Ok, mache ich dann heute Abend.

  Besten Dank. Grüsse.

  Ingo

  Dienstag, 10. August 2010 06:43

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Guten Morgen.

  Habe den Inhalt beider Schlüssel gelöscht. Im HKLM waren mehrere Einträge und Unterschlüssel. Im HKCU nur einen Eintrag. Danach gpupdate angewendet.

  Im Eventlog kam dann zuerst der ein Eintrag 1501.

  Die Gruppenrichtlineneinstellungen für den Benutzer wurden erfolgreich verarbeitet. Es wurden keine Änderungen seit der letzen erfolgreichen Gruppenrichtlinienverarbeitung erkannt.

  Da gpupdate mit dem Admin-Account ausgeführt wurde, wäre das sogar irgendwo richtig.

  Danach 1502

  Die Gruppenrichtlienieneinstellungen für den Computer wurden erfolgreich verarbeitet. Es wurden neue 1-Gruppenrichtlinienobjekte erkannt und angewendet.

  Für die Benutzer hat sich nichts geändert. Die Änderungen zeigen keine Wirkung.

  Gruss Ingo

  Mittwoch, 11. August 2010 06:03

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hi,

  Am 11.08.2010 08:03, schrieb Ingo Schneider:

  Für die Benutzer hat sich nichts geändert. Die Änderungen zeigen keine Wirkung.

  Kontrolliere noch einmal:
  - GPO und Link Ort und Verlinkungsstatus
  - Berechtigungen auf der GPO, Delegation, Wer darf übernehmen
    vor allem, wem ist verweigert
  - WMI Filter

  Tschö
  Mark

  ---

  Mark Heitbrink - MVP Windows Server - Group Policy

  Homepage:    www.gruppenrichtlinien.de - deutsch
  NNTP Bridge: http://communitybridge.codeplex.com/releases

  Mittwoch, 11. August 2010 07:51

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Am 11.08.2010 schrieb Ingo Schneider:

  Da gpupdate mit dem Admin-Account ausgeführt wurde, wäre das sogar irgendwo richtig.

  Der Admin soll auch davon betroffen sein? Liegt der Admin auch
  wirklich im Verwaltungsbereich der GPO?

  Für die Benutzer hat sich nichts geändert. Die Änderungen zeigen keine Wirkung.

  Was sagt RSOP.MSC auf dem TS von einem betroffenen User ausgeführt
  aus?

  Servus
  Winfried

  ---

  Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
  GPO's: http://www.gruppenrichtlinien.de
  Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

  Mittwoch, 11. August 2010 17:19

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hallo.

  @Marc

  Ort und Berchtigungen passen. Verweigert für Administratoren und Domänen-Admins. WMI-Filter? Was möchtest Du da wissen? Hat keiner was gemacht dran.

  @Winfried

   RSOP.MSC zeigt das überhaupt nur die Einstellungen für den Bildschirmschoner übernommen werden.

  Gruss Ingo

  Mittwoch, 11. August 2010 21:05

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Guten Morgen.

  Habe jetzt mal folgendes gemacht. TS aus der OE verschoben. Verknüpfung gelöscht. OE gelöscht. Gpupdate ausgeführt.

  Meldung im Eventlog:

  Die Gruppenrichtlinieneinstellungen für den Benutzer/Computer wurden erfolgreich verarbeitet. Es wurden keine Änderungen seit der letzten erfolgreichen Gruppenrichtlinienverarbeitung erkannt.

  OE mit anderem Namen angelegt. TS in die OE verschoben. Verknüpfung zur Richtlinie wieder gemacht.

  Meldung im Eventlog:

  Die Gruppenrichtlinieneinstellungen für den Benutzer/Computer wurden erfolgreich verarbeitet. Es wurden keine Änderungen seit der letzten erfolgreichen Gruppenrichtlinienverarbeitung erkannt.

  Was nun? Der TS scheint ja gar nichts mehr zu merken.

  Gruss Ingo

   

  Freitag, 13. August 2010 04:54

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Am 13.08.2010 schrieb Ingo Schneider:

  Die Gruppenrichtlinieneinstellungen für den Benutzer/Computer wurden erfolgreich verarbeitet. Es wurden keine Änderungen seit der letzten erfolgreichen Gruppenrichtlinienverarbeitung erkannt.
  
  Was nun? Der TS scheint ja gar nichts mehr zu merken.

  Die immer wieder kehrende Frage: Gibts Fehlermeldungen im
  Ereignisprotokoll? Starte doch mal den Server durch, bekommst Du dann
  Meldungen ins Eventlog?

  Servus
  Winfried

  ---

  Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
  GPO's: http://www.gruppenrichtlinien.de
  Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

  Freitag, 13. August 2010 05:04

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hallo Winfried.

  Sorry. Habe jetzt mal alles genau durch geschaut.

  Die gab es im Mai mal den:

  Fehler bei der Verarbeitung der Gruppenrichtlinie. Es wurde versucht, neue Gruppenrichtlinieneinstellungen für diesen Benutzer oder Computer abzurufen. Den Fehlercode und eine Beschreibung finden Sie auf der Registerkarte "Details". Dieser Vorgang wird automatisch beim nächsten Aktualisierungszyklus wiederholt. Computer, die der Domäne beigetreten sind, müssen über eine geeignete Namensauflösung sowie über eine Netzwerkverbindung zu einem Domänencontroller zum Ermitteln von neuen Gruppenrichtlinienobjekten und -einstellungen verfügen. Wenn die Gruppenrichtlinie erfolgreich ist, wird ein Ereignis protokolliert.

  Zum gleichen Zeitpunkt und am 05. August diesen:

  Fehler bei der Verarbeitung der Gruppenrichtlinie. Die Authentifizierung von Windows war für den Active Directory-Dienst auf einem Domänencontroller nicht möglich. (Fehler beim Aufruf der Funktion zur LDAP-Bindung). Den Fehlercode und eine Beschreibung finden Sie auf der Registerkarte "Details".

  Das waren alle. Die können aber auch passieren wenn TS und DC zeitgleich gebootet werden. Versuche das zwar zu vermeiden, aber so im schaffe ...

  Freitag, 13. August 2010 06:34

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Am 13.08.2010 schrieb Ingo Schneider:

  Zum gleichen Zeitpunkt und am 05. August diesen:
  
  Fehler bei der Verarbeitung der Gruppenrichtlinie. Die Authentifizierung von Windows war für den Active Directory-Dienst auf einem Domänencontroller nicht möglich. (Fehler beim Aufruf der Funktion zur LDAP-Bindung). Den Fehlercode und eine Beschreibung finden Sie auf der Registerkarte "Details".
  
  Das waren alle. Die können aber auch passieren wenn TS und DC zeitgleich gebootet werden. Versuche das zwar zu vermeiden, aber so im schaffe ...

  Erstell ein einfach GPO mit einer schnell sichtbaren Änderung.
  Beispiel No. 17: http://www.gruppenrichtlinien.de/adm/arbeitsplatz.txt
  Entweder per User oder per Computer. Wenn per User, dann nach dem
  aktivieren ab- und wieder anmelden. Wird die Einstellung übernommen?
  Wenn nein, Fehlermeldungen im Log?

  Servus
  Winfried

  ---

  Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
  GPO's: http://www.gruppenrichtlinien.de
  Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

  Freitag, 13. August 2010 15:06

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hallo Winfried.

  Habe eine neue Richtlinie (Alle Desktopsymbole ausblenden) erstellt und auf die besagte OE verknüpft. Gpupdate ausgeführt. Fehlermeldung gab es keine, nur wieder die zwei oben schon genannten Einträge 1500 und 1501

  Die Gruppenrichtlinieneinstellungen für den Benutzer/Computer wurden erfolgreich verarbeitet. Es wurden keine Änderungen seit der letzten erfolgreichen Gruppenrichtlinienverarbeitung erkannt.

  Übernommen wurde sie ebenfalls nicht.

  Gruss Ingo

  Montag, 16. August 2010 04:43

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Am 16.08.2010 schrieb Ingo Schneider:

  Habe eine neue Richtlinie (Alle Desktopsymbole ausblenden) erstellt und auf die besagte OE verknüpft. Gpupdate ausgeführt. Fehlermeldung gab es keine, nur wieder die zwei oben schon genannten Einträge 1500 und 1501

  Sind die beiden hier?
  http://www.eventid.net/display.asp?eventid=1501&eventno=7600&source=Userenv&phase=1
  http://www.eventid.net/display.asp?eventid=1500&eventno=2044&source=Userenv&phase=1

  Servus
  Winfried

  ---

  Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
  GPO's: http://www.gruppenrichtlinien.de
  Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

  Montag, 16. August 2010 04:58

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hallo Winfried.

  Nein. Kommt nicht von Userenv sondern Quelle ist Gruppenrichtlinie. Habe da auch schon geschaut, aber mit 1500/1501, Policy oder Group Policy nichts gefunden. Ist ja eigentlich keine Fehlermeldung sondern nur ein Informationseintrag.

  Gruss Ingo

  Montag, 16. August 2010 09:02

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hi,

  Am 16.08.2010 11:02, schrieb Ingo Schneider:

  Nein. Kommt nicht von Userenv sondern Quelle ist Gruppenrichtlinie.

  Registriere mal alle GP-Dlls neu, siehe Batch am Ende des Artikels:
  http://www.gruppenrichtlinien.de/Grundlagen/Client_Side_Extensions.htm

  Du bist sicher, daß der richtige DNS eingetragen ist?

  Tschö
  Mark

  ---

  Mark Heitbrink - MVP Windows Server - Group Policy

  Homepage:    www.gruppenrichtlinien.de - deutsch
  NNTP Bridge: http://communitybridge.codeplex.com/releases

  Montag, 16. August 2010 09:31

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hallo Mark.

  Leider ja. Ist auch nur einer.

  Gruss

  Montag, 16. August 2010 10:23

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Ich glaube jetzt sind wir auf dem richtigen Weg.

  Bei folgende DLLs gibt es beim registrieren Fehlermeldungen:

  fde.dll, wsecedit.dll, appmgr.dll, wlsnp.dll, wlstore.dll, ws03res.dll, srchadmin.dll, dot3qpclnt.dll und polstore.dll

  Entweder konnten nicht gefunden werden, geladen werden, Einstiegspunkt nicht gefunden werden oder ein 0x... Fehler.

  Ich habe schon einige von einem anderen Server rüber kopiert, ändert aber nichts.

  Gruss Ingo

  Montag, 16. August 2010 11:21

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Am 16.08.2010 schrieb Ingo Schneider:

  Ich glaube jetzt sind wir auf dem richtigen Weg.
  
  Bei folgende DLLs gibt es beim registrieren Fehlermeldungen:
  
  fde.dll, wsecedit.dll, appmgr.dll, wlsnp.dll, wlstore.dll, ws03res.dll, srchadmin.dll, dot3qpclnt.dll und polstore.dll
  
  Entweder konnten nicht gefunden werden, geladen werden, Einstiegspunkt nicht gefunden werden oder ein 0x... Fehler.
  
  Ich habe schon einige von einem anderen Server rüber kopiert, ändert aber nichts.

  Du könntest mal ein sfc /scannow laufen lassen. W2008 DVD parat
  halten.

  Servus
  Winfried

  ---

  Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
  GPO's: http://www.gruppenrichtlinien.de
  Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

  Montag, 16. August 2010 17:05

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hi

  Am 16.08.2010 13:21, schrieb Ingo Schneider:

  Ich glaube jetzt sind wir auf dem richtigen Weg.
  Bei folgende DLLs gibt es beim registrieren Fehlermeldungen:

  kann auch gut sein, die Liste ist von XP bis WIn7 für "alle" ;-)
  Einige kennt Win7 halt nicht mehr, stressfrei ...

  Aktiviere mal das UserEnvDebuglevel und such nach "Error",
  das könnte noch ein wenig weiterhelfen.
  http://www.gruppenrichtlinien.de/Grundlagen/faq.htm#37

  Bein Win7 gibt dann eine Datei gpsvc.log unter
  %systemroot%\debug\usermode

  Tschö
  Mark

  ---

  Mark Heitbrink - MVP Windows Server - Group Policy

  Homepage:    www.gruppenrichtlinien.de - deutsch
  NNTP Bridge: http://communitybridge.codeplex.com/releases

  Montag, 16. August 2010 19:34

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hallo.

  sfc /scannow hat beschädigte und/oder fehlende Dateien gefunden und repariert. Fehler ist geblieben.

  In der gpsvc.log steht nur das:

  GPSVC(144.4d4) 23:26:46:808 Calling AbortWaitingCallers
  GPSVC(150.480) 23:27:22:312 Waiting for connectivity before applying policies
  GPSVC(150.480) 23:27:30:562 NlaGetIntranetCapability returned Not Ready error. Consider it as NOT intranet capable.

  Gruss Ingo

  Montag, 16. August 2010 21:34

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hi,

  Erkennt dein Rechner die Domäne als "Domänen-Netzwerk"?

  Tschö
  Mark

  ---

  Mark Heitbrink - MVP Windows Server - Group Policy

  Homepage:    www.gruppenrichtlinien.de - deutsch
  NNTP Bridge: http://communitybridge.codeplex.com/releases

  Dienstag, 17. August 2010 08:30

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hallo Mark.

  Gell, schaut gerade so aus als ob nicht. Ja, tut er. Steht zumindest so im Netzwerk- und Freigabecenter. Klappt auch sonst alles, Benutzeranmeldung, Roaming-Profiles, Logon-Scripte, Dateizugriff auf Netzlaufwerke, Netzwerkumgebung, etc.

  Was kann man tun ausser diesen aus der Domäne nehmen und wieder hinzufügen?

  OT: sfc /scannow sollte man besser nicht auf Datev-Systemen ausführen. Heute Morgen lief die teilweise gar nicht, bzw. sehr holprig.

  Gruss Ingo

  Dienstag, 17. August 2010 09:24

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hallo.

  Also raus aus der Domäne und wieder rein, behebt das Problem auch nicht.

  Was wären den jetzt noch mögliche Optionen?

  Gruss Ingo

  Donnerstag, 19. August 2010 20:28

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Noch mal von vorn:

  Am 19.08.2010 22:28, schrieb Ingo Schneider:

  Was wären den jetzt noch mögliche Optionen?

  Bau es mal so auf:

  dein.dom
  - OU DeinComputer
       Computer1
  - OU Deine Benutzer
       Benutzer1

  KEINE:
  Vererbungen deaktiviert
  Erzwungen
  WMI Filter
  Sicherheitsgruppen

  Test 1.)
  GPO an "OU Deine Benutzer"
    -> Benutzerkonfig:
       Desktopsymbole ausblenden
    -> Anmeldung an Computer in "OU DeinComputer"    Erwartet: Symbole weg

  Test 2.)
  GPO an "OU DeinComputer"
    -> Loopbackverarbeitungsmodus an, Merge
    -> Compuer neustarten
    -> Anmeldung an Computer in "OU DeinComputer"
  Erwartet: Symbole immer noch weg

  Test 3.)
    -> GPO aus test 1.) Verlinkug löschen
    -> Anmeldung an Computer in "OU DeinComputer"
  Erwartet: Symbole wieder da

  Test 4.)
    -> GPO aus test 1.) an "OU DeinComputer" verlinken
    -> Anmeldung an Computer in "OU DeinComputer"
  Erwartet: Symbole weg

  Wattnu?

  Immer noch nichts?
  Computer fratze. Neuinstallieren von CD ohne 3rd Party und schon
  garnicht von irgendeinem Hersteller Image.

  Tschö
  Mark

  ---

  Mark Heitbrink - MVP Windows Server - Group Policy

  Homepage:    www.gruppenrichtlinien.de - deutsch
  NNTP Bridge: http://communitybridge.codeplex.com/releases

  Donnerstag, 19. August 2010 22:29

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hallo Mark.

  OK, werde ich am Wochenende so abarbeiten.

  Wenn es auf Neuinstallation des TS rausläuft, dann geht das ja noch. Domain wäre schlechter.

  Gruss Ingo

  Freitag, 20. August 2010 08:42

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Guten Morgen.

  Problem gefunden. Im root (domain.local) gibt es eine OE. In dieser befinde sich alle anderen OE (Mitarbeiter, Clients, etc.) und auch die für den TS. Auf diese OE ist/sind die entsprechenden Richtlinien verknüpft. Die ja nicht mehr gewirkt haben.

  Neu OE erstellt und Richtlinie verknüpft hat ja nichts gebracht.

  Jetzt bin ich her gegangen und haben den TS ins root verschoben und hier die Richtlinie verknüpft. Und sie da, es geht wieder. Dann eine OE im Root erstellt den TS da rein und die Richtlinie verknüpft, geht auch. Dann die ganze OE in die darüber liegende OE verschoben. Geht auch.

  Ich habe die Rechte und Vererbungen kontrolliert. Das passt alles. Wurde auch nichts daran gedreht.

  Jetzt meine Frage: Was läuft da schief? Verschieben geht. Erstellen nicht.

  Gruss Ingo

  Samstag, 21. August 2010 06:39

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  HHi,

  Am 21.08.2010 08:39, schrieb Ingo Schneider:

  Problem gefunden. Im root (domain.local) gibt es eine OE.

  Reden wir hier gerade von Domänen übergreifenden Richtlinien?

  Tschö
  Mark

  ---

  Mark Heitbrink - MVP Windows Server - Group Policy

  Homepage:    www.gruppenrichtlinien.de - deutsch
  NNTP Bridge: http://communitybridge.codeplex.com/releases

  Samstag, 21. August 2010 22:25

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Am 22.08.2010 00:25, schrieb Mark Heitbrink [MVP]:

  Reden wir hier gerade von Domänen übergreifenden Richtlinien?

  Quark. Zum Ignorieren freigegeben :-)

  ---

  Mark Heitbrink - MVP Windows Server - Group Policy

  Homepage:    www.gruppenrichtlinien.de - deutsch
  NNTP Bridge: http://communitybridge.codeplex.com/releases

  Sonntag, 22. August 2010 10:23

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hi,

  Am 21.08.2010 08:39, schrieb Ingo Schneider:

  Jetzt meine Frage: Was läuft da schief? Verschieben geht. Erstellen nicht.

  Ich kann es mir nur mit Berechtigungen/DSACLs erklären.
  Beim Erstellen werden die übergeordneten übernommen. Beim verschieben
  bleiben die vorhandenen erhalten.
  An irgendeiner Stelle sitzt ein Deny oder der TS ist nicht in der
  richtigen SiGruppe.

  Tschö
  Mark

  ---

  Mark Heitbrink - MVP Windows Server - Group Policy

  Homepage:    www.gruppenrichtlinien.de - deutsch
  NNTP Bridge: http://communitybridge.codeplex.com/releases

  Sonntag, 22. August 2010 10:25

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Wie ist jetzt der Stand? Problem gelöst?

  
  Bye

  Norbert

  Dienstag, 31. August 2010 16:11

  Antworten

  |

  Zitieren

  Moderator