none
2 Gruppenrichtlinien funktionieren einzeln, jedoch nicht zusammen RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ich habe folgendes Problem:

    Ich habe 2 Gruppenrichtlinien, welche Einstellungen am Internet Explorer vornehmen:

    1. Eine GPO "IE1", welche diverse Einstellungen setzt über Benutzer/Administrative Vorlagen/Windows-Komponenten/Internet Explorer/Internetsystemsteuerung/Sicherheitsseite

    Diese funktioniert soweit. Da man mit der administrativen Vorlage jedoch nicht alle Optionen im IE steuern kann, habe ich eine zweite GPO "IE2", welche über Benutzer/Einstellungen/Windows-Einstellungen/Registrierung zwei Werte in der Registry von 1 auf 0 setzt, um im IE Sicherheitsfunktionen zu deaktivieren.

    Beide GPOs für sich funktionieren, sofern nur eine aktiv ist. Sind beide aktiv und meinem User zugeordnet, werden beide auch angezogen (laut gpresult), es werden nur die Einstellungen gesetzt, die über "IE1" gesteuert werden. Die Registry-Keys, die durch "IE2" verändert werden sollen, werden nicht geändert. Ich habe auch schon die Reihenfolge der GPOs für die entsprechende OU verändert, jedoch ohne Erfolg.

    Was hingegen funktioniert ist "IE1" aktiv zu belassen und die Registry-Manipulation von "IE2" über ein Logon-Skript abzuhandeln. Dann funktioniert alles wie gewünscht, jedoch nur für ca. 90 Minuten, da dann ein gpupdate ausgeführt wird und IE1 meine Registry-Änderungen wieder Rückgängig macht....

    Hat jemand eine Idee, warum "IE2" nicht funktioniert, selbst wenn diese GPO nach "IE1" ausgeführt wird?

     

    Dienstag, 10. April 2018 09:20
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    > Beide GPOs für sich funktionieren, sofern nur eine aktiv ist. Sind beide aktiv und meinem User zugeordnet, werden beide auch angezogen (laut gpresult), es werden nur die Einstellungen gesetzt, die über "IE1" gesteuert werden. Die Registry-Keys, die durch "IE2" verändert werden sollen, werden nicht geändert. Ich habe auch schon die Reihenfolge der GPOs für die entsprechende OU verändert, jedoch ohne Erfolg.

    gpresult /h report.html

    Tauchen deine Reg-Werte in diesem Report auf? Hast Du evtl. eine Zielgruppenadressierung drin? Ansonsten: GPP Registry Debug Logging aktivieren und mal genauer nachschauen, was passiert:

    https://blogs.technet.microsoft.com/askds/2008/07/18/enabling-group-policy-preferences-debug-logging-using-the-rsat/

    • Als Antwort markiert Barbis Mittwoch, 11. April 2018 05:53
    Dienstag, 10. April 2018 15:35
    |
    Beantworter

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hallo Barbis,

    zunächst ein kleiner Hinweis: Bei Setzen von RegistryKeys per "GPO" (Korrekt: GPP) bitte auf das Tattooing achten.

    Die Reihenfolge der GPOs hat nur eine Auswirkung wenn unterschiedliche Konfigurationen für die gleiche Einstellung vorgenommen werden. Das sollte bei dir nicht der Fall sein.

    Prüfe auch mal die "Gemeinsamen Optionen" auf den RegistrySettings. Auch welche Aktion ausgewählt ist.

    Dienstag, 10. April 2018 15:21
    |
  • Question
    Anmelden
    0
    Anmelden

    > Beide GPOs für sich funktionieren, sofern nur eine aktiv ist. Sind beide aktiv und meinem User zugeordnet, werden beide auch angezogen (laut gpresult), es werden nur die Einstellungen gesetzt, die über "IE1" gesteuert werden. Die Registry-Keys, die durch "IE2" verändert werden sollen, werden nicht geändert. Ich habe auch schon die Reihenfolge der GPOs für die entsprechende OU verändert, jedoch ohne Erfolg.

    gpresult /h report.html

    Tauchen deine Reg-Werte in diesem Report auf? Hast Du evtl. eine Zielgruppenadressierung drin? Ansonsten: GPP Registry Debug Logging aktivieren und mal genauer nachschauen, was passiert:

    https://blogs.technet.microsoft.com/askds/2008/07/18/enabling-group-policy-preferences-debug-logging-using-the-rsat/

    • Als Antwort markiert Barbis Mittwoch, 11. April 2018 05:53
    Dienstag, 10. April 2018 15:35
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Vielen Dank für die Antworten.

    Der Tipp mit "gpresult /h report.html" hat mir geholfen, den Fehler zu finden. Jetzt funktioniert alles wie gewünscht.

    Offenbar war ich zudem auf dem falschen Dampfer, was die Reihenfolge der Ausführung der einzelnen Gruppenrichtlinien angeht.

    Mittwoch, 11. April 2018 05:51
    |
  • Question
    Anmelden
    0
    Anmelden
    Hi,
     
    Am 10.04.2018 um 11:20 schrieb Barbis:
    > 1. Eine GPO "IE1", welche diverse Einstellungen setzt über
    > Benutzer/Administrative Vorlagen/Windows-Komponenten/Internet
    > Explorer/Internetsystemsteuerung/Sicherheitsseite
    > Diese funktioniert soweit. Da man mit der administrativen Vorlage jedoch
    > nicht alle Optionen im IE steuern kann, habe ich eine zweite GPO "IE2",
    > welche über Benutzer/Einstellungen/Windows-Einstellungen/Registrierung
    > zwei Werte in der Registry von 1 auf 0 setzt, um im IE
    > Sicherheitsfunktionen zu deaktivieren.
     
    Dein Fehler ist: Du mischt die Technik. Beide Richtlinien setzen
    Registry Werte, aber die Reihenfolge der CSE (DLL) die den Wert schreibt
    ist hardcodiert.
     
    Adm Vorlagen laufen IMMER zuerst, danach irgendwann die Registry. d.h.
    egal in welcher Reihenfolge du die GPOs verlinkst oder sogar erzwingst,
    es ändert nichts an der Reihenfolge in der die Werte tatsächlich
    geschrieben werden.
     
     
    Für die richtige Abfolge musst du bei derselben Technik, sprich CSE/DLL
    bleiben.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10
     
    Mittwoch, 11. April 2018 07:15
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 11.04.2018 schrieb Barbis:

    Vielen Dank für die Antworten.

    Der Tipp mit "gpresult /h report.html" hat mir geholfen, den Fehler zu finden. Jetzt funktioniert alles wie gewünscht.

    Offenbar war ich zudem auf dem falschen Dampfer, was die Reihenfolge der Ausführung der einzelnen Gruppenrichtlinien angeht.

    Was genau war denn die Lösung?

    Servus
    Winfried

    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/
    GP-PACK - PRIVACY AND TELEMETRIE: http://www.gp-pack.com/

    Mittwoch, 11. April 2018 11:38
    |
  • Question
    Anmelden
    0
    Anmelden

    Mein Fehler war in der Tat, dass ich Techniken vermischt habe, wie Mark Heitbrink in seinem Post geschrieben hat. Als Lösung habe ich auf die ADM-Vorlage verzichtet und alle einzustellenden Optionen über Registry-Einträge realisiert.

    War nur um einiges aufwändiger, denn für jeden Wert unterhalb eines Schlüssels den man einträgt, muss man den kompletten Registry-Baum von neuem aufklappen. An dieser Stelle wäre es komfortabler, wenn die Gruppenrichtlinienverwaltung sich den zuletzt aufgeklappten Schlüssel merken würde, so wie es unter regedit der Fall ist.

    Aber nun läuft alles wie gewünscht, war eben nur etwas Fleißarbeit.

    Mittwoch, 11. April 2018 13:24
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 11.04.2018 schrieb Barbis:

    Mein Fehler war in der Tat, dass ich Techniken vermischt habe, wie Mark Heitbrink in seinem Post geschrieben hat. Als Lösung habe ich auf die ADM-Vorlage verzichtet und alle einzustellenden Optionen über Registry-Einträge realisiert.

    War nur um einiges aufwändiger, denn für jeden Wert unterhalb eines Schlüssels den man einträgt, muss man den kompletten Registry-Baum von neuem aufklappen. An dieser Stelle wäre es komfortabler, wenn die Gruppenrichtlinienverwaltung sich den zuletzt aufgeklappten Schlüssel merken würde, so wie es unter regedit der Fall ist.

    Aber nun läuft alles wie gewünscht, war eben nur etwas Fleißarbeit.

    Freut mich für Dich und Danke für die Rückmeldung.;)

    Es ging mir wirklich nur darum die Lösung für die Nachwelt von dir
    festhalten zu lassen. ;)

    Servus
    Winfried

    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/
    GP-PACK - PRIVACY AND TELEMETRIE: http://www.gp-pack.com/

    Mittwoch, 11. April 2018 14:27
    |
  • Question
    Anmelden
    0
    Anmelden

    > War nur um einiges aufwändiger, denn für jeden Wert unterhalb eines Schlüssels den man einträgt, muss man den kompletten Registry-Baum von neuem aufklappen.

    Naja, Du kannst die Einträge ja auch einfach kopieren und dann nur noch Wertname und -inhalt anpassen :-))

    Mittwoch, 11. April 2018 15:48
    |
    Beantworter