none
Änderung eines Registryeintrages per GPO RRS feed

  • Frage

  • Hallo,

    folgender Registryeintrag soll per GPO geändert werden:

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\DeviceAccess\Global\LooselyCoupled]
    "Value"="Deny"

    Aber die Änderung wurde einfach nicht übernommen. Das betrifft nur Änderungen für HKEY_CURRENT_USER. Da die Änderungen für HKEY_LOCAL_MACHINE übernommen wurden, schließe ich ein GPO-Problem aus. Das habe ich auch mit "gpresult" schon geprüft. Habe das sowohl unter der Computer- als auch unter der Benutzerkonfiguration versucht.

    Schaut euch mal bitte das Screenshot an. Ist ein Server 2008 R2. Die GPO gilt für einen Client mit Windows 10. Habe ich etwas übersehen?



    • Bearbeitet -honeybee- Dienstag, 6. Dezember 2016 12:54
    Dienstag, 6. Dezember 2016 12:54

Antworten

  • Ich möchte Einstellungen für HKLM als auch für HKCU vornehmen.

    Die HKLM-Änderung hast Du im Computer-Bereich und die HKCU-Änderung im Benutzer-Bereich konfiguriert?

    Das GPO ( ;) ) ist auch auf eine OU verknüpft in der die betroffenen/zu treffenden User drin liegen?



    Freundliche Grüße

    Sandro
    MCSA: Windows Server 2012
    Fachinformatiker Fachrichtung Systemintegration (IHK, 07/2013)






    Dienstag, 6. Dezember 2016 13:22
  • Ok,

    dann muss es aber auch einmal auf das Computerobjekt (OU?) und das Benutzerobjekt (OU?) angewendet werden!

    >>Ich möchte Einstellungen für HKLM als auch für HKCU vornehmen.


    Bis dann, Toni! Wenn Dir meine Antwort hilft dann markiere sie bitte als Antwort! Vielen Dank!


    Dienstag, 6. Dezember 2016 13:28
  • Hi,
     
    Am 06.12.2016 um 13:54 schrieb -honeybee-:
    > [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\DeviceAccess\Global\LooselyCoupled]
     
    Du definierst "HKCU" in einer Computerconfiguration, der Wert landet
    dann, wie angezeigt in HKCU.\Default und NICHT(!) HKCU.
     
    Definiere den Wert in der Benutzerkonfiguration, wenn die Richtlinie auf
    der OU an, wo deine Benutzer sind, dann ist es auch der HKCU.
     
    Tschö
    Mark
     
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    Dienstag, 6. Dezember 2016 14:59
  • Ich habe den Fehler gefunden:

    Das GPO war zwar mit der Computer-OU verknüpft, jedoch nicht mit der Benutzer-OU.

    • Als Antwort markiert -honeybee- Mittwoch, 7. Dezember 2016 14:10
    Mittwoch, 7. Dezember 2016 14:10

Alle Antworten

  • So wie es sich anhört, hast du die Einstellungen unter in Computereinstellungen getroffen.

    >>Da die Änderungen für HKEY_LOCAL_MACHINE übernommen wurden

    Du willst aber scheinbar die Benutzereinstellungen ändern:

    >>Das betrifft nur Änderungen für HKEY_CURRENT_USER

    Deshalb muss die Einstellung auch unter den Benutzern eingestellt werden.

    Oder habe ich dich falsch verstanden?

    OHH Edit:

    Überlesen, dass du bereits die Einstellungen versucht hast.

    Hast du nach den Einstellungen auch ein 

    gpupdate /force

    ausgeführt?Damit die GPO auch auf das Objekt angewendet werden konnte?

    Danach musst du dich i.d.R. neu anmelden.

    Bei Einstellungen für Computer benötigst du danach einen reboot!

    Lass dir einen Gruppenrichtlinienergebniss ausgeben!Was sagt der Bericht?


    Bis dann, Toni! Wenn Dir meine Antwort hilft dann markiere sie bitte als Antwort! Vielen Dank!



    • Bearbeitet tonibert Dienstag, 6. Dezember 2016 13:10
    Dienstag, 6. Dezember 2016 13:02
  • Ich möchte Einstellungen für HKLM als auch für HKCU vornehmen.

    Die GPO wirkt. Das habe ich sowohl mit "gpresult" und den Gruppenrichtlinienergebnisse geprüft. Selbst ein "gpupdate /force" hat nichts gebracht, damit Änderungen für HKCU übernommen werden können.

    Dienstag, 6. Dezember 2016 13:14
  • OK,

    gibt es den Wert auch der "aktualisiert" werden soll?

    Ich bin mir gerade nicht sicher ob aktualisieren den auch erstellt wenn er nicht vorhanden ist.

    Edit:

    Link

    Aktualisieren

    Dient zum Ändern der Einstellungen eines vorhandenen Registrierungswerts oder -schlüssels für Computer oder Benutzer. Diese Aktion unterscheidet sich insofern von der Aktion Ersetzen, als dass lediglich die im Voreinstellungselement definierten Einstellungen aktualisiert werden. Alle anderen Einstellungen des Registrierungswerts oder -schlüssels bleiben unverändert. Ist der Registrierungswert oder -schlüssel nicht vorhanden, wird mithilfe der Aktion Aktualisieren ein neuer Registrierungswert oder -schlüssel erstellt.


    Bis dann, Toni! Wenn Dir meine Antwort hilft dann markiere sie bitte als Antwort! Vielen Dank!



    • Bearbeitet tonibert Dienstag, 6. Dezember 2016 13:25
    Dienstag, 6. Dezember 2016 13:21
  • Ich möchte Einstellungen für HKLM als auch für HKCU vornehmen.

    Die HKLM-Änderung hast Du im Computer-Bereich und die HKCU-Änderung im Benutzer-Bereich konfiguriert?

    Das GPO ( ;) ) ist auch auf eine OU verknüpft in der die betroffenen/zu treffenden User drin liegen?



    Freundliche Grüße

    Sandro
    MCSA: Windows Server 2012
    Fachinformatiker Fachrichtung Systemintegration (IHK, 07/2013)






    Dienstag, 6. Dezember 2016 13:22
  • Ich bin mir gerade nicht sicher ob aktualisieren den auch erstellt wenn er nicht vorhanden ist.

    http://www.how-to-compute.de/2014/01/22/group-policy-preferences-unterschied-zwischen-erstellen-ersetzen-und-aktualisieren/

    Ist so ;)



    Freundliche Grüße

    Sandro
    MCSA: Windows Server 2012
    Fachinformatiker Fachrichtung Systemintegration (IHK, 07/2013)




    Dienstag, 6. Dezember 2016 13:25
  • Ok,

    dann muss es aber auch einmal auf das Computerobjekt (OU?) und das Benutzerobjekt (OU?) angewendet werden!

    >>Ich möchte Einstellungen für HKLM als auch für HKCU vornehmen.


    Bis dann, Toni! Wenn Dir meine Antwort hilft dann markiere sie bitte als Antwort! Vielen Dank!


    Dienstag, 6. Dezember 2016 13:28
  • Wie es wohl aussieht, wird wohl in Windows 10 nicht alles übernommen, was unter Server 2008 R2 in der GPO vorgenommen wurde.

    Habe auch versucht, die GPO mittels Windows 10 RSAT-Tools zu bearbeiten. Das Problem bleibt das gleiche (siehe Screenshot). Vielleicht funktioniert es unter Server 2012 R2 besser...

    Ich werde wohl alle Einstellungen für HKCU über ein Powershell-Skript vornehmen müssen.

    Dienstag, 6. Dezember 2016 14:16
  • Hi,
     
    Am 06.12.2016 um 13:54 schrieb -honeybee-:
    > [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\DeviceAccess\Global\LooselyCoupled]
     
    Du definierst "HKCU" in einer Computerconfiguration, der Wert landet
    dann, wie angezeigt in HKCU.\Default und NICHT(!) HKCU.
     
    Definiere den Wert in der Benutzerkonfiguration, wenn die Richtlinie auf
    der OU an, wo deine Benutzer sind, dann ist es auch der HKCU.
     
    Tschö
    Mark
     
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    Dienstag, 6. Dezember 2016 14:59
  • Sag ich doch :-)

    Ich persönlich erstelle mir für solche Themen 2 GPO

    1x für Benutzer und 1x für Computer.

    Diese hänge ich dann an die Objekte (Benutzer, Computer,OU)

    Dadurch ist auch dasTroubleshooting übersichtlicher.



    Bis dann, Toni! Wenn Dir meine Antwort hilft dann markiere sie bitte als Antwort! Vielen Dank!

    Dienstag, 6. Dezember 2016 15:46
  • Hi,
     
    Am 06.12.2016 um 16:46 schrieb tonibert:
    > Sag ich doch :-)
     
    Dummerweise widerspricht uns der 2te Screenshot :-)
     
    Bleiben zu klären:
    - Scope of Management
    - Filterung
      - SecFilter
      - MS16-072
      - WMI
    - Komponenten an/aus
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    Dienstag, 6. Dezember 2016 15:50
  • Hey Mark,

    ich hab ehrlicherweise den zweiten mit dem Handy nicht gesehen.

    Kannst du mal aufklären ob aktualisieren nun auch erstellt oder eben nun nicht?!


    Bis dann, Toni! Wenn Dir meine Antwort hilft dann markiere sie bitte als Antwort! Vielen Dank!

    Dienstag, 6. Dezember 2016 19:52
  • Hi,
     
    Am 06.12.2016 um 20:52 schrieb tonibert:
    > Kannst du mal aufklären ob aktualisieren nun auch erstellt oder eben
    > nun nicht?!
     
    Ja kann ich. :-)
     
    ...
      Aktualisieren erstellt auch. Je nach CSE der Preferences ist das
    Cerhalten bei Update/Replace/Create etwas unterschiedlich. Ich schaue in
    den Fällen, wo ich mir nicht sicher bin in das
     
    "Group Policy: Preferences Extension Data Structure" PDF,
    das findest du hier:
     
    Da ist jede GPP PrefCSE drin mit allen XML werten, die sie haben kann.
     
    In Fall der Registry findest du:
    Update: This action MUST be used to modify settings of an existing
    registry value or key for computers or users. This action differs from
    Replace in that it MUST update only settings defined within the
    preference item. All other settings MUST remain as configured
    in the registry value or key. If the registry value or key does not
    exist, then the Update action MUST create a new registry value or key.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    Mittwoch, 7. Dezember 2016 09:18
  • Mark,

    ich danke dir!

    Kommt in mein WIKI :-)

    Tschö


    Bis dann, Toni! Wenn Dir meine Antwort hilft dann markiere sie bitte als Antwort! Vielen Dank!

    Mittwoch, 7. Dezember 2016 09:21

  • Du definierst "HKCU" in einer Computerconfiguration, der Wert landet
    dann, wie angezeigt in HKCU.\Default und NICHT(!) HKCU.
     
    Definiere den Wert in der Benutzerkonfiguration, wenn die Richtlinie auf
    der OU an, wo deine Benutzer sind, dann ist es auch der HKCU.
     

    Wer lesen kann, ist klar im Vorteil. Ich hatte hier geschrieben:

    "Aber die Änderung wurde einfach nicht übernommen. Das betrifft nur Änderungen für HKEY_CURRENT_USER. Da die Änderungen für HKEY_LOCAL_MACHINE übernommen wurden, schließe ich ein GPO-Problem aus. Das habe ich auch mit "gpresult" schon geprüft. Habe das sowohl unter der Computer- als auch unter der Benutzerkonfiguration versucht."

    Das heißt, trotz Registryeinträge in der Benutzerkonfiguration für HKCU funktioniert es trotzdem nicht! Kann es einfach nur an dem blöden Windows 10 liegen?

    Und nein, es gibt keine Filter, weder Sicherheitsfilter noch WMI. Ich habe das GPO ganz normal erstellt und NUR die Registryeinträge hinzufügt.

    Ich habe auch mit "Erstellen" und "Aktualiseren" probiert. HKCU wird einfach nicht übernommen. Nur HKLM.

    This action MUST be used to modify settings of an existing
    registry value or key for computers or users. This action differs from
    Replace in that it MUST update only settings defined within the
    preference item. All other settings MUST remain as configured
    in the registry value or key. If the registry value or key does not
    exist, then the Update action MUST create a new registry value or key.

    Verstehe ich richtig, dass der Registryeintrag, wenn er nicht vorhanden ist, vorher da sein muss, damit das GPO funktioniert? Heißt das, ich muss manuell in der Registry nachschauen, ob ein Eintrag vorhanden ist? Wenn ja, heißt es "Aktualisieren", wenn nein, heißt es "Erstellen". Ist das richtig?

    • Bearbeitet -honeybee- Mittwoch, 7. Dezember 2016 11:05
    Mittwoch, 7. Dezember 2016 11:03
  • Wer lesen kann, ist klar im Vorteil.  

    Was bitteschön soll denn so eine dumme Bemerkung in einem Expertenforum, wo jeder versucht kostenlos zu helfen?

    Verstehe ich richtig, dass der Registryeintrag, wenn er nicht vorhanden ist, vorher da sein muss, damit das GPO funktioniert? Heißt das, ich muss manuell in der Registry nachschauen, ob ein Eintrag vorhanden ist? Wenn ja, heißt es "Aktualisieren", wenn nein, heißt es "Erstellen". Ist das richtig?

    Mit der Nachfrage reihst Du Dich direkt in die "Wer lesen kann..."-Gruppe ein ;)
    Aktualisieren bedeutet: Nur der geänderte Eintrag wird aktualisiert. Existiert dieser nicht, wird er erstellt.



    Freundliche Grüße

    Sandro
    MCSA: Windows Server 2012
    Fachinformatiker Fachrichtung Systemintegration (IHK, 07/2013)



    Mittwoch, 7. Dezember 2016 11:31
  • Hi,
     
    Am 07.12.2016 um 12:03 schrieb -honeybee-:
    > Wer lesen kann, ist klar im Vorteil. Ich hatte hier geschrieben:
     
    Ich habe mir deinen SCREENSHOT angeschaut und auf dem steht gut zu
    lesen: HKEY_CURRENT_USER (HKU\.DEFAULT)
     
    Den Eintrag (HKU\.DEFAULT) gibt es nur in der COMPUTERKONFIGURATION der
    GPP Registry. In der Benutzerkonfiguration zeigt das DropDown
    HKEY_CURRENT_USER.
     
    Was Leute hier im Forum schreiben, was sie meinen und das, was sie tun
    sind unterschiedliche Dinge.
    Laut deinem Screenshot machst du es anders, als du willst oder
    schreibst. Tendenziell glaube ich eher dem Screenshot, als einer
    Aussage. Normalerweise ist dieser nämlich von der aktuellen Konfig.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    Mittwoch, 7. Dezember 2016 11:49
  • > Wer lesen kann, ist klar im Vorteil. Ich hatte hier geschrieben:
     
    Ja, wie tonibert und Mark schon schrieben...
     
    Du bist in der Computerkonfiguration. HKCU ist nur ein Link auf HKEY_USERS\xyz. Und xyz ist der jeweilige User. Im Computerkontext gibt es keinen angemeldeten User, sondern Du bist SYSTEM aka S-1-5-18. Das HKCU zeigt hier also auf HKEY_USERS\S-1-5-18. Und aus Gründen der Rückwärtskompatibilität ist HKEY_USERS\.DEFAULT auch wieder nur ein Link - und zwar auf HKEY_USERS\S-1-5-18.
     
     
    >     in the registry value or key. If the registry value or key does not
    >     exist, then the Update action MUST create a new registry value or key.
    >
    > Verstehe ich richtig, dass der Registryeintrag, wenn er nicht vorhanden ist, vorher da sein muss, damit das GPO funktioniert?
     
    Wie war das noch mal mit dem Lesen? Direkt über Deiner Frage steht "if the key/value does not exist, the update action must create a new key/value"...
     
    Mittwoch, 7. Dezember 2016 12:35
    Beantworter
  • Vielleicht habe ich mich aus eurer Sicht falsch ausgedrückt, aber ich habe geschrieben, dass ich beides versucht hatte, also Computer- und Benutzerkonfiguration. Ich habe das auch mit dem "Erstellen" und "Aktualisieren" versucht. Es funktioniert einfach trotzdem nicht.

    Momentan sieht es so aus. Dieser Eintrag befindet sich in der Benutzerkonfiguration:

    Und es funktioniert einfach nicht!

    Ich habe heute festgestellt, dass Windows 10 die Registryeinträge aus der Computerkonfiguration übernommen hat, die aus der Benutzerkonfiguration NICHT.

    Mittwoch, 7. Dezember 2016 13:05
  • Am 06.12.2016 um 13:54 schrieb -honeybee-:
    > [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion
    > \DeviceAccess\Global\LooselyCoupled] "Value"="Deny"
     
    Bei mir ist der auf "Deny" aber ich habe ihn nicht /explizit/ gesetzt.
    Bei mit ist per GPO
    PC Einstellungen \ Datenschutz \ Weitere Geräte \ "Mit Geräten
    Synchronisieren" deaktiviert, damit ist es wohl erledigt.
     
    Computer Configuration\Policies\Administrative Templates\Windows
    Components\App Privacy\Let Windows apps sync with devices
     
    Ansonsten, habe ich gerade mal auf eine "blanke" Maschine geschaut, da
    steht der Wert auf Deny und bei mir wird der Wert auch sofort an die
    10/2016 Maschine verteilt, wie gewünscht.
     Also, noch mal von vorne:
    - neue leere GPO erstellen, nichts editieren, keine SiGruppe, kein WMI
    - neue OU, darin TestOU und TestUser
    - GPO an diese OU verlinken
    - GPP Registry eintragen.
     
    Aktion: Aktualisieren
    DropDown: HKEY_CURRENT_User wählen
    Pfad:
    SOFTWARE\Microsoft\Windows\CurrentVersion\DeviceAccess\Global\LooselyCoupled
    Name: Value
    WertTyp: REG_SZ
    Wertdaten Deny
     
    Keine führender Backslash vor "Software\...", kein "HKEY_..." vor
    "Software\..." der hive ist schon im Dropdown.
     
    Das tuts, jetzt kannst du deinen Fehler in der andren Konfig per
    Auschlussverfahren suchen.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    Mittwoch, 7. Dezember 2016 13:30
  • > Ich habe heute festgestellt, dass Windows 10 die Registryeinträge aus der Computerkonfiguration übernommen hat, die aus der Benutzerkonfiguration NICHT.
     
     
    Mittwoch, 7. Dezember 2016 13:50
    Beantworter
  • Ich habe den Fehler gefunden:

    Das GPO war zwar mit der Computer-OU verknüpft, jedoch nicht mit der Benutzer-OU.

    • Als Antwort markiert -honeybee- Mittwoch, 7. Dezember 2016 14:10
    Mittwoch, 7. Dezember 2016 14:10
  • Am 07.12.2016 um 15:10 schrieb -honeybee-:
    > Ich habe den Fehler gefunden:
    > Das GPO war zwar mit der Computer-OU verknüpft, jedoch nicht mit der
    > Benutzer-OU.
     
    Da hätte Loopback geholfen :-)
     
    Tschö
    Mark
     
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    Mittwoch, 7. Dezember 2016 14:19
  • > Da hätte Loopback geholfen :-)
     
    Lieber nicht... :-D
     
    Mittwoch, 7. Dezember 2016 15:26
    Beantworter
  • Am 07.12.2016 schrieb -honeybee-:

    Ich habe den Fehler gefunden:

    Das GPO war zwar mit der Computer-OU verknüpft, jedoch nicht mit der Benutzer-OU.

    Jaja so ist das, wer den Schaden hat, spottet jeder Beschreibung. Hier: http://social.technet.microsoft.com/Forums/de-DE/gruppenrichtliniende/thread/dfe42bb7-b28f-47ce-aa92-e4eabba76735#1b5e896b-013e-49c5-a6c7-67d2c6dd107a gabs bereits deutlich weiter vorn den Hinweis auf das Verlinken der Benutzer-OU.

    Bye
    Norbert


    Dilbert's words of wisdom #10:
    I don't have an attitude problem. You have a perception problem.
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Mittwoch, 7. Dezember 2016 18:26
    Moderator
  • Hat'er

    Sag ich doch! (Computer)

    Sag ich doch ;-) (Benutzer)


    Bis dann, Toni! Wenn Dir meine Antwort hilft dann markiere sie bitte als Antwort! Vielen Dank!



    • Bearbeitet tonibert Mittwoch, 7. Dezember 2016 18:34
    Mittwoch, 7. Dezember 2016 18:29
  • Am 07.12.2016 schrieb tonibert:

    Sag ich doch! (Computer)

    Sag ich doch ;-) (Benutzer)

    Jahaaaaa habs ja schon entsprechend markiert :p
     Bye
    Norbert


    Frank, I never thought I'd say this again. I'm getting the pig!
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Mittwoch, 7. Dezember 2016 18:38
    Moderator