none
Computerrichtlinie wird beim Start nicht angewandt RRS feed

  • Frage

  • Hallo,

    in unserer Domäne verteilen wir per GPO z.B. die Einstellungen für unseren WSUS oder das Hinzufügen von Dienst-Accounts zu der Administratoren Gruppe (alles als Computerrichtlinie). Im Zuge der Tests mit Windows 10 wurde auch die korrekte Anwendung der GPOs getestet. Dabei ist uns etwas aufgefallen. Zunächst sah alles gut aus, WSUS Einstellungen waren da, die User waren in den richtigen Gruppen. Dann haben wir testweise mal die per GPO verteilten User aus den Gruppen entfern und die Einstellungen für den WSUS aus der Registry gelöscht. Anschließend wurde der Rechner neu gestartet. Wenn wir den Artikel hier: https://technet.microsoft.com/en-us/library/cc940895.aspx korrekt verstehen so müßte grade die Computerrichtlinie bei jedem Neustart des Rechners angewandt werden. Allerdings wurden weder die Einstellungen des WSUS noch die User in die richtigen Gruppen wieder gesetzt. Wenn ein gpupdate /force abgesetzt wird werden alle Einstellungen wie gewünscht vorgenommen. Haben wir hier ein Verständnisproblem oder stimmt etwas nicht ? In der Ereignisanzeige für die GroupPolicy's kann man sehen, das er sowohl für den User als auch für den Computer Richtlinien findet und verarbeitet. Es gibt keinen Fehler. Bitte erleuchtet uns ;-). Übrigens betrifft dieses Verhalten nicht unsere Test-Windows 10 VM sondern auch einen Test-Windows 7 Rechner.

    Vielen Dank im Voraus.

    Sven 

    Dienstag, 4. August 2015 17:49

Antworten

  • Am 05.08.2015 schrieb svfern:
    Hi,

    zunächst mal vielen Dank für die schnellen Antworten.
    Nun kurz zu Winfried: Die vorgeschlagenen Einstellungen aus dem genannten Artikel hatten wir bereits umgesetzt.
    Zu Norbert: OK, die Sicherheitsgruppen werden von uns per Restricted Groups konfiguriert und nicht per GPP. Aber solange ich an der GPO nichts ändere, aber händisch auf dem Client Gruppen/User, die per GPO gekommen sind aus den Sicherheitsgruppen rausschmeisse, passiert bei einem Neustart also erstmal nix. Erst nach ca. 2 Stunden. Das war uns so wirklich nicht klar. Vielen Dank für die Erklärung, wieder was gelernt ;-).

    Muß mich korrigieren alle 16h. ;)

    https://technet.microsoft.com/en-us/library/cc785631(v=ws.10).aspx

    Define the setting on a Group Policy object (GPO) directly, which means that the policy goes into effect with every refresh of policy. The security settings are refreshed every 90 minutes on a workstation or server and every 5 minutes on a domain controller. The settings are also refreshed every 16 hours, whether or not there are any changes.

    Bye
    Norbert


    Frank, I never thought I'd say this again. I'm getting the pig!
    nntp-bridge Zugriff auf die MS Foren wieder möglich:
    https://communitybridge.codeplex.com/

    • Als Antwort markiert svfern Mittwoch, 5. August 2015 09:04
    Mittwoch, 5. August 2015 07:48
    Moderator

Alle Antworten

  • Am 04.08.2015 schrieb svfern:

    in unserer Domäne verteilen wir per GPO z.B. die Einstellungen für unseren WSUS oder das Hinzufügen von Dienst-Accounts zu der Administratoren Gruppe (alles als Computerrichtlinie). Im Zuge der Tests mit Windows 10 wurde auch die korrekte Anwendung der GPOs getestet. Dabei ist uns etwas aufgefallen. Zunächst sah alles gut aus, WSUS Einstellungen waren da, die User waren in den richtigen Gruppen. Dann haben wir testweise mal die per GPO verteilten User aus den Gruppen entfern und die Einstellungen für den WSUS aus der Registry gelöscht. Anschließend wurde der Rechner neu gestartet. Wenn wir den Artikel hier:https://technet.microsoft.com/en-us/library/cc940895.aspx korrekt verstehen so müßte grade die Computerrichtlinie bei jedem Neustart des Rechners angewandt werden. Allerdings wurden weder die Einstellungen des WSUS noch die User in die richtigen Gruppen wieder gesetzt. Wenn ein gpupdate /force abgesetzt wird werden alle Einstellungen wie gewünscht vorgenommen.

    Vermutlich starten die Rechner zu schnell. Probier doch mal diesen
    Artikel aus:
    http://www.gruppenrichtlinien.de/artikel/ssd-zu-schnell-synchroner-startvorgang-nicht-moeglich/


    Servus
    Winfried

    Gruppenrichtlinien
    HowTos zum WSUS Package Publisher
    WSUS Package Publisher
    HowTos zum Local Update Publisher
    NNTP-Bridge für MS-Foren

    Dienstag, 4. August 2015 18:07
  • Am 04.08.2015 schrieb svfern:
    Hi,

    in unserer Domäne verteilen wir per GPO z.B. die Einstellungen für unseren WSUS oder das Hinzufügen von Dienst-Accounts zu der Administratoren Gruppe (alles als Computerrichtlinie).
    Im Zuge der Tests mit Windows 10 wurde auch die korrekte Anwendung der GPOs getestet. Dabei ist uns etwas aufgefallen. Zunächst sah alles gut aus, WSUS Einstellungen waren da,
    die User waren in den richtigen Gruppen. Dann haben wir testweise mal die per GPO verteilten User aus den Gruppen entfern und die Einstellungen für den WSUS aus der Registry gelöscht.
    Anschließend wurde der Rechner neu gestartet. Wenn wir den Artikel hier:https://technet.microsoft.com/en-us/library/cc940895.aspx korrekt verstehen so müßte
    grade die Computerrichtlinie bei jedem Neustart des Rechners angewandt werden. Allerdings wurden weder die Einstellungen des WSUS noch die User in die richtigen Gruppen wieder gesetzt.
    Wenn ein gpupdate /force abgesetzt wird werden alle Einstellungen wie gewünscht vorgenommen. Haben wir hier ein Verständnisproblem oder stimmt etwas nicht ?

    Ja habt ihr. Der Background Refresh refresht nur "Änderungen" und nicht
    manuell am Client geänderte Settings. Für die Sicherheitsgruppen passiert
    das, wenn sie per Restricted Groups konfiguriert wurden und nicht per GPP,
    alle 2h automatisch. Deine WSUS Settings natürlich nur per /force (dann
    weißt du jetzt auch, wozu /force eigentlich da ist). Damit werden GPOs
    angewandt, obwohl sich serverseitig nichts geändert hat.

    In der Ereignisanzeige für die GroupPolicy's kann man sehen, das er sowohl für den User als auch für den Computer Richtlinien findet und verarbeitet. Es gibt keinen Fehler. Bitte erleuchtet uns ;-). Übrigens betrifft dieses Verhalten nicht unsere Test-Windows 10 VM sondern auch einen Test-Windows 7 Rechner.

    Licht ist jetzt an hoffe ich. ;)

    Bye
    Norbert


    Frank, I never thought I'd say this again. I'm getting the pig!
    nntp-bridge Zugriff auf die MS Foren wieder möglich:
    https://communitybridge.codeplex.com/

    • Als Antwort vorgeschlagen Lennart Mittwoch, 5. August 2015 07:40
    Dienstag, 4. August 2015 19:41
    Moderator
  • Am 04.08.2015 schrieb Norbert Fehlauer [MVP]:

    Am 04.08.2015 schrieb svfern:

    Licht ist jetzt an hoffe ich. ;)

    Bye
    Norbert

    PS: Das ist übrigens schon "immer" so. Kannst du gern bei Windows 7 usw.
    verifizieren.

    Bye
    Norbert


    Frank, I never thought I'd say this again. I'm getting the pig!
    nntp-bridge Zugriff auf die MS Foren wieder möglich:
    https://communitybridge.codeplex.com/

    Dienstag, 4. August 2015 19:42
    Moderator
  • Guten  morgen zusammen,

    zunächst mal vielen Dank für die schnellen Antworten.
    Nun kurz zu Winfried: Die vorgeschlagenen Einstellungen aus dem genannten Artikel hatten wir bereits umgesetzt.
    Zu Norbert: OK, die Sicherheitsgruppen werden von uns per Restricted Groups konfiguriert und nicht per GPP. Aber solange ich an der GPO nichts ändere, aber händisch auf dem Client Gruppen/User, die per GPO gekommen sind aus den Sicherheitsgruppen rausschmeisse, passiert bei einem Neustart also erstmal nix. Erst nach ca. 2 Stunden. Das war uns so wirklich nicht klar. Vielen Dank für die Erklärung, wieder was gelernt ;-).

    Viele Grüße
    Sven

    Mittwoch, 5. August 2015 05:42
  • Am 05.08.2015 schrieb svfern:
    Hi,

    zunächst mal vielen Dank für die schnellen Antworten.
    Nun kurz zu Winfried: Die vorgeschlagenen Einstellungen aus dem genannten Artikel hatten wir bereits umgesetzt.
    Zu Norbert: OK, die Sicherheitsgruppen werden von uns per Restricted Groups konfiguriert und nicht per GPP. Aber solange ich an der GPO nichts ändere, aber händisch auf dem Client Gruppen/User, die per GPO gekommen sind aus den Sicherheitsgruppen rausschmeisse, passiert bei einem Neustart also erstmal nix. Erst nach ca. 2 Stunden. Das war uns so wirklich nicht klar. Vielen Dank für die Erklärung, wieder was gelernt ;-).

    Muß mich korrigieren alle 16h. ;)

    https://technet.microsoft.com/en-us/library/cc785631(v=ws.10).aspx

    Define the setting on a Group Policy object (GPO) directly, which means that the policy goes into effect with every refresh of policy. The security settings are refreshed every 90 minutes on a workstation or server and every 5 minutes on a domain controller. The settings are also refreshed every 16 hours, whether or not there are any changes.

    Bye
    Norbert


    Frank, I never thought I'd say this again. I'm getting the pig!
    nntp-bridge Zugriff auf die MS Foren wieder möglich:
    https://communitybridge.codeplex.com/

    • Als Antwort markiert svfern Mittwoch, 5. August 2015 09:04
    Mittwoch, 5. August 2015 07:48
    Moderator
  • Hallo,

    das würde erklären warum heute morgen die Gruppen wieder korrekt gefüllt waren, nachdem ich gestern Abend die Accounts rausgeschmissen hatte und bei den Tests heute auch nach 2 Stunden die Accounts noch nicht wieder aufgetaucht sind. Danke für die Mühe. Ich lass die VM einfach mal laufen und beobachte ;-).

    Sven

    Mittwoch, 5. August 2015 09:03
  • > Muß mich korrigieren alle 16h. ;)
     
    ...oder man aktiviert für das, was einem wichtig ist, "Auch ohne
    Änderungen verarbeiten".
     
    Würde ja einen Link zu gpsearch.azurewebsites.net hier posten - aber
    System\Gruppenrichtlinien fehlt da gerade :)
     

    Greetings/Grüße, Martin

    Mal ein gutes Buch über GPOs lesen?
    Good or bad GPOs? - my blog…
    And if IT bothers me - coke bottle design refreshment (-:
    Mittwoch, 5. August 2015 10:32
    Beantworter
  • Am 05.08.2015 schrieb Martin Binder [MVP]:

    [2 zitierte Zeilen ausgeblendet]

     
    ...oder man aktiviert für das, was einem wichtig ist, "Auch ohne Änderungen verarbeiten".

    Mit den "ggf." nachteilig empfundenen Effekten... ;)

    Bye
    Norbert


    Dilbert's words of wisdom #10:
    I don't have an attitude problem. You have a perception problem.
    nntp-bridge Zugriff auf die MS Foren wieder möglich:
    https://communitybridge.codeplex.com/

    Mittwoch, 5. August 2015 10:38
    Moderator
  • Moin,
     
    Am 04.08.2015 21:41, schrieb Norbert Fehlauer [MVP]:
    > [...] wenn sie per Restricted Groups konfiguriert wurden und nicht per GPP,
    > alle 2h automatisch.
     
    Genau andersrum :-)
    GPP = 90 Minuten +- 30, wenn der Intervall nicht verändert ist, dafür
    aber bei JEDEM refresh, da GPPs die Version ignorieren.
     
    Security = alle 16 Stunden, wenn der Wert nicht geändert wurde,
    (MaxNoGPOListChangesInterval), dann aber quasi per "force", im GP
    Refresh Intervall wird ansonsten die Version berücksichtigt.
     
    Klugscheissermodus an und wieder aus :-)
     
    Tschö
    Mark
     
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Mittwoch, 5. August 2015 10:54
  • Hallo,

    das habe ich mir gerade mal angesehen (wenn z.B. die Einstellung "Richtlinienverarbeitung der Einstellungserweiterung "Lokale Benutzer und Gruppen" konfigurieren gemeint war). Diese Einstellung greift aber doch nur wenn man die Gruppen über die GPP füllt und nicht per Restricted Groups oder ?

    Viele Grüße Sven

    Mittwoch, 5. August 2015 12:32
  • Hi,
     
    Am 05.08.2015 14:32, schrieb svfern:
    > "Richtlinienverarbeitung der Einstellungserweiterung"
     
    Total miese Übersetzung von GPP,
    Preferences = Einstellungn
     
    und da sie zusätzlich als gekaufter Drittanbieter ins System kamen,
    gelten sie als Erweiterung zu den den Policies (Richtlinien)
     
    Also: Ja, da geht es um die GPP :-)
     Tschö
    Mark
     
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Mittwoch, 5. August 2015 12:40
  • Hallo,

    alles klar. Dann greift das bei uns nicht, da wir das ja über die Restricted Groups abhandeln. Macht aber auch nix. Wir sind mit den Standard Intervallen bisher gut gefahren und werden da daher auch nichts ändern. Wir hatten halt nur nicht verstanden warum sich Windows so verhält wie es das tut. Da habt ihr uns alle echt geholfen. Vielen Dank dafür. Das uns sowas erst nach Jahren auffällt... Asche auf unser Haupt ;-).

    Viele Grüße

    Sven

    Mittwoch, 5. August 2015 17:02