User GPO not applying on PC in trusted domain

Alle Antworten

• 

  

  1

  Anmelden

  Moin,

  da Du im deutschen Forum postest, antworte ich mal auf Deutsch.

  Ich bin mir sehr sicher, dass ein RSoP (am besten aus der GPMC in Domain A) diese Frage beantworten oder Dich zumindest ein ganzes Stück voranbringen wird.

  Bist Du ganz sicher, dass auf den Terminalserver keine Loopback-GPO im Replace-Modus wirkt?

  Und hast Du auch verifiziert, dass die Cross-Domain-Einstellung tatsächlich angekommen ist?

  Wie gesagt, auf diese und andere Fragen liefert der Bericht in der GPMC eine Antwort.

  ---

  Evgenij Smirnov

  http://evgenij.smirnov.de

  Mittwoch, 14. Oktober 2020 15:11

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Moin und dankeschön,

  ja im Englischen habe ich "Windows Server" und somit "Active Directory" nicht als Punkte gefunden.
  
  Dein Hinweis ist gut, auch wenn ich nicht weiß was der Loopbackverarbeitungsmodus bewirkt.
  Der ist tatsächlich gesetzt und wirkt auf den betroffenen Server. Eine Hinterlassenschaft der vorherigen IT.

  Was bewirkt der; bzw was mache ich womöglich anders / kaputt wenn ich ihn deaktiviere? *googlet das schonmal*

  ---

  --------------------------------- ...ich bin der Jäger des Mondes, bis der Morgen erwacht!

  Donnerstag, 15. Oktober 2020 06:22

  Antworten

  |

  Zitieren
• 

  

  1

  Anmelden

  Moin,

  hier von Mark: https://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loopback-processing-mode

  In Kürze: Loopback bewirkt genau das, was Du festgestellt hast :-) Vermutlich ist die User GPO in der Domäne des TS so verknüpft, dass sie auch auf den TS wirkt, deswegen werden die Einstellungen in der eigenen Domäne tatsächlich angewandt.

  ---

  Evgenij Smirnov

  http://evgenij.smirnov.de

  Donnerstag, 15. Oktober 2020 06:28

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Verstehe ich nicht ganz. Zumal ein Deaktivieren des Loopback-Modul nicht hilft.

  In Meinen Augen (und so habe ich auch immer meine GPOs gebaut) wirkt das so:

  DomäneA\Server\Terminalserver
  Hier liegt der TS und hier habe ich GPOs, die Computereinstellungen vornehmen.

  DomäneB\Mitarbeiter\Standort
  Hier liegen mein Mitarbeiter und ich habe genau hier GPOs, die User-Einstellungen verändern hier verknüpft.

  Beim Anmelden am TS - so denke ich . verarbeitet der PC seine GPOs (DomäneA) und der User seine User-GPOs (DomäneB).
  Leider fallen meine GPOs laut gpresult wegen Sicherheitsfilterung durch.
  

  ---

  --------------------------------- ...ich bin der Jäger des Mondes, bis der Morgen erwacht!

  Donnerstag, 15. Oktober 2020 06:47

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Nachtrag:
  Es werden nur EINIGE GPOs nicht angewendet.
  
  Alle, die auf "Authentifizierte Benutzer" stehen, also ungefiltert, werden angewendet.

  
  Was verweigert wird sind (User) GPOs, die auf bestimmte Gruppen wirken. Das ist merkwürdig, denn der anmeldende User ist ja auch weiterhin mitglied der Gruppe DomäneB\Gruppe
  
  

  ---

  --------------------------------- ...ich bin der Jäger des Mondes, bis der Morgen erwacht!

  Donnerstag, 15. Oktober 2020 06:53

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Moin,

  da musst Du mal schauen, von welchem Scope die Gruppen aus der fremden Domäne sind. Nicht alles wirkt cross-forest genau so wie im eigenen Forest oder in der eigenen Domain des Computers.

  ---

  Evgenij Smirnov

  http://evgenij.smirnov.de

  Donnerstag, 15. Oktober 2020 07:03

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Moin,

  ich schaue schon. Wir konnten das Ganze soweit zu Laufen bringen, dass ich die Sicherheitsfilterung einer GPO abschalte. Dann wirkt sie sauber cross-forest.

  Jetzt hätte ich aber schon gerne die Filterung behalten. Was genau meinst du mit ich muss mal schauen von welchem Scope aus die Gruppen sind?

  Die Gruppen liegen einheitlich in einer OU Sicherheitsgruppen. Haben User zum Mitglied und ich hätte daher gedacht, die wirken auch beim Anmelden auf dem PC in einer anderen Domäne?
  Bestes Beispiel: Ich Mappe ein Laufwerk. Jetzt, ohne Filterung funktioniert das. Aber das sollen ja nicht alle User erhalten.

  Wieso sollte das nicht Cross-Forest wirken? Kannst du mir da ggf. eine Hilfestellung zu geben, wonach ich jetzt suchen sollte?

  ---

  --------------------------------- ...ich bin der Jäger des Mondes, bis der Morgen erwacht!

  Donnerstag, 15. Oktober 2020 07:10

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Moin,

  ich meine so die Kategorisierung in Global, Domain Local, Universal...

  ---

  Evgenij Smirnov

  http://evgenij.smirnov.de

  Donnerstag, 15. Oktober 2020 07:13

  Antworten

  |

  Zitieren
• 

  

  1

  Anmelden

  Moin,

  gefunden!
  Danke für deine Hilfestellung. Tatsächlich hatte es mit Global, Domain Local der Gruppen nichts zu tun. Da es sich um Ressourcengruppen handelt, sind sie alle lokal.

  Mein Problem hing zusammen mit dem Securty Update von 2016, in dem das Verhalten der GPO-Verarbeitung angepasst wurde.

  Seit diesem Patch muss die "Authentifiziert Benutzer"-Gruppe (die auch domäneneigene Computer beinhaltet) leseberechtigt sein, auch auf User-GPOs. Das war vor diesem Patch anders.
  Weiß ich noch, war damals ein großer Aufschrei bei allen Admins ;)

  However, um jetzt die DomäneB User-GPO cross-forest auf dem Terminalserver (DomäneA) wirken zu lassen, muss die Gruppe "DomäneA\Domänen-Computer" Leseberechtigungen erhalten auf die UserGPO der DomäneB.
  Dann klappt auch die Filterung.
  
  Sosse:
  https://support.microsoft.com/en-sg/help/3163622/ms16-072-security-update-for-group-policy-june-14-2016

  ---

  --------------------------------- ...ich bin der Jäger des Mondes, bis der Morgen erwacht!

  • Als Antwort markiert Niwo Sapphire Donnerstag, 15. Oktober 2020 07:25

  Donnerstag, 15. Oktober 2020 07:25

  Antworten

  |

  Zitieren