Hallo zusammen,
wir haben in unserer Umgebung die Folder Redirection per Standard für jeden User aktiviert. Einige Clients sind allerdings davon ausgenommen und haben die User GPO "Redirect to local path" erhalten. Dies hat bis jetzt auch normal funktioniert. Daten
auf Desktop, in Dokumente etc. wurden lokal auf C:\ umgeleitet. Die GPO "Only allow local user profiles" ist gesetzt.
Nun haben wir das Problem, dass einige der betroffenen Nutzer wieder Redirection auf den Server aktiv haben. Allerdings nicht alle Verzeichnisse. Nur Desktop und Dokumente. Downloads wird weiterhin lokal abgelegt. An der Umgebung hat sich zumindest bewusst
nichts geändert. Auffällig ist, dass es nur Windows 7 Clients betrifft. Windows 10 Clients haben das Problem nicht. Führe ich auf einem betroffenen Client "gpupdate /force" aus, erscheint diese Meldung:
"Die clientseitige Erweiterung "Folder Redirection" der Gruppenrichtlinie konnte mindestens eine Einstellung nicht anwenden, da die Änderungen vor dem Systemstart oder der Benutzeranmeldung verarbeitet werden müssen. Das System wartet
vor dem nächsten Startvorgang oder der nächsten Benutzeranmeldung darauf, dass die Gruppenrichtlinienverarbeitung vollständig abgeschlossen ist. Dies kann zu einem langsamen Start und zu einer niedrigen Startleistung führen."
"gpupdate" bzw. "gpupdate /logoff" hat den gleichen Effekt nur ohne Neustartaufforderung. Eine Neuanmeldung hilft nicht.
Bei "gpresult -r" erscheint die Meldung "Zugriff verweigert", was auch schon mal mindestens ungewöhnlich ist, das wird nicht explizit gesperrt.
Führe ich "rsop" aus erscheint folgende Meldung: Ungültiger Namespace
Das Interessante ist, dass dies nur die Rechner in einer bestimmten OU betrifft. Die Clients in einer anderen OU haben dieses Problem nicht, dort ziehen aber die exakt selben Richtlinien (lediglich mit minimal anderer Konfiguration, wie z. B. andere User
in die lokale Admingruppe etc.).
Nach längerem googlen habe ich ein nicht näher definiertes Script gefunden. So wie ich das sehe wird das Repository damit gelöscht und zurückgesetzt. Bei Neuanmeldung dann natürlich neu geschrieben und erstellt. Danach funktioniert es auch wieder so halbwegs.
Die angewandten GPOs werden wieder angezeigt aber nicht die Gruppenzugehörigkeiten. Ich habe den PC dann testweise aus der Domäne genommen und wieder hinzugefügt. Auch das brachte keinen Erfolg.
Das Script:
net stop winmgmt
pause
c:
cd c:\windows\system32\wbem
rd /S /Q repository
regsvr32 /s %systemroot%\system32\scecli.dll
regsvr32 /s %systemroot%\system32\userenv.dll
mofcomp cimwin32.mof
mofcomp cimwin32.mfl
mofcomp rsop.mof
mofcomp rsop.mfl
for /f %%s in ('dir /b /s *.dll') do regsvr32 /s %%s
for /f %%s in ('dir /b *.mof') do mofcomp %%s
for /f %%s in ('dir /b *.mfl') do mofcomp %%s
mofcomp exwmi.mof
mofcomp -n:root\cimv2\applications\exchange wbemcons.mof
mofcomp -n:root\cimv2\applications\exchange smtpcons.mof
mofcomp exmgmt.mof
Was mich nur total wundert ist, dass dieses Problem nur eine Hand voll Windows 7 User der gleichen OU haben. Windows 10 User haben es nicht und auch andere User mit Windows 7 in anderen OUs haben es nicht.
Ich darf ich hier leider noch keine Screenshots einfügen, daher verweise ich auf meine Frage bei ComputerBase:https://www.computerbase.de/forum/threads/gpo-wird-teilweise-nicht-angewandt-gpresult-r-zugriff-verweigert.1855300/
