none
Default Domain Policy RRS feed

 > 

  • Allgemeine Diskussion

  • Discussion
    Anmelden
    0
    Anmelden

    PC: MS Windows 8

    gpresult /R:

    COMPUTEREINSTELLUNGEN
    ----------------------

        Letzte Gruppenrichtlinienanwendung:   25.01.2013, um 07:04:07
        Gruppenrichtlinieanwendung von:       dc.bla-bla.net
        Schwellenwert für langsame Verbindung:500 kbps
        Domänenname:                          bla-bla
        Domänentyp:                           Windows 2008 oder höher

        Angewendete Gruppenrichtlinienobjekte
        --------------------------------------
            WSUS2012
            bla bla Policy
            Firewall - Ping erlauben
            Taskmenue klassisch
            Default Domain Policy
            Richtlinien der lokalen Gruppe

        Der Computer ist Mitglied der folgenden Sicherheitsgruppen
        ----------------------------------------------------------
            Administratoren
            Jeder
            SophosAdministrator
            SophosUser
            Benutzer
            NETZWERK
            Authentifizierte Benutzer
            Diese Organisation
            PC1$
            Domänencomputer
            Systemverbindlichkeitsstufe


    BENUTZEREINSTELLUNGEN
    ----------------------

        Letzte Gruppenrichtlinienanwendung:   25.01.2013, um 07:15:14
        Gruppenrichtlinieanwendung von:       DC.bla-bla.net
        Schwellenwert für langsame Verbindung:500 kbps
        Domänenname:                          bla-bla
        Domänentyp:                           Windows 2008 oder höher

        Angewendete Gruppenrichtlinienobjekte
        --------------------------------------
            Nicht zutreffend

        Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
        ----------------------------------------------------------------------
            Default Domain Policy
                Filterung:  Nicht angewendet (Unbekannte Ursache)

            Richtlinien der lokalen Gruppe
                Filterung:  Nicht angewendet (Leer)

        Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen
        ----------------------------------------------------------
            Domänen-Admins
            Jeder
            SophosAdministrator
            SophosUser
            Administratoren
            Benutzer
            INTERAKTIV
            KONSOLENANMELDUNG
            Authentifizierte Benutzer
            Diese Organisation
            LOKAL
            Internet
            edv
            SophosAdministrator
            Abgelehnte RODC-Kennwortreplikationsgruppe
            Hohe Verbindlichkeitsstufe

    -----

    Nun zu meinen Fragen?

    1) Warum ist die Default Domain Policy unter BENUTZEREINSTELLUNGEN nicht angewendet (Unbekannte Ursache)?

    2) Wie bekomme ich die Ursache heraus?


               

    Freitag, 25. Januar 2013 06:49
    |

Alle Antworten

  • Discussion
    Anmelden
    0
    Anmelden

    Hallo,

    Schau bitte einmal ins Eventlog (auch in Anwendungs- und Dienstprotokolle => Microsoft => Windows => GroupPolicy)

    Wird die Policy übernommen wenn du einen "gpupdate /force" ausführst?

    Welche User-Settings sind überhaupt definiert in der Default Domain Policy?

    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    Freitag, 25. Januar 2013 09:25
    |
    Beantworter
  • Discussion
    Anmelden
    0
    Anmelden

    Wenn in der DDP keine Usereinstellungen vorhanden sind, oder diese gar deaktiviert sind kann Sie nicht übernommen werden. Weiter wird Sie nicht übernommen wenn der Benutzer mit dem du dich anmeldest in der OU "User" ist.

    WMI Filter  aktiv?

    Freitag, 25. Januar 2013 09:50
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Auf dem Client wird auch nach einem gpupdate /force die Policy nicht übernommen. (als Domänen-Admin) wie gesagt immer die o.g. (Unbekannte Ursache).

    Im eventlog kann ich keine Fehler/Warnungen/Kritische Probleme via. Filter finden.

    Auf die Default Domain Policy gilt fongende Delegation:

    Authentifizierte Benutzer - Lesen (durch Sicherheitsfilterung)

    Domänen-Admin (bla-bla\Domänen-Admin) - Benutzerdefiniert

    DOMÄNENCONTROLLER DER ORGANISATION - Lesen

    Organisations-Admins (bla-bla\Organisations-Admin) - Benutzerdefiniert

    SYSTEM - Einstellungen bearbeiten, löschen, Sicherheit ändern

    bei allen Vererbt: Nein

    Einstellung der Sicherheitsfilterung:

    Authentifizierte Benutzer

    Freitag, 25. Januar 2013 10:04
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Interessant wäre hier nun zu wissen was die Einstellung "Benutzerdefiniert" bei den Domänen und Orga Admins enthält. Weil in mind. 1 dieser Gruppen ist der User von dem das Log oben stammt Mitglied.

    Normalerweise hat ein Dom Admin nämlich weder "GPO Übernehmen" verweigern, noch zulassen. Da er ja auch ein Auth. Benutzer ist welche das dürfen, wenn da aber auch was geändert wurde kann es daran liegen.


    Ist die DDP auch der Domäne zugewiesen oder nur einer OU. Zweiteres funktioniert nämlich nicht wenn Loopback aus ist. Kann auch sein das irgendwo die Vererbung deaktiviert wurde?
    Freitag, 25. Januar 2013 10:22
    |
  • Discussion
    Anmelden
    0
    Anmelden


    Die Domänen-Admins haben genau die im Bild von dir dargestellten Rechte, bis auf: (kann leider noch keine Bilder posten, da Acc. überprüft werden muss)

    Alle untergeordneten Objekte löschen = kein Hacken.

    Gruppenrichtlinien übernehmen= kein Hacken.

    Die DDP ist nur der Domäne zugeordnet aber keiner OU. Der Client befindet sich jedoch innerhalb einer OU unterhalb der Domäne. Der User von dem das o.g. Protokoll stammt bin ich (Domänen-Admin).




    • Bearbeitet daliba Freitag, 25. Januar 2013 10:46
    Freitag, 25. Januar 2013 10:43
    |
  • Discussion
    Anmelden
    0
    Anmelden
    Bist du in der OU Users oder Computers?
    Freitag, 25. Januar 2013 11:06
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Weiter wird Sie nicht übernommen wenn der Benutzer mit dem du dich anmeldest in der OU "User" ist.

    Was ist das für eine Theorie?
    Wenn die DDP direkt auf die Domäne verlinkt ist, dann funktioniert auch das.

    Trotzdem noch einmal die Frage, welche Benutzereinstellungen sind in der DDP definiert?

    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    Freitag, 25. Januar 2013 11:11
    |
    Beantworter
  • Discussion
    Anmelden
    0
    Anmelden

    Ich habe folgende OUs:

    -BLA- OU

    darunter befindet sich:

    Haus A OU

    Haus B OU

    Haus C OU

    Unter Haus A dann Beispielsweise:

    EDV OU -> hier dann auch der Host von dem ich spreche.

    ...........

    OU Users oder Computers ? Keine von beiden!

    Habe wie gesagt meine eigenen OUs unter dem Stammbaum in der ich die Clients schiebe.

    Die OUs selber bekommen dann von mir definierte GPOs.

    Der User (also ich) befinde mich jedoch noch in der OU Users.

    ------------------

    @Matthias Wolf:

    Benutzereinstellungen DDP? Welche meinst du? Habe ich doch bereits oben erwähnt oder nicht?

    Benutzerkonfiguration (Aktiviert) aber keine definiert! Der DC ist  nach der Erstinstallation sozusagen noch so gut wie unberührt.Alle Werte sind so belassen wie sie waren. Das einzige was angelegt worden ist sind die OUs.



    • Bearbeitet daliba Freitag, 25. Januar 2013 12:20
    Freitag, 25. Januar 2013 12:14
    |
  • Discussion
    Anmelden
    0
    Anmelden
     
    >         Default Domain Policy
    >
    >             Filterung:  Nicht angewendet (Unbekannte Ursache)
    >
     GPSVC Debug Logging aktivieren, Log analysieren. Geht am einfachsten mit
     
    mfg Martin
     
    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Freitag, 25. Januar 2013 12:36
    |
    Beantworter
  • Discussion
    Anmelden
    0
    Anmelden
    Auch wenn die Theorie vielleicht falsch ist. Erstell dir doch mal irgendeine OU im Root und schieb den dich, also den Benutzer, dort aus der OU Users dort rein und probiers nochmal.
    Freitag, 25. Januar 2013 12:48
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Benutzerkonfiguration (Aktiviert) aber keine definiert! Der DC ist  nach der Erstinstallation sozusagen noch so gut wie unberührt.Alle Werte sind so belassen wie sie waren. Das einzige was angelegt worden ist sind die OUs.

    Wo liegt dann eigentlich das Problem?
    Unbekannte Ursache ist natürlich nicht schön, aber egal wenn eh keine Einstellungen definiert sind.

    Default Domain Policy
                Filterung:  Nicht angewendet (Unbekannte Ursache)

    Aktiviere einmal irgendeine User-Einstellung in der Default Domain Policy.
    Danach ein gpupdate auf dem Client.

    Was wird jetzt angezeigt?
    Danach wieder die Einstellung aus der DDP entfernen. gpupdate.

    Was wird dann angezeigt?

    PS:
    Vergleiche auch mal die Versionsnummern der DDP, AD und SYSVOL Version.
    (siehst du in der GPMC)

    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!



    Freitag, 25. Januar 2013 16:17
    |
    Beantworter
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo,

    bist Du inzwischen weitergekommen?

    Gruss,
    Raul

    Raul Talmaciu, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Montag, 28. Januar 2013 08:47
    |