Server 2003 Gruppenrichtlinienproblem

[little_skunk]

Guten Tag

Ich hab ein Problem mit Gruppenrichtlinien. Ich hab eine Gruppenrichtlinie zum Installieren einer Sofware. Die User sind an ihren PC lokale Administratoren. Ich will aber verhindern, dass sie diese Software umkonfigurieren können. Dazu muss ich ihnen den Zugriff auf die Registry sperren. Leider übernimmt er die Richtlinie nicht immer. Wenn ich einen PC erst die Sofware installieren lasse und dann die Absicherungrichtlinie aktiviere, funktioniert es. Wenn ich aber beide gleichzeitig aktiviere, so wie es später sein sollte, dann wirkt die Absicherung nicht. Die entsprechenden Registryeinträge sind ja erst nach der Installation vorhanden und ich vermute, dass die Absicherung vorher greift und dann nicht existente Registry einträge sperren will.

Software wird als Computerpacket installiert.
Absicherung ist eine Comupterrichtlinie -> Sicherheitsrichtline -> Registry

Kann ich irgendwie einstellen, dass die Absicherung erst nach der Installation übernommen wird? Was passiert wenn ich beide Gruppenrichtlinien in eine Gruppenrichtline zusammenführe?

Mit freundlichen Grüßen
Skunk

 

[0711]

das die richtlinie aber erst nach 2 stunden aktiv wird hast du bedacht?

normalerweise ist es egal wann die software draufkommt (auch egal auf welchem weg)

 

[little_skunk]

Da muss ich dir leider wiedersprechen. Die Richtlinien sind sofort aktiv. Die Client PCs aktualisieren nur normalerweise die Computerrichtlinien nicht bei jedem Neustart. Deshalb geb ich ja gpupdate /force ein. Dann übernimmt er die Computerrichtlinien und installiert auch wie erwartet die Software. Da es aber nicht die einziege Computerrichltinie ist, übernimmt er auch gleich noch alle anderen und somit unter anderem die Absicherungsrichtlinie. Resultat: User können die entsprechenden Registrykeys immer noch ändern. Wenn ich dagegen die Software erst installieren lasse und nachträglich die Absicherung aktiviere, dann ist es so wie gewünscht.

 

[0711]

hast du gleich nach dem installieren nochmal gpupdate /force ausgeführt?
Die Richtlinie greift nämlich erst wenn der reg key auch da ist....und das heisst beim ersten aktualisieren installierst du die software -> key noch nicht da -> richtlinie greift nicht

danach entweder die ~2 stunden warten oder gpupdate /force nochmal durchführen, dann sollte es eigentlich greifen

edith:
wobei ich mir nicht ganz sicher bin ob du nicht einen neustart dazwischen benötigst...windows bis xp/2003 benötigt für ein vollständiges richtlinienupdate einen reboot -> bullshit, ist zwar richtig aber betrifft dich in dem fall nicht

 

[little_skunk]

Du liegst völlig richtig. Gpupdate /force startet auch gleich den PC neu.

Du hast das Problem erkannt. Die Absicherung kann nicht vor der Installation greifen. Die Regkeys sind ja nicht vorhanden. Das Problem ist aber, dass er die Richtlinien zeitgleich übernimmt und ich es noch nicht hinbekommen habe die Reinfolge zu bestimmen. Ich habe aber den verdacht, dass der Fehler an einer anderen Stelle liegt. Ich teste es gleich nochmal und mal sehen was da bei rauskommt.
Hinzugefügter Post:
Fehler gefunden

Es lag tatsächlich an der Reinfolge. Die Gruppenrichtlinien werden von unten nach oben abgearbeitet. Damit die Absicherung funktioniert, muss sie in der Liste über dem Softwarepacket stehen. Dadurch wird die Richtlinie auch erst nach der Installation übernommen. Ich hatte es auch vorher richtig eingestellt aber eines vergessen. Ich habe die Berechtigungen auf die Registry so geändert, dass eine Domänengruppe nicht die Einträge bearbeiten kann. Die Domänengruppe wurder aber erst in einer Richtlinie Später an den Client übertragen. Ich hab jetzt die Absicherung ganz nach oben und damit ganz zuletzt gelegt und nun geht es wunderbar.