Windows 2012 - Gruppenrichtlinien nur auf bestimmte PCs anwenden

X

xoxys

Neuling
Thread Starter
Mitglied seit
27.09.2012
Beiträge
51
Hallo zusammen,

ich hab ein kleines Problem in meiner Testumgebung.

Aktuell läuft auf meinem Server Windows Server 2012 als DC. Jetzt wollte ich mal ein bisschen mit den Gruppenrichtlinien rumspielen. Also in der Active Directory habe ich drei OUs hinzugefügt (Meine-Computer, Meine-Gruppen, Meine-User). In der OU "Meine-Computer" befindet sich ein PC (Notebook01) und in der OU "Meine-User" ein User (test).

Außerdem existieren die Gruppen "Alle-User", und "Alle-PCs".

So, in der Gruppenrichtlinienverwaltung habe ich nun übergeordnet über alle OUs ein Gruppenrichtlinienobjekt angelegt und verknüpft. Als Sicherheitsgruppe habe ich die Gruppe "Alle-Computer" hinzugefügt und die Berechtigung "Gruppenrichtlinie übernehmen" und "Lesen" gegeben. Der Standartgruppe "Authentifizierte User" habe ich die Berechtigung "Gruppenrichtlinie übernehmen" entzogen und "Lesen" gelassen.

Nun zu dem eigentlichen Problem... Wenn ich mich jetzt mit dem User "test" an "notebook01" anmelde, werden die Einstellungen der Gruppenrichtlinie einfach nicht angewendet!! In der durch gpresult /H erzeugten Datei sehe ich, dass die Gruppenrichtlinie nicht angewendet wurde "Kein Zugriff (Sicherheit)" oder so ähnlich steht da. Außerdem steht in der Datei noch was von einem Versionskonflikt...

Versucht habe ich bereits folgendes:
Sicherheitsgruppe "Alle Computer" entfernt und "Authentifizierte Benutzer" die Berechtigung "Gruppenrichtlinie übernehmen" gegeben --> Gruppenrichtlinie wird angewendet
Sicherheitsgruppe "Alle Computer" entfernt "notebook01" und die Berechtigung "Gruppenrichtlinie übernehmen" sowie "Lesen" erteilt --> Gruppenrichtlinie wird angewendet

Warum funktioniert das selbe nicht mit der Gruppe "Alle-Computer"? Der PC "notebook01" ist definitiv Mitglied dieser Gruppe. Und wieso funktioniert es wenn ich den PC "notebook01" direkt zu den Sicherheitsgruppen hinzufüge?

Vielen Dank für eure Hilfe
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Im Reiter Deligierung ist eigentlich deutlich umständlicher und fehleranfälliger...Füg die Gruppe "Alle Computer" über die Sicherheitsfilterung hinzu und schmeiß dort die Authentifizierten Benutzer auch weg.

Ist es eine Benutzer oder eine Computerrichtlinie?
Loopbackverarbeitungsmodus ja/nein?
Poste mal das Ergebnis von Gpresult

Was für ein Typ ist die Gruppe "Alle Computer"?
 
Hey danke für deine Antwort.
Ich hatte es vorher schon probiert die Authentifizierten Benutzer über die Sicherheitsfilterung komplett zu entfernen und nur die Gruppe Alle Computer einzufügen, da ging es aber auch nicht... Dann hatte ich im Netz gelesen, dass man die Authentifizierten Benutzer mit Leserechten lassen sollte, ist das falsch?

Ist eine Computerrichtlinie. Ich hatte testweise mal die Animation bei der ersten Anmeldung deaktiviert.

Loopbackverarbeitungsmodus ja/nein? --> Was genau ist das? Bin noch nicht so tief drin in der Materie.

Die Gruppe Alle Computer ist eine Globale Sicherheitsgruppe.
Das Ergebnis von GPresult kann ich leider erst heute Nachmittag posten.

Vielen Dank schon mal
 
Zuletzt bearbeitet:
Es ist unnötig, falsch nicht unbedingt aber im Zweifel lesen die Clients dann halt beim verzeichnisauflisten immer unnötigen Schrott mit was die Verarbeitung verlängern kann und es darüber zu machen ist halt fehleranfälliger.

Loopbackverarbeitugnsmodus ist ein Modus mit dem man sagen kann dass Benutzerrichtlinien die auf ein Computerobjekt wirken auf die dort angemeldeten User wirken.

Hilfreich ist eventuell auch n screenshot/auszug aus der verwaltungskonsole
 
Vielen Dank nochmal für deine Hilfe. Ich konnte das Problem lösen. Der Client wusste noch nicht, dass er in der Gruppe Alle Computer ist.... Nach einem Neustart des Clients läuft alles. Ist es vlt irgendwie möglich, dass ein Client nicht neugestartet werden muss, damit er Änderungen an seiner Gruppenzugehörigkeit merkt?
 
xoxys schrieb:
Ist es vlt irgendwie möglich, dass ein Client nicht neugestartet werden muss, damit er Änderungen an seiner Gruppenzugehörigkeit merkt?
Zum Vergrößern anklicken....
Direkt am Client Powershell (oder Eingabeaufforderung) als Admin ausführen und "gpupdate /force" eingeben. Am Server per Powershell auf den Client schalten und genannten Befehl eingeben - seit Server 2012 gibt's aber auch die Möglichkeit, den Befehl per GUI in der GPMC.mmc an die Clients zu senden (Rechtsklick auf die OU in der Gruppenrichtlinienverwaltung - Gruppenrichtlinienupdate...)
Nicht alle Richtlinien greifen aber im laufenden Betrieb, so dass teilweise erst ein Neustart den gewünschten Effekt hat.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh