Clients übernehmen Einstellungen aus GPO nur teilweise

Wir haben einen SBS 2003 SP1. Clients mittlerweile ausschließlich XP SP2.
Ich habe in einer Gruppenrichtlinie auf dem Server einige Einstellungen
sowohl unter Computerkonfiguration als auch Benutzerkonfiguration
vorgenommen. Erstere werden nicht übernommen. Der Richtlinienergebnissatz
(rsop.msc) zeigt mir auf den Clients für diese GPO nur die Einstellungen
der Benutzerkonfiguration, alle Einstellungen unter Computerkonfiguration
stehen auf 'nicht konfiguriert'.
Auch ein Neustart des Servers (und auch der Clients) brachte keine Abhilfe.
Woran kann das liegen?

Gruß Patrick

Patrick Denke schrieb:

> Wir haben einen SBS 2003 SP1. Clients mittlerweile ausschließlich XP SP2.
> Ich habe in einer Gruppenrichtlinie auf dem Server einige Einstellungen
> sowohl unter Computerkonfiguration als auch Benutzerkonfiguration
> vorgenommen. Erstere werden nicht übernommen. Der Richtlinienergebnissatz
> (rsop.msc) zeigt mir auf den Clients für diese GPO nur die Einstellungen
> der Benutzerkonfiguration, alle Einstellungen unter Computerkonfiguration
> stehen auf 'nicht konfiguriert'.

Liegen die Computerkonten auch im Verwaltungsbereich der Richtlinie?
http://www.gruppenrichtlinien.de/How...chtlin ie.htm

Servus
Winfried
--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
Win2000-FAQ: http://w2k-faq.ebend.de
GPO's: www.gruppenrichtlinien.de
W2K Up2date: http://home.arcor.de/jterlinden/index.htm

Am Thu, 6 Dec 2007 13:56:08 +0100 schrieb Winfried Sonntag [MVP]:

> Patrick Denke schrieb:
>
>> Wir haben einen SBS 2003 SP1. Clients mittlerweile ausschließlich XP SP2.
>> Ich habe in einer Gruppenrichtlinie auf dem Server einige Einstellungen
>> sowohl unter Computerkonfiguration als auch Benutzerkonfiguration
>> vorgenommen. Erstere werden nicht übernommen. Der Richtlinienergebnissatz
>> (rsop.msc) zeigt mir auf den Clients für diese GPO nur die Einstellungen
>> der Benutzerkonfiguration, alle Einstellungen unter Computerkonfiguration
>> stehen auf 'nicht konfiguriert'.
>
> Liegen die Computerkonten auch im Verwaltungsbereich der Richtlinie?
> http://www.gruppenrichtlinien.de/How...chtlin ie.htm
>

Das war's. Habe die GPO mit der (nun erstellten) OU Meine Computer
verknüpft, danach hat es funktioniert.
Aber warum ist das so?
Bei den GPO's stand bisher auf dem Reiter Bereich in der Spalte Pfad
'meineDomain.local'. Nun stehen hier die beiden OU's, in denen die User und
Computer enthalten sind.
Aber 'meineDomain.local' beeinhaltet doch auch alle User und Computer und
sogar die beiden neuen OU's, steht also noch eine Ebene über den OU's, oder
wo ist hier mein Denkfehler?

Gruß Patrick

Patrick Denke schrieb:

>> Liegen die Computerkonten auch im Verwaltungsbereich der Richtlinie?
>> http://www.gruppenrichtlinien.de/How...chtlin ie.htm
>>
>
> Das war's. Habe die GPO mit der (nun erstellten) OU Meine Computer
> verknüpft, danach hat es funktioniert.
> Aber warum ist das so?

Waren die Computer vorher im Container "Computer"?

> Bei den GPO's stand bisher auf dem Reiter Bereich in der Spalte Pfad
> 'meineDomain.local'. Nun stehen hier die beiden OU's, in denen die User und
> Computer enthalten sind.
> Aber 'meineDomain.local' beeinhaltet doch auch alle User und Computer und
> sogar die beiden neuen OU's, steht also noch eine Ebene über den OU's, oder
> wo ist hier mein Denkfehler?

Hmm, das kann dir bestimmt einer der GPO-Guru's hier besser und vor
allem richtig erklären.

Servus
Winfried
--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
Win2000-FAQ: http://w2k-faq.ebend.de
GPO's: www.gruppenrichtlinien.de
W2K Up2date: http://home.arcor.de/jterlinden/index.htm

Am Fri, 7 Dec 2007 09:17:45 +0100 schrieb Winfried Sonntag [MVP]:

> Patrick Denke schrieb:
>
>>> Liegen die Computerkonten auch im Verwaltungsbereich der Richtlinie?
>>> http://www.gruppenrichtlinien.de/How...chtlin ie.htm
>>>
>>
>> Das war's. Habe die GPO mit der (nun erstellten) OU Meine Computer
>> verknüpft, danach hat es funktioniert.
>> Aber warum ist das so?
>
> Waren die Computer vorher im Container "Computer"?
Du meinst "Computers", ja, nun alle in der OU "Meine Computer", und alle
User waren im Container "Users", nun zum großen Teil in der OU "Meine
Benutzer".
>
>> Bei den GPO's stand bisher auf dem Reiter Bereich in der Spalte Pfad
>> 'meineDomain.local'. Nun stehen hier die beiden OU's, in denen die User und
>> Computer enthalten sind.
>> Aber 'meineDomain.local' beeinhaltet doch auch alle User und Computer und
>> sogar die beiden neuen OU's, steht also noch eine Ebene über den OU's, oder
>> wo ist hier mein Denkfehler?
>
> Hmm, das kann dir bestimmt einer der GPO-Guru's hier besser und vor
> allem richtig erklären.
Wäre mal gut, denn ich habe vorhin ein Telefonat mit jemandem gehabt, der
uns den Exchange-Server konfiguriert hat (ein Mitarbeiter eines
IT-Unternehmen, welches für viele Firmen ohne eigene IT-Abteilung die
Netzwerkverwaltung übernimmt) und unser Netzwerk kennt, also eigentlich ein
Profi. Er war meiner Meinung, daß es auch in meiner vorherigen
Konfiguration ohne OU's hätte funktionieren müssen. Er vermutet, wir haben
ein anderes Problem im Netzwerk, konnte aber auch keine Details nennen.
Komisch nur, daß es jetzt funktioniert, nachdem ich die GPO mit den
entsprechenden OU's verknüpft habe.
Gibt es nicht vielleicht eine Quelle in der mal genau und vor allem
strukturiert erklärt wird, wann welche Einstellungen der GPO's für wen
gelten?
Und damit meine ich jetzt nicht Standorte, Domänen, Clients und deren
Prioritäten sondern Wirkbereiche und Sicherheitsfilterung und deren
Auswirkungen auf die Computer- und Benutzereinstellungen. Dann scheint es
ja auch noch Besonderheiten z.B. für die Kennwortrichtlinien zu geben, die
auch nicht immer greifen. Z.B. zeigt rsop.msc auf meinem Rechner unter
meinem AD-Namen (der der Gruppe der Domänenadmins angehört) eine
Kennwortmindestlänge von 8 Zeichen an, wenn ich das Kennwort am Client aber
ändere, werden auch 2 Zeichen akzeptiert (sehr konfus).

Gruß Patrick

Patrick Denke schrieb:

>> Hmm, das kann dir bestimmt einer der GPO-Guru's hier besser und vor
>> allem richtig erklären.

Mark, Norbert oder Florian lesen hier auch mit, kann ein bisschen
dauern.

Servus
Winfried
--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
Win2000-FAQ: http://w2k-faq.ebend.de
GPO's: www.gruppenrichtlinien.de
W2K Up2date: http://home.arcor.de/jterlinden/index.htm

Howdie Patrick!

Nachdem Winfried uns schon hier "angepriesen" hat, kurz meine Gedanken
zu deinem "Problem".

Patrick Denke schrieb:
> Das war's. Habe die GPO mit der (nun erstellten) OU Meine Computer
> verknüpft, danach hat es funktioniert.
> Aber warum ist das so?

Gute Frage ;-)

> Bei den GPO's stand bisher auf dem Reiter Bereich in der Spalte Pfad
> 'meineDomain.local'. Nun stehen hier die beiden OU's, in denen die User und
> Computer enthalten sind.
> Aber 'meineDomain.local' beeinhaltet doch auch alle User und Computer und
> sogar die beiden neuen OU's, steht also noch eine Ebene über den OU's, oder
> wo ist hier mein Denkfehler?

Dein Denkansatz ist schon richtig. Obwohl du keine Richtlinien an
"Users" und "Computers" linken kannst, wenden Objekte in den beiden
Containern die Richtlinien der Default Domain Policy und der Site an.
Die Verarbeitung läuft wie gewohnt L-S-D-OU (local policy, Site, Domäne
und OU - die Objekte in "Users" und "Computers" haben eben keine OU).

Von was für einer Computereinstellung reden wir denn?

Ich könnte mir prinzipiell vorstellen, dass es zwischen den
Domänencontrollern einen "version mismatch" der Richtlinien gegeben hat
oder du hast erst die Benutzerseite der Gruppenrichtlinie konfiguriert
und später die Computerseite - und danach wurde die Version der
Richtlinien nicht aktualisiert... vielleicht hast du beim "Verschieben"
des Links vom Domänenlevel zu OU-Level die Richtlinie neu geöffnet oder
zwischendrin ein Setting geändert, was zur Versionserhöhung und damit
neuer Aktualisierung geführt hat... - das sind jetzt alles Spekulationen
aus dem Bauch heraus - ein "Auswurf" von Gpresult und eine Einsicht in
die Eventlogs von Domaincontrollern und betreffendem Client wären
sicherlich auch noch interessant gewesen.

Aber so wie ich dein Problem grade verstehe, ist da irgendwas schief
gelaufen. Ich finds zumindest mysteriös ;-)

cheers,

Florian
--
Microsoft MVP - Windows Server - Group Policy.
eMail: prename [at] frickelsoft [dot] net.
blog: http://www.frickelsoft.net/blog.

Moin,

Winfried Sonntag [MVP] schrieb:
> Mark, Norbert oder Florian lesen hier auch mit, kann ein bisschen
> dauern.

Norbert? Nee, der macht kein Vista :-))

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Blog: gpupdate.spaces.live.com - english

Hi,

Achtung: Werbung!

Patrick Denke schrieb:
> Gibt es nicht vielleicht eine Quelle in der mal genau und vor allem
> strukturiert erklärt wird, wann welche Einstellungen der GPO's für wen
> gelten?

Sagen wir mal so: Es gibt einen Grund, warum ich einen 3 Tage Workshop
zum Thema anbiete, weil genau die Sondefälle oder mal das Durchspielen
von Filtern (dsacls, WMI) in Verbindung mit "Erzwingen" und "Vererbung
Deaktivieren" sonst nie stattfinden.

Wo wir gerade beim Thema sind: MIt dem 2008 und den neuen Preferences
wird es ja nicht einfacher, wenn auf einmal auch einzelne Polcicies
innerhalb einer GPO gefiltert werden können ...

Tschö
Mark

P.S.: Florian: du bist nicht vergessen. Lass mal Weihnachten vorbei ...
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Blog: gpupdate.spaces.live.com - english

Am Fri, 07 Dec 2007 14:07:30 +0100 schrieb Florian Frommherz [MVP]:

>> Das war's. Habe die GPO mit der (nun erstellten) OU Meine Computer
>> verknüpft, danach hat es funktioniert.
>> Aber warum ist das so?
>
> Gute Frage ;-)
>
>> Bei den GPO's stand bisher auf dem Reiter Bereich in der Spalte Pfad
>> 'meineDomain.local'. Nun stehen hier die beiden OU's, in denen die User und
>> Computer enthalten sind.
>> Aber 'meineDomain.local' beeinhaltet doch auch alle User und Computer und
>> sogar die beiden neuen OU's, steht also noch eine Ebene über den OU's, oder
>> wo ist hier mein Denkfehler?
>
> Dein Denkansatz ist schon richtig. Obwohl du keine Richtlinien an
> "Users" und "Computers" linken kannst, wenden Objekte in den beiden
> Containern die Richtlinien der Default Domain Policy und der Site an.
> Die Verarbeitung läuft wie gewohnt L-S-D-OU (local policy, Site, Domäne
> und OU - die Objekte in "Users" und "Computers" haben eben keine OU).
>
> Von was für einer Computereinstellung reden wir denn?
Ich habe einmal das Veröffentlichen von Druckern untersagt (testweise) und
zum zweiten die minimale Kennwortlänge auf 8 Zeichen gesetzt.
Nun da die Computereinstellungen scheinbar übernommen wurden, nachdem ich
die GPO's an die OU's verknüpft habe, zeigt mir rsop.msc auch beide
Einstellungen auf den Clients an. Die Druckereinstellung wirkt sich auch
tatsächlich aus, die Kontorichtlinie aber nicht. Auch Kennwörter mit nur 2
Zeichen werden weiterhin akzeptiert.

> Ich könnte mir prinzipiell vorstellen, dass es zwischen den
> Domänencontrollern einen "version mismatch" der Richtlinien gegeben hat
> oder du hast erst die Benutzerseite der Gruppenrichtlinie konfiguriert
> und später die Computerseite - und danach wurde die Version der
> Richtlinien nicht aktualisiert... vielleicht hast du beim "Verschieben"
> des Links vom Domänenlevel zu OU-Level die Richtlinie neu geöffnet oder
> zwischendrin ein Setting geändert, was zur Versionserhöhung und damit
> neuer Aktualisierung geführt hat... - das sind jetzt alles Spekulationen
> aus dem Bauch heraus - ein "Auswurf" von Gpresult und eine Einsicht in
> die Eventlogs von Domaincontrollern und betreffendem Client wären
> sicherlich auch noch interessant gewesen.
Ist jetzt leider zu spät, ich werde die Einstellungen auf dem Server nicht
mehr rückgängig machen. Aber wenn Du möchtest, kann ich Dir ein aktuellen
Ergebnissatz von gpresult posten.

> Aber so wie ich dein Problem grade verstehe, ist da irgendwas schief
> gelaufen. Ich finds zumindest mysteriös ;-)
Wird wohl so sein.
Aber wie bekomme ich es hin, daß die Kontorichtlinien greifen?

Gruß
Patrick