GPO's unterhalb von OU's werden nicht angewendet

german
windows
ad-connection

#1

Hallo,

ich hoffe ihr könnt mir helfen.
Also ich versuche das Problem mal genau zu beschreiben.

Wir testen im Moment das UCS auf der neusten Version und wollen unsere OU’s und Gruppenrichtlinien über die “Gruppenrichtlinienverwaltung” von Windows verwalten. Es gibt eine OU “Hauptverwaltung” unter der die verschiedenen Abteilungen aufgelistet sind.
Wenn wir dann dieser OU eine GPO zuweisen, wird diese nicht auf dem Client angewendet.
Die Gruppenrichtlinie ist korrekt eingerichtet. Sie funktioniert auch, aber nur wenn man sie direkt unterhalb der Domäne zuordnet.

Über ein GPresult wird auch nichts angezeigt. Als ob die GPO gar nicht existieren würde.
Könnte es ein Problem zwischen der “Gruppenrichtlinienverwaltung” von Windows und dem LDAP-Verzeichnis von UCS geben?

Hoffe es ist so verständlich.

Schon mal vielen Dank!

Grüße


#2

Moin,

liegt denn der Rechner, mit dem Sie das testen, auch wirklich innerhalb dieser Abteilungs-OU? Denn GPOs werden per se nur auf alle Objekte angewandt, die im Baum unterhalb des Knotens liegen, mit dem die GPO verknüpft ist.

In welcher OU sich der Rechner befindet, das sehen Sie u.a., wenn Sie sich das HTML von gpresult /h C:\gporesult.html anschauen. Dort finden Sie die bei ComputerdetailsAllgemeinOrganisationseinheit.

Normalerweise machen wir es so, dass wir GPOs eher in der Wurzel aufhängen und dann über Filter die Rechnergruppen einschränken, für die sie ausgeführt werden sollen. Das ist deutlich flexibler, weil Rechner beliebig vielen Gruppen angehören können, aber nur in exakt einer OU im Baum sein können.

Gruß,
mosu


#3

Hallo,

nur eine kleine Ergänzung: Wenn in der Gruppenrichtlinie eine Benutzerkonfiguration verwendet wird, muss auch der Benutzer unterhalb der OU liegen :slight_smile:


#4

Also so sieht es jetzt bei mir aus. Denke schon das alles richtig zugeordnet ist. Im GPresult /H gpreport.html, wird mir die GPO Laufwerke IT leider auch nicht aufgelistet. Kann auch sein, dass ich mich irre.


#5

Was passiert denn, wenn Sie angemeldet sind und dann gpupdate bzw. gpupdate /force ausführen? Erscheinen die Laufwerke dann?

Haben Sie schon mal das GPO logging auf dem Client angeschaltet und die davon geloggten Ereignisse analysiert?

Haben Sie die fast-boot-Option auf dem Client schon mal testweise deaktiviert?


#6

Mein Fehler war anscheinend wirklich, dass ich die Benutzer in der falschen Gruppe hatte. War ein Denkfehler von mir. Danke!

Jedoch sagt er mir nun, dass das angegebene Netzwerkpasswort falsch wäre. Das Laufwerk ist gemapped aber die Verbindung steht nicht.


#7

Ist der Server, von dem die Share gemappt wird, Mitglied der Domäne?

Darf der Benutzer laut Konfiguration der Share überhaupt auf die Share zugreifen?


#8

Hat sich jetzt auch erledigt :slight_smile: Trotzdem Danke für die Hilfe!
Eine darüber liegende GPO hat anscheinend den Zugriff blockiert. Dort waren die Einstellungen falsch gesetzt.