slansky
Goto Top

Windows 10 GPOs funktionieren nicht

Hallo Leute,
ich habe das Problem das die GPOs für Windows 10 in meiner Umgebung nicht funktionieren.

Meine Umgebung:

Domäne mit Gesamtstrukturfunktionsebene Windows Server 2008 R2, Domänenfunktionsebene Windows Server 2008 R2

Gemacht habe ich folgendes:

1. Einen zentralen Store für die GPOs angelegt unter c:\windows\sysvol\sysvol\domaene.loc\Policies mit Ordnernamen "PolicyDefinitions"

2. Die GPOs von Microsoft heruntergeladen und von C:\Program Files (x86)\Microsoft Group Policy\Windows 10 Version 1511\PolicyDefinitions in
C:\Windows\SYSVOL\sysvol\domaene.loc\Policies\PolicyDefinitions reinkopiert. Allerdings dann nur die Unterordner "de-DE" und "en-US" mitkopiert.

3. Neue GPO angelegt, zum Test beim Edge "InPrivat-Browsen" deaktiviert.

Die GPO greift nicht. Die GPO wird allerdings gezogen, habe ich mit gpresult /r geprüft. Was habe ich falsch gemacht?

Content-Key: 314460

Url: https://administrator.de/contentid/314460

Ausgedruckt am: 28.03.2024 um 12:03 Uhr

Mitglied: beschlagfuchs
beschlagfuchs 05.09.2016 um 11:39:59 Uhr
Goto Top
Hi,

solltest du Windows 10 Pro einsetzen hast du mit GPO´s relativ schlechte Karten.
Microsoft will bei Firmenkunden Geld verdienen und setzt für die meisten GPO die Enterprise Version von Win 10 voraus.
Mitglied: sabines
sabines 05.09.2016 um 11:46:20 Uhr
Goto Top
Mitglied: Looser27
Looser27 05.09.2016 aktualisiert um 11:58:35 Uhr
Goto Top
Zitat von @beschlagfuchs:

Hi,

solltest du Windows 10 Pro einsetzen hast du mit GPO´s relativ schlechte Karten.
Microsoft will bei Firmenkunden Geld verdienen und setzt für die meisten GPO die Enterprise Version von Win 10 voraus.

Naja....stimmt nicht so pauschal. Man kann über GPO schon noch ne Menge einstellen. Auch mit dem aktuellen Release.
Wichtig ist, dass man in der Delegierung die Domaincomputer auswählt (und bei Bedarf auch noch die AuthUser), damit die Richtlinie auch umgesetzt werden kann.
Ansonsten kannst Du Dir hier eine komplett fertige GPO runterladen und bei Dir importieren. Deine Änderungen da drin noch gemacht und gut is.

Edit: Das einzige, was man nach dem Upgrade auf 1607 machen muss, ist mit gpupdate /force das frische Windows einmal nötigen, die GPOs dann wieder zu ziehen.

Looser
Mitglied: slansky
slansky 05.09.2016 um 11:59:24 Uhr
Goto Top
Hallo,

die Stimmen, habe unter "Delegierung" sowohl den User als auch "Domänencomputer" Leseberechtigungen gegeben. Leider ohne Erfolg.
Mitglied: Looser27
Looser27 05.09.2016 um 12:27:03 Uhr
Goto Top
was zeigt denn ein gpresult bei Dir am Client an?
Mitglied: slansky
slansky 05.09.2016 um 12:31:10 Uhr
Goto Top
Bei "Angewendete Gruppenrichtlinienobjekte" zeigt er mir die GPO an. Zeigt mir auch keine Fehler soweit an
Mitglied: Looser27
Looser27 05.09.2016 um 12:36:11 Uhr
Goto Top
Vielleicht ist das eine Einstellung, die, wie oben erwähnt, mittels GPO nur in der Enterprise-Version einstellbar ist.
Mitglied: slansky
slansky 05.09.2016 um 12:43:08 Uhr
Goto Top
Habe jetzt schon verschiedene Einstellungen getestet, keine einzige die Funktioniert
Mitglied: nEmEsIs
nEmEsIs 05.09.2016 um 12:45:53 Uhr
Goto Top
Hi

bist du dir sicher das du einen Central Store eingerichtet hast wenn du die nach c:\windows\sysvol\sysvol\domaene.loc\Policies gelegt hast?

Hier ist eine Anleitung wie du das machst bzw prüf mal ob der Ordner PolicyDefinitions vohanden ist wenn du auf \\domaene.loc\Sysvol\domaene.loc\Policies gehst.
Anleitung:
http://blog.it-koehler.com/Archive/407


MfG Nemesis
Mitglied: netscrat
netscrat 05.09.2016 um 13:06:32 Uhr
Goto Top
Mitglied: slansky
slansky 05.09.2016 um 13:30:13 Uhr
Goto Top
Den Central Store habe ich genau über diese Anleitung eingerichtet und funktioniert auch wie erwartet. Die Sicherheitsfilterung habe ich auch wie bereits erwähnt gesetzt. Leider alles ohne Erfolg.
Mitglied: slansky
slansky 06.09.2016 um 12:34:30 Uhr
Goto Top
Hallo,

ich habe es hinbekommen. Ich habe folgendes gemacht:
1. Central Store eingerichtet
2. Gruppenrichtlinien von meinem Rechner reinkopiert
3. GPO - definiert
4. funktioniert.

Aber: Nachdem der Rechner die Richtilinie von einem anderen meiner DCs (ich habe 3 Stück) gezogen hat funktioniert es nicht mehr. Anscheinend habe ich ein Problem das die DCs sich untereinander nicht richtig abgleichen. Was könnte das Problem sein.
Mitglied: netscrat
netscrat 06.09.2016 um 14:11:20 Uhr
Goto Top
Moin,

Uhrzeiten an den DC's auf gleichem Stand?

Gruß
hagerino
Mitglied: slansky
slansky 06.09.2016 um 14:37:38 Uhr
Goto Top
Ja, alle gleich
Mitglied: netscrat
netscrat 06.09.2016 aktualisiert um 14:42:54 Uhr
Goto Top
Hast du mal die Replikation zwischen den DC's erzwungen bzw. manuell gestartet und konntest daher was auswerten?
Ereignislog iwelche Errors in dem Zusammenhang?

Edit: Replikationsintervall anpassen vllt. auf kürzere Abstände
Mitglied: slansky
slansky 06.09.2016 um 14:56:58 Uhr
Goto Top
Die Replikation habe ich nicht erzwungen, die gescha automatisch. In den Logs steht nichts. Was soll das Anpassen des Intervalls bringen?
Mitglied: netscrat
netscrat 06.09.2016 um 15:09:58 Uhr
Goto Top
Ich dachte eventuell passiert es einfach nicht oft genug und daher...falscher Gedanke.. :/
Mitglied: slansky
slansky 07.09.2016 um 08:06:23 Uhr
Goto Top
So, habe es jetzt hinbekommen, ich habe alle Schritte wie beschrieben nochmals durchgeführt und alle GPOs funktionieren.
ABER: Die GPOs ändern sich von Version zu Version. Die GPOs die man von Microsoft herunterladen kann, sind völlig andere als die in der aktuellen Version.

Das heißt: Man muss bei jeden größeren Update die GPOs vom lokalen Rechner in den Central Store kopieren und seine GPOs anpassen....
Mitglied: netscrat
netscrat 07.09.2016 um 08:43:29 Uhr
Goto Top
Moin,

danke für den Lösungsshare face-smile

Gruß
hagerino