Durchaus kann es mal vorkommen, dass ihr Gruppenrichtlinien (GPOs) anlegt und konfiguriert aber diese nicht bei den Benutzern oder Computern ankommen… Warum? Na das kann ganz unterschiedlich sein.
Ist die GPO komplett neu angelegt? Oder wurde eine bestehende genutzt und umgeändert?
Folgend habe ich euch mal mögliche Grüne aufgeführt, die mir eingefallen sind. Gerne könnt ihr mir in den Kommentaren Ergänzungsvorschläge mitteilen.
Der Scope (Anwendungsbereich) ist nicht richtig definiert
Die GPO muss natürlich zwingend auf die Organisationseinheiten (OU) angewendet werden, in dem die Objekte liegen, die die GPO erhalten sollen.
Weitere Einschränkungsmöglichkeiten:
- Sicherheitsfilter: Standardmäßig wird eine GPO auf alle „Authentifizierte Benutzer / Authenticated Users“ gefiltert, sprich alle AD-Mitglieder. Hier kann auf einzelne/mehrere Objekte gefiltert werden.
- WMI-Filter: Möglichkeit einer Filterung auf bestimmte Betriebsversionen (Windows Management Instrumentation)
Sollten diese Filtermöglichkeiten genutzt worden sein, ist sicherzustellen, dass die Benutzer/Computer enthalten sind.
Loopback-Policy verhindert die Anwendung
Liegt der Computer an dem sich der Benutzer anmeldet in einer anderen OU, könnte sich dort eine GPO befinden die eine Loopbackverarbeitung aktiviert hat. (Direkt oder vererbt)
Grundsätzlich werden GPO wie folgt gezogen und angewendet:
- Computerrichtlinien = werden beim Bootvorgang/Netzwerkanmeldung des Rechners verarbeitet
- Benutzerrichlinien = werden bei der Benutzeranmeldung verarbeitet
- Änderungen werden standardmäßig alle 90 Minuten synchronisiert
Eine Loopbackverarbeitung bietet zwei mögliche Einstellungsmöglichkeiten:
- Zusammenführen (die Computerrichtlinien werden nach den Benutzerrichtlinien angewendet und erhalten so eine höhere Priorität)
- Ersetzen (Benutzerrichtlinien werden vollkommen von Computerrichtlinien ersetzt, heißt GPO die auf der Benutzer-OU liegen werden ignoriert. Liegen an der Computer-OU Benutzerrichtlinien an, werden diese angewendet.)
Nötige Berechtigungen sind nicht gegeben
Haben die Benutzer und Computer die nötigen Lese- und Anwendungsrechte auf der GPO?
Damit eine GPO erfolgreich angewendet werden kann, muss diese von dem Benutzer/Computer gelesen und angewendet werden dürfen. Unter „Delegierung“ kann dies geprüft und korrigiert werden.
Benutzer- oder Computereinstellungen der GPO deaktiviert
Enthält eine GPO nur Benutzerrichtlinien, empfiehlt es sich die Computereinstellungen der GPO zu deaktivieren.
Enthält eine GPO hingegen nur Computerrichtlinien, sollten die Benutzereinstellungen deaktiviert werden.
Enthält sie beides sollte natürlich nichts dergleichen deaktiviert werden.
Grundsätzlich solltet ihr für einen neuen Zweck, immer eine neue frische GPO anlegen, sauber konfigurieren, einen Kommentar hinterlegen und nur notwendige Rechte vergeben.
Vor Verknüpfung einer GPO auf eine Produktivumgebung, bitte immer erst testen.