GPO Auswertung funktioniert mit gpupdate, aber nicht beim reboot

Discussion:

(zu alt für eine Antwort)

Christoph Peus

2010-01-21 13:18:00 UTC

Hallo Experten,

ich habe in einer Gruppenrichtlinie in der Domäne konfiguriert, daß
der Dienst "Terminaldienste" automatisch gestartet werden soll. Stelle
ich diesen Dienst nun auf einem PC manuell auf "deaktiviert" und führe
anschließend "gpupdate /force" aus, wird er wie gewünscht auf
"automatisch" umgestellt.

Problem: ein Neustart des Rechners (auch ein zweiter Neustart) hat
nicht diesen Effekt. Nur mit "gpupdate" wird die Einstellung
übernommen. Ich konnte dieses Verhalten auch auf einem weiteren PC
reproduzieren. ("gpresult" zeigt auch an, daß die Richtlinie, in der
ich dies konfiguriert habe, angewendet wurde.)
Woran könnte das liegen?

Danke vorab!

Gruß
Christoph

StefanK

2010-01-21 17:29:49 UTC

Permalink

Hai

Post by Christoph Peus
reproduzieren. ("gpresult" zeigt auch an, daß die Richtlinie, in der
ich dies konfiguriert habe, angewendet wurde.)
Woran könnte das liegen?

Hab soeben meinen thread geschlossen der ev ein ähnliches problem
hatte;
hast du unter c:\WINDOWS\security\logs\winlogon.log nachgeschaut ob
auch wirklich alles sauber abegarbeitet wurde?
Hatte zuerst auch das gefühl dies sei der fall, im log hab ich aber
einige fehler entdeckt!

gruss

Mark Heitbrink [MVP]

2010-01-21 19:01:45 UTC

Permalink

Hi,

Post by Christoph Peus
Problem: ein Neustart des Rechners (auch ein zweiter Neustart) hat
nicht diesen Effekt.

FAQ: 36.
http://www.gruppenrichtlinien.de/Grundlagen/faq.htm
Tschö
Mark

--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate

Christoph Peus

2010-01-22 15:18:11 UTC

Permalink

On Jan 21, 8:01 pm, "Mark Heitbrink [MVP]" <spam-

Post by Christoph Peus
Problem: ein Neustart des Rechners (auch ein zweiter Neustart) hat
nicht diesen Effekt.

FAQ: 36.http://www.gruppenrichtlinien.de/Grundlagen/faq.htm

Hi, danke für den Hinweis. Ich habe nun in der gleichen GPO, in der
ich auch den automatischen Start des Diensts "Terminaldienste"
konfiguriert habe, folgende von dir empfohlene Einstellung gemacht:

Computerkonfiguration \ Administrative Vorlagen \ System \ Anmeldung
"Beim Neustart des Computers und bei der Anmeldung immer auf das
Netzwerk warten" = aktiviert

*Diese* Einstellung greift auch sofort. Es dauert deutlich länger bis
bei einem Neustart der Anmeldedialog erscheint, während die Info
erscheint "Computereinstellungen werden übernommen". Leider ändert das
nichts daran, daß der Terminaldienste-Dienst weiterhin deaktiviert ist
und *nicht* wie bei Ausführung von "gpupdate" auf "automatisch"
gestellt wird.
Die C:\windows\security\logs\winlogon.log hat nach dem Reboot im
Übrigen den Zeitstempel der letzten Ausführung von "gpupdate /force"
und nicht den Zeitstempel des letzten Reboot....

Frage: Ist es für die Anwendung der Computer-Richtlinien nicht ohnehin
unerheblich, wann die Anmeldung des Users geschieht? Werden die
Computer-Richtlinien nicht unabhängig von der Anmeldung des Users
ausgewertet, evtl. also auch schon bevor sich überhaupt ein User
angemeldet hat? (Daß das Netzwerk erstmal online sein muß, ist klar.)

Auch ist mir nicht klar, wie dein Hinweis im FAQ zu verstehen ist:
"Damit diese Richtlinie auch wirklich beim nächsten Mal aktiv ist,
empfehle ich eine erzwungene Übernahme der Richtlinie in der
Kommandozeile.
gpupdate /target:computer /force"
Bedeutet das, daß das gpupdate-Kommando auf jedem PC vom Login-Skript
ausgeführt werden soll? Irgendwie mag ich nicht glauben, daß diese
Krücke der einzig zuverlässige Weg sein soll, dieses Problem zu
lösen...

Ich wäre hier für etwas Aufklärung wirklich dankbar!

Gruß
Christoph

Mark Heitbrink [MVP]

2010-01-22 19:45:47 UTC

Permalink

Hi,

[...] Leider ändert das nichts daran, daß der Terminaldienste-Dienst
weiterhin deaktiviert ist und *nicht* wie bei Ausführung von
"gpupdate" auf "automatisch" gestellt wird.

Jede GPO hat eine Version. Siehe GPT.ini im Sysvol. Diese Versionsnummer
wird lokal in der Registry gespeichert.
HKLM und HKCU
\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History

"gpupdate" vergleicht den lokalen Counter mit dem im SYSVOL.
Ist SYSVOL neuer? -> Übernahme der GPO
Ist Counter gleich? -> nichts unternehmen, kenne ich schon
habe ich längst gemacht ...

was macht gpupdate /force? Es ignoriert den Counter.
/Force Wendet alle Richtlinieneinstellungen erneut an.
Standardmäßig werden nur geänderte Richtlinien-
angewendet.

Frage: Ist es für die Anwendung der Computer-Richtlinien nicht ohnehin
unerheblich, wann die Anmeldung des Users geschieht?

Ja. Denn sie läuft ja vor der Anmeldung.

"Damit diese Richtlinie auch wirklich beim nächsten Mal aktiv ist,
empfehle ich eine erzwungene Übernahme der Richtlinie in der
Kommandozeile.

Die meisten Leute testen es direkt, nachdem sie es konfiguriert haben
und was wird passieren?
Der Computer hat aktuell zum Startzeitpunkt kein Netzwerk.
Jetzt wird die GPO geändert und der Computer direkt neugestartet ...
Er wird auch beim nächsten Neustart keine Netzwerk haben und
dann die GPO auch nicht verarbeiten können.

Tschö
Mark

--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate

Christoph Peus

2010-01-26 12:54:50 UTC

Permalink

On Jan 22, 8:45 pm, "Mark Heitbrink [MVP]" <spam-

Post by Mark Heitbrink [MVP]
Jede GPO hat eine Version. Siehe GPT.ini im Sysvol. Diese Versionsnummer
wird lokal in der Registry gespeichert.
HKLM und HKCU
\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History
"gpupdate" vergleicht den lokalen Counter mit dem im SYSVOL.
Ist SYSVOL neuer? -> Übernahme der GPO
Ist Counter gleich? -> nichts unternehmen, kenne ich schon
habe ich längst gemacht ...
was macht gpupdate /force? Es ignoriert den Counter.
/Force Wendet alle Richtlinieneinstellungen erneut an.
Standardmäßig werden nur geänderte Richtlinien-
angewendet.

Hallo, danke für die Erläuterung - nun bin ich wieder etwas schlauer.

Nach weiteren Tests ist mir klar geworden, daß ich bisher immer
fälschlicherweise unterstellt hatte, daß die aktuellen Richtlinien bei
jedem Neustart angewendet werden. Tatsächlich werden sie aber nur
angewendet, wenn sie sich geändert haben. Somit ist es logisch, daß
ein Neustart nach manuellem Deaktivieren des Diensts allein den Dienst
nicht auf automatischen Start umstellt. Erst nach einer weiteren
Änderung der Richtlinie wurde die Deaktivierung des Diensts wieder von
der Richtlinie überschrieben.

Gruß
Christoph

Mark Heitbrink [MVP]

2010-01-26 13:27:07 UTC

Permalink

Hi,

[...] Erst nach einer weiteren Änderung der Richtlinie wurde
die Deaktivierung des Diensts wieder von der Richtlinie
überschrieben.

... und dann half auch nur ein /force, da das gpupdate den normalen
Prozess abbildet. Absolut richtig.

Jetzt kommt aber noch eine Gemeinheit, das ist aber ein Sonderfall,
der nur für die Client Side Extension Security zutrifft und keine
andere. Da Security wichtig ist für das Thema Sicherheit ;-)
und ein lokaler Admin/Angreifer das System manipulieren könnte, indem
es die Werte unter "Zuweisen von Benutzerrechten" oder deiner
Dienstkonfiguration manipuliert wird dieser Teil der Gruppenrichtlinien,
aber nur dieser, nicht der Rest (keine Registry, Scripte,
Ordnerumleitungen etc) alle 16 Stunden per FORCE übernommen.

Zuständig ist hierfür der Wert:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\
{827D319E-6EAC-11D2-A4EA-00C04F79F83A}
"MaxNoGPOListChangesInterval"
-> Wert in Minuten

Bedeutet, wenn 16 Stundne vergangen seit der letzten Übernahme,
schreibt er die Werte erneut unabhängig vom Couter.

In Folge dieses Verhalten, erfolgt die Übernahme der Security
fast jeden Tag einmal.

Tschö
Mark

--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate

Fuss Tino

2010-02-11 11:14:10 UTC

Permalink

Hallo Mark,

ich hab fast das identische Problem mit W2008-Richtlinien
(http://www.microsoft.com/communities/newsgroups/en-us/default.aspx?dg=microsoft.public.de.german.windowsxp.gruppen.richtlinien&mid=9bcb973a-afc4-44dc-b1b3-674425706b80)

Ich versteh nur nicht warum die Richtlinie nicht greift wenn doch alle 16
Stunden ein /force ausgeführt wird, oder trifft das für Systemeinstellungen
wie z.B. Energieoptionen nicht zu.

Gruß
Tino

Hi,

[...] Erst nach einer weiteren Änderung der Richtlinie wurde
die Deaktivierung des Diensts wieder von der Richtlinie
überschrieben.

.... und dann half auch nur ein /force, da das gpupdate den normalen
Prozess abbildet. Absolut richtig.
Jetzt kommt aber noch eine Gemeinheit, das ist aber ein Sonderfall,
der nur für die Client Side Extension Security zutrifft und keine
andere. Da Security wichtig ist für das Thema Sicherheit ;-)
und ein lokaler Admin/Angreifer das System manipulieren könnte, indem
es die Werte unter "Zuweisen von Benutzerrechten" oder deiner
Dienstkonfiguration manipuliert wird dieser Teil der Gruppenrichtlinien,
aber nur dieser, nicht der Rest (keine Registry, Scripte,
Ordnerumleitungen etc) alle 16 Stunden per FORCE übernommen.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\
{827D319E-6EAC-11D2-A4EA-00C04F79F83A}
"MaxNoGPOListChangesInterval"
-> Wert in Minuten
Bedeutet, wenn 16 Stundne vergangen seit der letzten Übernahme,
schreibt er die Werte erneut unabhängig vom Couter.
In Folge dieses Verhalten, erfolgt die Übernahme der Security
fast jeden Tag einmal.
Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy
Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate
.

Mark Heitbrink [MVP]

2010-02-11 12:18:53 UTC

Permalink

Hi,

Post by Fuss Tino
Ich versteh nur nicht warum die Richtlinie nicht greift wenn doch alle 16
Stunden ein /force ausgeführt wird,

das ist ein Sonderfall und gilt nur für die CSE Security.
(im GPEditor unterhalb der Sicherheitsoptionen)

Tschö
Mark

--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate

Fuss Tino

2010-02-11 14:14:08 UTC

Permalink

Hallo!

So was hab ich mir fast schon gedacht. Seltsamerweise hab ich mit der
Konfiguration von lokalen Gruppen keine Probleme. Diese Einstellung greift
sofort, obwohl dies in der gleichen Rubrik wie bei den Energieoptionen
konfiguriert wird.
Würde es mir was helfen wenn die Option "immer auf Netzwerk warten" gesetzt
wäre?
Oder hast Du einen Tipp/Idee, wie ich bei einem Notebook die Einstellung
"Keine Aktion bei Schließen des Deckels" vornehmen kann?

Gruss
Tino

Post by Mark Heitbrink [MVP]
Hi,

Post by Fuss Tino
Ich versteh nur nicht warum die Richtlinie nicht greift wenn doch alle 16
Stunden ein /force ausgeführt wird,

das ist ein Sonderfall und gilt nur für die CSE Security.
(im GPEditor unterhalb der Sicherheitsoptionen)
Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy
Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate
.