Hallo Community,

ich habe in einer Gruppenrichtlinie mehrere Verknüpfungen in den Gruppenrichtlinieneinstellungen erstellt.
Die Verknüpfungen werden per Zielgruppenadressierung für unterschiedliche Gruppen erstellt.
Als Aktion ist "Aktualisieren" ausgewählt.
Die Erstellung der Verknüpfungen funktioniert wie gewünscht.

Nun möchte ich aber auch dafür sorgen, dass sobald ein User nicht mehr Mitglied einer Gruppe ist die Verknüpfung gelöscht bekommt.
Wenn ich die vorhandene Verknüpfung kopiere, auf "Löschen" setze und in der Zielgruppenadressierung "NICHT Mitglied von xxx" konfiguriere funktioniert das auch.

Meiner Meinung nach ist es etwas "unschön/umständlich" zwei Shortcuts erstellen zu müssen - funktioniert das nicht auch in einer einzigen? Meine Gedanken gehen da etwa in Richtung der Option "Element entfernen, wenn es nicht mehr angewendet wird".
Lösche ich den Benutzer also nun aus der Gruppe würde ich erwarten, dass der Shortcut entfernt wird. Das tut es aber leider nicht.

Ich frage mich nun: ist meine Erwartung an die Funktionalität richtig, oder bin ich da auf dem Holzweg? Versuche ich ein Troubleshooting an etwas das niemals funktionieren kann?
Würde es evtl. erst funktionieren wenn ich den Benutzer komplett aus der Gruppenrichtlinie entferne? <- Das macht meines Erachtens nach noch weniger Sinn.....

Ideen / Anregungen / Erklärungen?

Danke schon mal vorab.

Hoba

Hallo zusammen,

ich habe folgendes Problem bzw. Frage:

Ich habe ein .MSI File welches ich gern per GPO verteilen möchte. Wenn ich das File lokal mit den Parametern "File.msi /quiet /passive /norestart" ausführe, dann klappt das auch ohne Probleme.

Unter Server 2008 R2 war es mir so, als gäbe es, wenn man das File verteilen möchte noch die Möglichkeit Argumente mitzugeben. Nun haben wir hier Server 2012 R2 und da geht es (offenbar) nicht mehr.

Das File ist original vom Hersteller. Clients sind Windows 7 Pro. Permissions für Share und NTFS sind für Authenticated Users und Domain Computers lesend gesetzt. Wenn der PC sich hochfährt steht auch ganz kurz da "File" wird installiert, aber es springt sofort weiter.

Kann mir evtl. jemand weiterhelfen wie ich das File verteilen kann?

Vielen Dank!

Freundliche Grüße

Sandro

Hallo,

ich bin dabei unsere Logonscripte auf GPO Zielgruppenadressierung umzustellen. Dabei bin ich auf folgendes Problem gestoßen.

Die Option "Verbinden als" ist ausgegraut. Dieses müsste ich aber Nutzten können um einige Shares mit Linux (Samba) herzustellen.

Unsere Umgebung ist:
2 * DC Windows 2008 R2 im Windows Server 2008 R2 pur Modus Schema Version 47 Windows Server 2008 R2

Wäre Super wenn jemand eine Lösung hat, da ich mich von den alten Logonscripts verabschieden wollte.

Danke und Gruß
Stefan

st_fbg

Hi Leute,

ich möchte einen Ordner auf einem Share immer als OfflineDateien auf den Clients haben. Ich habe dazu eine GPO erstellt und unter Computerkonfiguration\Administrative Vorlagen\Netzwerk\Offlinedateien\Vom Administrator zugewiesene Offlinedateien den Ordner in der Form \\servername\order\unterordner eingeben und das Feld für "Value" leer gelassen.

RSOP zeigt mir die Policy am Client an, der Client (W7) setzt sie aber nicht um, d.h. es gibt keine Offline Files, auch keine Definition im SyncCenter. Am Client selber kann man manuell vom selben Quellserver Offlinedateien einrichten.

Hat jemand ne Idee, was da schief läuft?

Viele Grüße Dirk

Hallo zusammen

Momentan kämpfe ich an einem Problem mit den Ordnerumleitungen.

Ausgangslage:

Der Desktop sowie der Dokumente Ordner sind mit einer Ordnerumleitung auf "Server 1" eingerichtet. (Einstellungen per GPO)

Nun habe ich mit GPO einen neuen Pfad (Auf "Server 2") eingestellt und die Dateien automatisch verschieben lassen:



Dies hat auch bei 90% aller Benutzer funktioniert. 

Bei den restlichen 10% ist etwas schief gegangen:

• Einige Ordner zeigen immer noch auf alte Verzeichnisse
• nicht alle (oder gar keine) Dateien wurden auf den neuen Server verschoben
• Unter den Explorerfavoriten zeit der Desktop immer noch auf den alten Server

Kurz gesagt bei den betroffenen User liegen die Dateien auf beiden Servern und sind nicht konsistent.

Mal werden neue Dateien auf dem alten Server erstellt, mal auf dem neuen.

Was ist hier schief gegangen und welche Lösung gäbe es für dieses Problem?

Hallo zusammen,

ich habe die Anforderung aus unserem Security Team, dass Benutzer die von zu Hause bzw. Extern über Citrix XenApp auf unsere Terminal Server einsteigen, keinen Zugriff auf die Laufwerke ihres lokalen Computers haben sollen.

Soweit so gut - Ich habe dies über die entsprechenden Citrix Policys einigermaßen erfolgreich unterbunden.
Ich schreibe "Einigermaßen", da es Benutzern, die Mitglied der Standortgruppe "Standort-K" dennoch über Umwege möglich ist, auf Laufwerke des lokalen Clients zuzugreifen. Einer aus dem Security-Team demonstriert mir das folgendermaßen:

Er gibt in der Adressleiste des Windows-Explorers die Adresse " \\IP-Adresse-des-lokalen-Clients\C$ " ein und hat Zugriff.

Screenshot:
h**p://img5.fotos-hochladen.net/uploads/snap1hd1olj7459.png

Ich habe jetzt versucht den Unterschied zwischen den beiden Standortgruppen "Standort-V" und "Standort-K" mittels RSOP, GPResult zu eruieren. Da liegt relativ viel drauf und ich konnte noch keine Lösung finden. Muss meiner Meinung nach irgendein Policy-Setting ermöglichen...

Ich wollte jetzt fragen, ob mir hier jemand weiterhelfen kann. Ist jemanden eine Policy bekannt, mit der ich dieses Verhalten unterbinden kann?

Vielen Dank im Voraus!

Einen schönen Abend,

ich bin grade dabei ein bisschen mit Powershell und GPOs zu testen. Ich würde gerne per Script RDP erlauben und zusätzlich dann auch die Ports frei geben.

Um rauszufinden wie die Registrywerte sind wenn die GPO erlaubt ist habe ich mit Registry.Pol Reader die Registry.pol analysiert.

Unter dem Reiter Einstellungen der GPO ist soweit auch alles in Ordnung, dort werden die Werte korrekt angezeigt.

Diese Werte habe ich auch so in das Script übernommen.

New-GPO -Name "RDP Erlauben" -Server DC01 -Domain jacq.local | Set-GPRegistryValue -Key "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" -ValueName fDenyTSConnections -Type DWord -Value 00000000 | Set-GPRegistryValue -Key"HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall" -ValueName PolicyVersion -Type DWord -Value 534 | Set-GPRegistryValue -Key "HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\FirewallRule" -ValueName "{C766C637-422B-47BA-BF89-EB72DA4966D8}" -Type String -Value 'v2.20|Action=Allow|Active=TRUE|Dir=In|Protocol=17|LPort=3389|Name=RDP erlauben UDP|' | Set-GPRegistryValue -Key "HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\FirewallRule" -ValueName "{AA29307F-EA54-4A3C-9028-36CD97B98FC9}" -Type String -Value 'v2.20|Action=Allow|Active=TRUE|Dir=In|Protocol=6|LPort=3389|Name=RDP erlauben TCP|'

Die Richtiline "Remoteverbindungen für Benutzer mithilfe der Remotedesktopdienste zulassen" wurde auch erfolgreich Aktiviert nur leider werden die Firewalleinstellungen nicht Korrekt in dem Reiter EInstellungen angezigt. Die Werte sind aber erfolgreich in der Registry zu finden nach einem gpupdate und auch hört der Rechner plötzlich auf Port 3389.

Überprüft mit netstat -an.

Hat wer ne Idee woran es liegen könnte? Funktionieren tuts zwar scheinbar auch so, allerdings wenn jemand fremdes in die GPO guckt ist dies ja doch verwirrend. Über Vorschläge bin ich sehr dankbar.

Mit freundlichen Grüßen

Stefan Redlin

Hallo zusammen

Wir haben in unserer AD-Umgebung eigentlich alle Scripts abgelöst und mit Gruppenrichtlinien gelöst. Jedoch haben wir ein Netzlaufwerk, welches mit einem spezifischen Benutzer verbunden werden muss, da sich der Server nicht in der AD befindet.

Nun kann ich aber seit einem neuen Update diesen Benutzer nicht mehr hinterlegen (ausgegraut). Deshalb muss ich - leider - wieder zu einem Anmeldescript greifen. Früher haben wir den Batch direkt auf den AD-Benutzern bei "Anmeldescript" hinterlegt, nun will ich es jedoch via Gruppenrichtlinie (Benutzerkonfiguration -> Windows-Einstellungen -> Skripts -> Anmelden) lösen.

Jedoch habe ich das Problem, dass (nach aktueller Analyse) die Netzlaufwerke auf Windows 8.1-Rechnern nicht verbunden werden. Es ist jedoch schwer einzuschätzen, da ca. 95% bereits Windows 8.1 Rechner sind. Ich habe es einerseits mit einem Batch-Skript und andererseits mit einem VB-Skript versucht. Das Skript sollte via UNC-Pfad aufgerufen werden (\\SERVER\...)

Auf dem Terminalserver (Windows Server 2012 R2) funktioniert es jedoch, ebenfalls auf einem Windows 7 Rechner.

Mit gpresult -R zeigt er auch an, dass die entsprechende Richtlinie angewendet wurde. In der Ereignisanzeige finde ich ebenfalls keine Fehler.

Die Richtlinie "Anmeldeskriptverzögerung konfigurieren" auf deaktiviert zu setzen, hat leider keinen Erfolg gebracht.

An was könnte das liegen?
Besten Dank für eure Hilfe!

Freundliche Grüsse

Fabrice

Guten Tag, 

Ich möchte via GPO ein paar Einstellungen für die Nutzer mitgeben welche am Terminal Server arbeiten. 

Nun habe ich eigentlich Einstellungen die für alle Mitarbeiter gelten jedoch mit einer Ausnahme: 

Die inaktiven Sitzungen sollten bei allen ausser der GL nach 2h Trennen. Nur die GL sollte in der Lage sein nach ein paar stunden nochmals auf eine inaktive Sitzung zuzugreifen. 

Jedoch frage ich mich wie ich das realisiere?

mit freundlichen Grüssen

T.

Hallo zusammen,

ich erstelle immer mal wieder gepatchte Windows Images. So zuletzt letzte Woche nach Veröffentlichung der Windows Updates November 2014.

Hierbei habe ich seit den Windows Updates vom November 2014 folgendes Problem auf Windows 7 Professional /8.1 (Pro/Enterprise) und Server 2012 R2 Standard: (Die Systeme sind nicht Mitglied einer Domäne, deshalb werden lokale Gruppenrichtlinien verwendet.)

jedes Mal wenn ich den Editor für die lokalen Gruppenrichtlinien öffne (gpedit.msc) bekomme ich folgende Fehlermeldung (2x):

Resource '$(string.VerMgmt.AuditModeEnable)' referenced in attribute displayName could not be found.
File C:\Windows\PolicyDefinitions\inetres.admx, line 1495, column 249

oder unter Windows 7 auf Deutsch:

Bei der Analyse ist ein Fehler ist aufgetreten.
Die in der Eigenschaft "$(string.VerMgmt.AuditModeEnable)" aufgeführte Ressource displayName konnte nicht gefunden werden.
Datei C:\Windows\PolicyDefinitions\inetres.admx, Zeile 1495, Spalte 249

Der Fehler tritt nur bei Systemen auf die ich neu installiere, bestehende Systeme kann ich updaten ohne das diese Fehlermeldung nach Aufruf von gpedit.msc auftritt.

Ich habe ein fehlerhaftes Windows Update Rollup in Verdacht.

ein

Dism /Online /Cleanup-Image /ScanHealth

ergibt folgendes:

=================================
Checking System Update Readiness.
Binary Version 6.1.7601.18489
2014-11-13 14:47
Checking Windows Servicing Packages
Checking Package Manifests and Catalogs
(f)	CBS MUM Corrupt	0x00000000	servicing\Packages\Microsoft-Windows-IE-Hyphenation-Parent-Package-English~31bf3856ad364e35~~~11.2.9412.0.mum		Expected file name Microsoft-Windows-IE-Hyphenation-Parent-Package-English~31bf3856ad364e35~neutral~~11.2.9412.0.mum does not match the actual file name
(f)	CBS MUM Corrupt	0x00000000	servicing\Packages\Microsoft-Windows-IE-Hyphenation-Parent-Package-German~31bf3856ad364e35~~~11.2.9412.0.mum		Expected file name Microsoft-Windows-IE-Hyphenation-Parent-Package-German~31bf3856ad364e35~neutral~~11.2.9412.0.mum does not match the actual file name
(f)	CBS MUM Corrupt	0x00000000	servicing\Packages\Microsoft-Windows-IE-Spelling-Parent-Package-English~31bf3856ad364e35~~~11.2.9412.0.mum		Expected file name Microsoft-Windows-IE-Spelling-Parent-Package-English~31bf3856ad364e35~neutral~~11.2.9412.0.mum does not match the actual file name
(f)	CBS MUM Corrupt	0x00000000	servicing\Packages\Microsoft-Windows-IE-Spelling-Parent-Package-German~31bf3856ad364e35~~~11.2.9412.0.mum		Expected file name Microsoft-Windows-IE-Spelling-Parent-Package-German~31bf3856ad364e35~neutral~~11.2.9412.0.mum does not match the actual file name
Checking Package Watchlist
Checking Component Watchlist
Checking Packages
Checking Component Store
Summary:
Seconds executed: 127
 Found 4 errors
  CBS MUM Corrupt Total count: 4
Unavailable repair files:
	servicing\packages\Microsoft-Windows-IE-Hyphenation-Parent-Package-English~31bf3856ad364e35~~~11.2.9412.0.mum
	servicing\packages\Microsoft-Windows-IE-Hyphenation-Parent-Package-German~31bf3856ad364e35~~~11.2.9412.0.mum
	servicing\packages\Microsoft-Windows-IE-Spelling-Parent-Package-English~31bf3856ad364e35~~~11.2.9412.0.mum
	servicing\packages\Microsoft-Windows-IE-Spelling-Parent-Package-German~31bf3856ad364e35~~~11.2.9412.0.mum
	servicing\packages\Microsoft-Windows-IE-Hyphenation-Parent-Package-English~31bf3856ad364e35~~~11.2.9412.0.cat
	servicing\packages\Microsoft-Windows-IE-Hyphenation-Parent-Package-German~31bf3856ad364e35~~~11.2.9412.0.cat
	servicing\packages\Microsoft-Windows-IE-Spelling-Parent-Package-English~31bf3856ad364e35~~~11.2.9412.0.cat
	servicing\packages\Microsoft-Windows-IE-Spelling-Parent-Package-German~31bf3856ad364e35~~~11.2.9412.0.cat

Tritt dieser Fehler bei euch auch auf?

Ich freue mich auf eure Antworten.

Hallo,

Neulich habe ich gemerkt dass unter Windows 8.1 während GPO Aktualisierung die Netzwerklaufwerke  getrennt werden, unter Windows 7 und 8 geschieht das nicht.
Netzlaufwerke werden mit GPP- Replace Mode verbunden.

als Abhilfe kann man die GPP auf Create umstellen.
In einigen Foren wird das Problem auch beschrieben allerdings ohne einen Lösung Ansatz.

Hallo,

wenn ich über den Gruppenrichtlinienergebnisse-Assistenten einen Rechner auswähle, von dem ich den GP-Report abrufen möchte, kam die Meldung "Der RDP-Server ist nicht verfügbar".

Folgendes habe ich getan:

• DNS mit nslookup geprüft -> einwandfrei
  
• Ping zum Rechner -> funktioniert
• Firewallregel für WMI und ICMPv4 auf "aktiv" gesetzt
• Dienst "Windows Verwaltungsinstrumentation" gestartet

Bei vielen Rechnern hat das funktioniert, nur bei diesem einen nicht. Selbst mit deaktivierter Firewall und Virenschutz bleibt dieses RDP-Problem bestehen. Woran kann es liegen?

Hallo zusammen,

ich versuche RemoteDesktopAnmeldungen an unseren Server-VMs (2012) zu protokollieren. Hierzu nutze ich unter anderem die folgenden 2 Befehle in einem Powershellskript, welches über eine BenutzerGPO (Benutzer\Richtlinien\Windows-Einstellungen\Scripts) aufgerufen wird :

[String]$ClientName = $env:Clientname
[String]$ClientIP = [System.Net.Dns]::GetHostAddresses($env:clientname)[0].ToString()

Wenn ich die Befehle in einer Remotedesktopsession auf dem Server in die lokale Powershell eingebe, bekomme ich auch die richtigen Werte angezeigt (Hostname meines Clients, IPv4 Adresse meines Clients). Wenn das Loginscript jedoch über die Benutzer GPO läuft bekomme ich die IPv6 Adresse des HOSTS, sowie keinen Clientnamen in das Log protokolliert.

Ich habe die Frage auch schon im PS Forum gestellt, man konnte mir aber nicht helfen und ich wurde hierher verwiesen...

Danke für jede Hilfe,
Mag

Hallo,

habe das Problem das leider meine Firewall zu alt ist und diverse UMTS Chipsätze nicht mehr richtig damit funktionieren. Ein Workaround dafür ist es eine normale Modem Einwahl für diese UMTS Karte zu erstellt. Funktioniert auch alles wunderbar mit dem Admin User.

Jetzt habe ich einen Link auf den Desktop vom Benutzer gelegt mit der Hoffnung das er diese auch nutzen kann. Leider bekomme ich dann die Anzeige das daß Modem nicht gefunden wird.

Jetzt meine Frage, was muss ich dem Benutzer alles Freigeben so das er diesen Link bzw. diesem Link nutzen kann?

Vielen Dank

HWB

Hallo zusammen

Ich muss ca. 800 Roaming Profile auf einen neuen Server verschieben.

Mittlerweile habe ich diverse Möglichkeiten gesehen, jedoch nicht sicher was am effektivsten wäre.

Ausgangslage:

beim AD-User Objekt ist unter "Profil" der Profilpfad fix eingetragen (nicht über GPO's).

Nun ist es nie möglich, dass alle Benutzer gleichzeitig ausgeloggt sind.

Ich möchte keine korrupten Profile schaffen, daher kann ich die Profile nicht einfach in ein neues Verzeichnis kopieren.

Was wäre die beste Methode bei diesem Fall?

Hi Zusammen,

habe aktuell die Problemstellung das ich eine GPO für IE10 angelegt habe, welche die Sicherheitseinstellung Gemischte Inhalte Anzeigen auf Aktiv stellen soll.

Lt. gpresult /h wird die GPO auch angewendet. Wenn man die Registry prüft steht der 1609 Key auch auf 0x0, so wie es sein sollte.

-> Nur kommt die Meldung dennoch und es wird im IE über die grafische Oberfläche auch angezeigt das die Sicherheitseinstellung auf Bestätigen steht.

Hi Zusammen,

hätte gern die Möglichkeit im IE 10 eine Einstellung zu setzten damit wenn ich einen Downloadlink bekomme mit Beispielsweise test.msg und sich diese Datei dann einfach öffnet ohne die Rückfrage des wo es gespeichert werden soll.

Dieses Pop Up soll nicht kommen, es soll sich einfach öffnen.

Wäre Klasse wenn mir hier jemand eine Hilfestellung hätte

Gruß

Marius

Hallo zusammen,

ich habe eine GPO erstellt in der ein paar Dateien erstellt werden müssen. Doch eine Datei (CBT.INI) wird nicht nach %SystemRoot% kopiert. Es kommt immer der Zugriff verweigert Fehler.

Ich habe die Regel unter Computerkonfiguration / Einstellugnen / Windows Einstellungen / Dateien angelegt. Woran kann dies liegen? 

PS: Auf die Quelldatei hat man Leserechte.

Hallo zusammen,

ich habe per GPO unter Computerkonfiguration ein paar RegistryKeys anlegen lassen. Nur alle Keys die sich in HKEY_USERS befinden werden nicht importiert sondern produzieren den Fehlercode: 0x80070057

Woran kann dies legen?

Grüße Marvin