Hallo,

verwendet wird Windows Server 2003 als DC.

ich bin folgender Anleitung gefolgt, um die Zeit per Gruppenrichtlinie einzustellen:

https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaene-w32time-zeitserver-per-gpo/

das funktioniert auch so weit. Leider kann ich aber den Wert ResolvePeerBackOffMaxTimes mittels GPO nicht auf 0 stellen um keine Zeitverdoppelung zu haben. Der Gruppenrichtlinieneditor verhindert das und stellt den Wert automatisch auf 1.

Microsoft sagt, dass der Wert auf 0 gestellt werden kann und händisch in der Registry funktioniert das auch

https://docs.microsoft.com/de-de/windows-server/networking/windows-time-service/windows-time-service-tools-and-settings#maxallowedphaseoffset-information

"Entry specifies the maximum number of times to double the wait interval when repeated attempts to locate a peer to synchronize with fail. A value of zero means that the wait interval is always the minimum. The default value on domain members is 7. The default value on stand-alone clients and servers is 7."

Gibt es eine Möglichkeit den Richtlinieneditor dazu zu bringen die 0 zu akzeptieren, oder die Gruppenrichtlinie händisch noch zu bearbeiten?

Danke für die Antworten!

Hallo zusammen,

ich stehe vor einem Problem oder ich finde die Funktion einfach nicht:

wir haben mehrere GPOs, nach Abteilungen gegliedert. Nun habe ich einige Einstellungen in einer Abteilung erfolgreich getestet (es handelt sich um Software-Einschränkungen unterhalb "Computerkonfiguration" (Richtlinien für
Softwareeinschränkung/Zusätzliche Regeln) und möchte diese in unsere Domain Policy übernehmen, die für´s gesamte Unternehmen gilt. Wie mache ich das?

Die Möglichkeit, eine komplette GPO zu kopieren, kenne ich. Aber wie sieht es mit einer einzelnen Einstellung aus?

Grüße,

doc

Hallo Zusammen,

ich muss in meiner Firma ein GP Konzept umsetzen.

Habe mir schon folgendes überlegt.

Ich will eine GPO erstellen(Add_Local_Groups), die Lokal auf jedem Rechner 3 Lokale Gruppen anlegt wo ich die User dann hinterlegen kann:

Firmenname_User

Firmenname_SuperUser

Firmenname_Admin

Bei den Usern und den Admins habe ich bereits in den Computer Policies (Add_Local_Groups)  unter Local User and Groups am Domain Controller 2 Gruppen erstellt die die Standard Gruppen umbennent.

User sollen normale User Rechte besitzen.

Ein SuperUser soll eingeschränkte Admin Rechte bzw. erweiterte User Rechte besitzen.

Hat vielleicht jemand eine Idee wie ich dies bei 3000 Mitarbeitern umsetzen kann, da wir nicht mehr jeden als Lokalen Admin hinterlegen möchten.

Oder gibt es noch andere Möglichkeiten?

Vielen Dank für eure Antwort!

Hallo zusammen,

Ich bin hier langsam an dem Rollout von Google Chrome als Standardbrowser am verzweifeln. Zz nutzen wir noch den IE11 und haben hier via GPO Lesezeichen auf alle Rechner im Unternehmen verteilt. Das funktioniert einwandfrei und ist einfach durch Referenzierung von Files in die User Configuration umzusetzen gewesen.

Bei Chrome sieht das ganze anders aus. Ich habe mir die aktuelle admx und adm Vorlagen importiert und sehe die auch auf dem Server unter Sysvol\Company\Policies

Dann habe ich über das Group Policy Management eine neue Policy angelegt mit dem Namen "Google Chrome Bookmarks" und diese mit unserer "Win10" Gruppe des AD's verlinkt.

Ich habe dann sowohl unter Computer Configuration als auch unter User Config. (Erst User, weil es im IE auch so war. Als das nicht ging bei Computer und als das net ging bei beiden) Policies -> Administrative Templates -> Google -> Google Chrome -> Managed Bookmarks die Einstellung Enabled und dann wie vorgegeben die Bookmarks angelegt. Hierbei brauche ich nur einen Ordner "CompanyBookmarks" mit mehreren Bookmarks. Hierbei habe ich explizit alles händisch eingetragen, da ich in manchen Artikeln bereits gelesen hatte, dass copy/paste sowie eine "saubere Schreibweise" wie unten angedeutet zu Problemen führen kann.

[
{"toplevel_name": "CompanyBookmarks"},
{"url": URL, "name": "EyeEem"},
{"url": URL, "name": "Not Bing"},
{"url": "URL", "name": "Password Change"}
]

Unter Security Filtering wie gewohnt die Authenticated Users drin und diese zum ersten Testen gegen unsere Support Gruppe getauscht. Im Anschluss habe ich die GPO auf "Enabled" gesetzt. Die Support gruppe und auch die A.Users haben sowohl Read als auch Apply Rechte. WMI Filter erst einmal raus gelassen.

Nachdem Bei uns in der Support Gruppe nichts im Chrome geändert wurde habe ich testweise einmal alle Authenticated Users hinzugenommen aber auch hier keinen Erfolg gehabt. Das hinzufügen explizieter User hilft auch nicht.

Dann habe ich den ganzen Spaß noch einmal von vorne angelegt in der Hoffnung das ich irgendwo nur einen dummen Fehler hatte den ich übersah.

Aber noch immer erhalte ich keine Bookmarks im Chrome. Könnt ihr mich in eine Richtung deuten was ich hier übersehe?

VG

Rabbit

Hey Ho,

Ich suche einen Weg, wie oben beschrieben, sämtliche Änderungen am Auostart über GPO's zu verbieten.

ich hoffe einer der hellen Köpfe hier hat ne Idee und kann mir dann auch noch den Pfad zu dieser beschreiben weil ich wirklich gerade erst mit GPO's angefangen habe und alles bisher Autodidakt machen musste.

MFG Nooby

Guten Tag, 

Ich habe ein Powershell Skript zur Monatlichen Löschung der Desktops angefertigt.

Nun wollte ich das Skript über geplante Aufgaben in der GPO verteilen, leider Stürzt das Pogramm ab sobald ich Powershell als Pogramm hinzufüge beim Start.

IM EreignisProtokoll ist dies zu sehen 

Name der fehlerhaften Anwendung: mmc.exe, Version: 10.0.14393.2608, Zeitstempel: 0x5bd1383b
Name des fehlerhaften Moduls: propshts.dll, Version: 10.0.14393.2608, Zeitstempel: 0x5bd13687
Ausnahmecode: 0xc0000005
Fehleroffset: 0x00000000000106f4
ID des fehlerhaften Prozesses: 0x2b1c
Startzeit der fehlerhaften Anwendung: 0x01d55370f41a469f
Pfad der fehlerhaften Anwendung: C:\Windows\system32\mmc.exe
Pfad des fehlerhaften Moduls: C:\Windows\System32\propshts.dll
Berichtskennung: e146c901-7b60-4d1f-b44e-280923dab41b
Vollständiger Name des fehlerhaften Pakets: 
Anwendungs-ID, die relativ zum fehlerhaften Paket ist: 

 Weiß leider nicht mehr weiter..

Wie kann ich beheben das es nachdem ich Powershell beim Pogrammstart ausgewählt habe nicht mehr zum Pogramm Absturz kommt.

MfG

Fabian 

Hallo zusammen,

Wie der Titel schon verrät, habe ich Probleme bei dem Deployment von Software über die Gruppenrichtlinien. Bei dem Programm "Citrix HDX RealTime Media Engine 2.8" wird die Installation erfolglos durchgeführt und der Ereignisanzeige ist folgende Fehlermeldung zu entnehmen:

"Die Installation der Anwendung Citrix HDX RealTime Media Engine 2.8 der Richtlinie SoftwareTest ist fehlgeschlagen. Fehler: %%1605"

Mit der gleichen Gruppenrichtlinie lässt sich andere Software aber erfolgreich installieren. Das Problem tritt auch an mehreren Clients auf. Ich habe die Berechtigungen überprüft und der SYSTEM User hat Vollzugriff. Auch der Speicherort der msi ist problemlos erreichbar. Der Fehler tritt genauso auch bei einer älteren Version der Software auf. Ich hatte vermutet, dass es vielleicht an der Sprache des Paketes (Chinesisch) liegt und habe dann die Einstellung unter "Bereitstellung der Software", "Erweitert","Sprache beim Bereitstellen dieses Pakets ignorieren" aktiviert.

Der Installer ist von der Website von des Herstellers.

Habe dann mal msi Logging aktiviert. Es werden 2 Logs erstellt. Leider werde ich daraus nicht besonders schlau. Hat da jemand eine Idee zu oder vielleicht schon Erfahrung bei dem Deployment des Programms über GPO gemacht?

Würde mich Über Hilfe freuen, 

MFG

Tobias

Log 1)

=== Verbose logging started: 16.08.2019  14:19:34  Build type: SHIP UNICODE 5.00.10011.00  Calling process: C:\Windows\system32\svchost.exe ===
MSI (c) (40:9C) [14:19:34:036]: User policy value 'DisableRollback' is 0
MSI (c) (40:9C) [14:19:34:036]: Machine policy value 'DisableRollback' is 0
MSI (c) (40:9C) [14:19:34:036]: Note: 1: 1402 2: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\Rollback\Scripts 3: 2 
MSI (c) (40:9C) [14:19:34:036]: Executing op: Header(Signature=1397708873,Version=500,Timestamp=1326474116,LangId=1028,Platform=0,ScriptType=3,ScriptMajorVersion=21,ScriptMinorVersion=4,ScriptAttributes=0)
MSI (c) (40:9C) [14:19:34:052]: Executing op: ProductInfo(ProductKey={FAA8A620-9A7F-4AD4-BCA8-E790B4B0ABC8},ProductName=Citrix HDX RealTime Media Engine 2.8,PackageName=937d14.msi,Language=1028,Version=34078720,Assignment=0,ObsoleteArg=0,ProductIcon=MainIcon.ico,,PackageCode={AD2DAFFC-1364-46BA-92D0-A9A40FF43DE7},,,InstanceType=0,LUASetting=0,RemoteURTInstalls=0,ProductDeploymentFlags=6)
MSI (c) (40:9C) [14:19:34:052]: Executing op: DialogInfo(Type=0,Argument=1028)
MSI (c) (40:9C) [14:19:34:052]: Executing op: DialogInfo(Type=1,Argument=Citrix HDX RealTime Media Engine 2.8)
MSI (c) (40:9C) [14:19:34:052]: Executing op: RollbackInfo(,RollbackAction=Rollback,RollbackDescription=正在復原動作:,RollbackTemplate=[1],CleanupAction=RollbackCleanup,CleanupDescription=正在移除備份檔案,CleanupTemplate=檔案: [1])
MSI (c) (40:9C) [14:19:34:052]: Executing op: ActionStart(Name=PublishFeatures,Description=正在發佈產品功能,Template=功能: [1])
MSI (c) (40:9C) [14:19:34:052]: Executing op: FeaturePublish(Feature=Components,,Absent=0,)
MSI (c) (40:9C) [14:19:34:052]: Executing op: ActionStart(Name=PublishProduct,Description=正在發佈產品資訊,)
MSI (c) (40:9C) [14:19:34:052]: Executing op: IconCreate(Icon=MainIcon.ico,Data=BinaryData)
MSI (c) (40:9C) [14:19:34:052]: Executing op: CleanupConfigData()
MSI (c) (40:9C) [14:19:34:052]: Note: 1: 1402 2: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\026A8AAFF7A94DA4CB8A7E094B0BBA8C\Patches 3: 2 
MSI (c) (40:9C) [14:19:34:052]: Executing op: ProductPublish(PackageKey={AD2DAFFC-1364-46BA-92D0-A9A40FF43DE7})
MSI (c) (40:9C) [14:19:34:052]: Note: 1: 1402 2: UNKNOWN\Installer\Products\026A8AAFF7A94DA4CB8A7E094B0BBA8C 3: 2 
MSI (c) (40:9C) [14:19:34:052]: Note: 1: 1402 2: UNKNOWN\Installer\Products\026A8AAFF7A94DA4CB8A7E094B0BBA8C 3: 2 
MSI (c) (40:9C) [14:19:34:052]: Note: 1: 1402 2: UNKNOWN\Installer\Products\026A8AAFF7A94DA4CB8A7E094B0BBA8C 3: 2 
MSI (c) (40:9C) [14:19:34:052]: Note: 1: 1402 2: UNKNOWN\Installer\Products\026A8AAFF7A94DA4CB8A7E094B0BBA8C 3: 2 
MSI (c) (40:9C) [14:19:34:052]: Note: 1: 1402 2: UNKNOWN\Installer\Products\026A8AAFF7A94DA4CB8A7E094B0BBA8C 3: 2 
MSI (c) (40:9C) [14:19:34:052]: Note: 1: 1402 2: UNKNOWN\Installer\Products\026A8AAFF7A94DA4CB8A7E094B0BBA8C 3: 2 
MSI (c) (40:9C) [14:19:34:052]: Note: 1: 1402 2: UNKNOWN\Installer\Products\026A8AAFF7A94DA4CB8A7E094B0BBA8C 3: 2 
MSI (c) (40:9C) [14:19:34:052]: Note: 1: 1402 2: UNKNOWN\Installer\Products\026A8AAFF7A94DA4CB8A7E094B0BBA8C 3: 2 
MSI (c) (40:9C) [14:19:34:052]: Note: 1: 1402 2: UNKNOWN\Installer\Products\026A8AAFF7A94DA4CB8A7E094B0BBA8C 3: 2 
MSI (c) (40:9C) [14:19:34:052]: Note: 1: 1402 2: UNKNOWN\Installer\Products\026A8AAFF7A94DA4CB8A7E094B0BBA8C 3: 2 
MSI (c) (40:9C) [14:19:34:052]: Note: 1: 1402 2: UNKNOWN\Installer\Products\026A8AAFF7A94DA4CB8A7E094B0BBA8C 3: 2 
MSI (c) (40:9C) [14:19:34:052]: Executing op: UpgradeCodePublish(UpgradeCode={9FAB00CA-B032-4E4E-8D0C-E3B35802335D})
MSI (c) (40:9C) [14:19:34:067]: Executing op: SourceListPublish(,,DiskPromptTemplate=Citrix HDX RealTime Media Engine 2.8 Installation [1],,NumberOfDisks=1)
MSI (c) (40:9C) [14:19:34:067]: Note: 1: 1402 2: UNKNOWN\Installer\Products\026A8AAFF7A94DA4CB8A7E094B0BBA8C\SourceList 3: 2 
MSI (c) (40:9C) [14:19:34:067]: Executing op: ProductPublishClient(,,)
MSI (c) (40:9C) [14:19:34:067]: Executing op: End(Checksum=0,ProgressTotalHDWord=0,ProgressTotalLDWord=0)
MSI (c) (40:9C) [14:19:34:067]: Note: 1: 2318 2:  
MSI (c) (40:9C) [14:19:34:083]: DoAdvertiseScript is returning: 0
=== Verbose logging stopped: 16.08.2019  14:19:34 ===

Log 2)

Hallo Leute,

ich habe eine einfache Frage, wie der Titel schon sagt:

Kann man den Num Lock-Block auf dem Keyboard beim Systemstart (nicht Anmeldung) über eine GPO aktivieren oder

geht das nur Clientseitig über das BIOS/Registry?

Danke schonmal

Jellibean

Fall:

Es wurde unternehmensweit OneDrive Sicherung für Eigene Dateien und > Desktop < erstellt.

Dh. ab sofort werden bei allen Usern die Dateien vom Desktop in OneDrive gesichert/synchronisiert.

Desweiteren ist über eine GPO festgelegt, das diverse Verknuepfungen auf dem Desktop pro User aktualisiert/erstellt werden.

Es handelt sich in diesem Fall u.a. um die Verknuepfung zum SCCM Software Center.

Jetzt kommt es bei allen Usern vor, welche sich des öfteren innerhalb der Domaene an unterschiedlichen PC's anmelden, das DIESE Verknuepfung sich immer wieder neu erstellt.

Bsp.: Bei einigen Usern befindet sich auf dem Desktop die Verknuepfung zum Software Center mittlerweile 8x! Der User hat sich bei 8 verschiedenen Geraeten angemeldet, und für jedes Geraet wird jetzt eine Verknuepfung zum Software Center angelegt.

Verknuepfung-Name sieht dann wie folgt aus: "Software Center %Hostname%"

Zur Info: VOR der Aktivierung der OneDrive Desktop Sicherung hat die GPO Richtlinie noch einwandfrei funktioniert. Eine Ueberlegung war, den Ablageort für die Verknuepfung in der GPO für "Alle Benutzer" zu aendern.

Kann man in diesem echt speziellen Fall irgendwie vermeiden das die Verknuepfung zu Software Center nicht immer wieder neu erstellt wird?

Hello,

i have activated the windows firewall logging in the group policys and the Clients start logging the traffic among C:\Windows\System32\LogFiles\Firewall. But i cant open the text file. It appears an error with the foloing cintent: "C:\Windows\System32\LogFiles\Firewall\pfirewall.log You have no rights to open this file. Please contact the owner of this file or the system administrator." I am logged in with the domain administrator so i cant retrace this error. I just can open this file when i activate the local administrator and sign up the local administrator.

How can I open this log files with domain administrator accounts?

Hallo,

gibt es eine möglichkeit die Adressleiste vom Windows Explorer auszublenden. Entweder per GPO, Regestry oder ähnlichem.

Schöne grüße

Hallo,

seit der Umstellung auf Server 2019 (2 DCs) & Windows 10 (1903) werden bei der Anmeldung (neues Benutzerprofil aus C:\users\default) die Benutzerrichtlinien nicht sofort übernommen. Erst nachdem man "gpupdate /force" ausführt bzw. die das eingestellte Intervall abgelaufen ist...

Im Ereignisprotokoll finden sich für alle Benutzer GPO´s folgende Error-Meldungen

Protokollname: Application
Quelle:        Group Policy Scheduled Tasks
Datum:         01.10.2019 07:59:11
Ereignis-ID:   8194
Aufgabenkategorie:(2)
Ebene:         Fehler
Schlüsselwörter:Klassisch
Benutzer:      SYSTEM
Computer:      xxx
Beschreibung:
Die Beschreibung für die Ereignis-ID "8194" aus der Quelle "Group Policy Scheduled Tasks" wurde nicht gefunden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf dem lokalen Computer installiert, oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren.

Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.

Die folgenden Informationen wurden mit dem Ereignis gespeichert: 

übernehmen
Benutzer
GPOxxx {270507F6-8D5A-426F-9105-8AF4CC76BEB7}
0x80070003 Das System kann den angegebenen Pfad nicht finden.

Das Handle ist ungültig

Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"><System><Provider Name="Group Policy Scheduled Tasks" /><EventID Qualifiers="34305">8194</EventID><Level>2</Level><Task>2</Task><Keywords>0x80000000000000</Keywords><TimeCreated SystemTime="2019-10-01T05:59:11.541824100Z" /><EventRecordID>8278</EventRecordID><Channel>Application</Channel><Computer>xxx</Computer><Security UserID="S-1-5-18" /></System><EventData><Data>übernehmen</Data><Data>Benutzer</Data><Data>xxx {270507F6-8D5A-426F-9105-8AF4CC76BEB7}</Data><Data>0x80070003 Das System kann den angegebenen Pfad nicht finden.</Data></EventData></Event>

Hallo zusammen,

Wir haben hier einen Terminalserver 2016 mit einem Server 2012 R2 als Druckserver. Die vorhandenen Drucker werden via GPO verteilt. Auf die GPOs haben nur einzelne AD Sicherheitsgruppen Zugriff, dadurch erhält jeder User auch nur die Drucker die er benötigt. Für die Drucker wurde z.T. für jeden Schacht ein eigener Drucker auf dem gleichen Anschluss erstellt. Pro physischem Drucker ist eine GPO definiert in welchem alle Drucker (Schachtdrucker) hinterlegt sind. Pro GPO werden maximal 3 Drucker verbunden.

Das Druckermapping funktioniert soweit, nur fehlen z.T. Drucker. Nach mehrmaligem Neuanmelden sind z.T. alle Drucker vorhanden und funktionieren einwandfrei. Manchmal funktioniert das Mapping aber auch erst nach einem gpupdate /force. Manchmal erscheint ein fehlender Drucker auch erst nach 5-10 Minuten. Die Drucker funktionieren abgesehen von PDF Dateien einwandfrei, nur können bei den "fehlenden" Drucker die via GPUpdate /force nachverbunden werden die Druckereinstellungen nicht betrachtet werden.

Gemäss GPResult und Eventlog wird die GPO aber korrekt und einwandfrei angewendet.

Hat hier vielleicht jemand eine Idee woran es liegen könnte?

Vielen Dank für eure Bemühungen im Voraus :-)

Grüsse

Hallo,

ich habe folgendes Anliegen:

In unserer Organisation setzen wir AlwaysOn VPN ein. Das funktioniert soweit auch ohne Probleme. Seit ein paar Wochen funktioniert allerdings die Installation des Profils auf den Clients nicht mehr richtig. Das Profil (als XML-File in der NETLOGON-Freigabe unserer Domäne) wird mithilfe eines Powershell Skripts installiert (bei Anmeldung eines Benutzers als Task hinterlegt). Die Ausführung des Skripts wird als NT-AUTORITÄT\System vorgenommen. Das Skript befindet sich auch in der NETLOGON-Freigabe unserer Domäne. Das hat bis vor kurzem auch wunderbar funktioniert. Nun wurden vor einiger Zeit Änderungen am Profil vorgenommen. Dabei ist aufgefallen, dass die Ausführung bzw. das Laden des Skripts verhindert wird.

Fehlermeldung: \\Pfad zum Profil\skript.ps1: Die Datei "\\Pfad zum Profil\skript.ps1" kann nicht geladen werden, da der Vorgang durch Richtlinien für die Softwareeinschränkung, z.B. die von der Gruppenrichtlinie erstellten Richtlinien, blockiert wird.

CategoryInfo: Sicherheitsfehler: (:) [], PSSecurityException

FullyQualifiedErrorID: UnauthorizedAccess

Dazu muss ich sagen, dass wir keine Richtlinien für die Softwareeinschränkung nutzen. Allerdings nutzen wir den AppLocker. Im Applocker ist das Ausführen von Skripts für den Pfad, in dem das Profil und das Skript liegen freigegeben. Das Skript hat eine gültige digitale Signatur.

Setze ich in der AppLocker GPO die Erzwingung für die Skriptregeln auf "überwachen" gibt es keine Probleme. Werden die Regeln jedoch erzwungen, erscheint die o.g. Fehlermeldung.

Domänenfunktionsebene: Windows Server 2016

Client: Windows 10 Enterprise 1809

Ich hoffe hier kann mir jemand weiterhelfen. Vielen Dank schon mal im Voraus!

Hallo,

ich habe auf dem Domänencontroller ein GPO erstellt "Powershell Execution Policy".
Es beinhaltet die Einstellung "Computereinstellung->......->Skriptausführung aktiviert->RemoteSigned".
Verknüpft mit dem Domänen-Stamm.

Auf meinem Server-Client wird das GPO ganz offenbar gelesen. gpupdate und danach GPRESULT gibt mir genau diese Einstellung auch aus mit dem besagten GPO.

Aber wenn ich in der Powershell ein "Get-ExecutionPolicy -List" ausführe, BLEIBT DIE EINSTELLUNG AUF ALLSIGNED???

PS C:\Users\Administrator\Desktop> Get-ExecutionPolicy -List

        Scope ExecutionPolicy
        ----- ---------------
MachinePolicy       AllSigned
   UserPolicy       AllSigned
      Process       Undefined
  CurrentUser    Unrestricted
 LocalMachine    Unrestricted

Verknüpfungsreihenfolge in der Domäne ist

1 Default DOmain Policy
2 Powershell Execution Policy

Verstehe ich hier irgendetwas falsch???

Danke

VG

Hallo Forum,

ich habe einige Zeit gesucht und gegoogelt aber nicht gefunden was mir eingeleuchtet hätte.

Ich möchte das Offlineverwenden von Dateien in Freigaben standardmäßig deaktivieren. 

Ich meine hiermit Windows Versionen ab 7. Um genau zu sein meine ich die Einstellungen im Menüpunkt Zwischenspeichern bei einer Freigabeeinrichtung die ich auf einen Standardwert setzen möchte.

Ich habe keine Richtlinie gefunden.

Könnt ihr mir helfen?

Danke im Voraus!

MfG RO

Mit freundlichen Grüßen Ralf Oertner

Hallo,

ich habe folgendes Anliegen:

In unserer Organisation setzen wir AlwaysOn VPN ein. Das funktioniert soweit auch ohne Probleme. Seit ein paar Wochen funktioniert allerdings die Installation des Profils auf den Clients nicht mehr richtig. Das Profil (als XML-File in der NETLOGON-Freigabe unserer Domäne) wird mithilfe eines Powershell Skripts installiert (bei Anmeldung eines Benutzers als Task hinterlegt). Die Ausführung des Skripts wird als NT-AUTORITÄT\System vorgenommen. Das Skript befindet sich auch in der NETLOGON-Freigabe unserer Domäne. Das hat bis vor kurzem auch wunderbar funktioniert. Nun wurden vor einiger Zeit Änderungen am Profil vorgenommen. Dabei ist aufgefallen, dass die Ausführung bzw. das Laden des Skripts verhindert wird.

Fehlermeldung: \\Pfad zum Profil\skript.ps1: Die Datei "\\Pfad zum Profil\skript.ps1" kann nicht geladen werden, da der Vorgang durch Richtlinien für die Softwareeinschränkung, z.B. die von der Gruppenrichtlinie erstellten Richtlinien, blockiert wird.

CategoryInfo: Sicherheitsfehler: (:) [], PSSecurityException

FullyQualifiedErrorID: UnauthorizedAccess

Dazu muss ich sagen, dass wir keine Richtlinien für die Softwareeinschränkung nutzen. Allerdings nutzen wir den AppLocker. Im Applocker ist das Ausführen von Skripts für den Pfad, in dem das Profil und das Skript liegen freigegeben. Das Skript hat eine gültige digitale Signatur.

Setze ich in der AppLocker GPO die Erzwingung für die Skriptregeln auf "überwachen" gibt es keine Probleme. Werden die Regeln jedoch erzwungen, erscheint die o.g. Fehlermeldung.

Domänenfunktionsebene: Windows Server 2016

Client: Windows 10 Enterprise 1809

Ich hoffe hier kann mir jemand weiterhelfen. Vielen Dank schon mal im Voraus!

Ausgelöst von dem Problem, dass die Logon-/Logoff-Prozeduren auf dem Domänen-Server nicht funktionieren, habe ich über grpresult folgende Fehlermeldung auf dem Domänen-Server ermittelt:

Fehler beim Anwenden der "Scripts"-Einstellungen. Die "Scripts"-Einstellungen besitzen möglicherweise eine eigene Protokolldatei. Klicken Sie auf den Link "Weitere Informationen"

Die Ereignis-XML dazu lautet:

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System><Provider Name='Microsoft-Windows-GroupPolicy' Guid='{AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9}'/><EventID>1085</EventID><Version>0</Version><Level>3</Level><Task>0</Task><Opcode>1</Opcode><Keywords>0x8000000000000000</Keywords><TimeCreated SystemTime='2019-11-04T20:27:49.126216700Z'/><EventRecordID>178568</EventRecordID><Correlation ActivityID='{B20AD77A-9DC7-43BF-ACA6-A1C07056EDC2}'/><Execution ProcessID='476' ThreadID='7516'/><Channel>System</Channel><Computer>VFL-SERVER2.VFLTEGEL.local</Computer><Security UserID='S-1-5-21-2937412414-2833263192-2976632043-1000'/></System><EventData><Data Name='SupportInfo1'>1</Data><Data Name='SupportInfo2'>5023</Data><Data Name='ProcessingMode'>1</Data><Data Name='ProcessingTimeInMilliseconds'>281</Data><Data Name='ErrorCode'>2</Data><Data Name='ErrorDescription'>Das System kann die angegebene Datei nicht finden. </Data><Data Name='DCName'>\\VFL-SERVER2.VFLTEGEL.local</Data><Data Name='ExtensionName'>Scripts</Data><Data Name='ExtensionId'>{42B5FAAE-6536-11d2-AE5A-0000F87571E3}</Data></EventData></Event>

Die offensichtlich auslösende GPO "Generelles - Benutzer - GPO" (die Verarbeitung wird laut gpresult direkt vor dem Auftreten der Fehlermeldung gestartet) ruft ein Anmelden- und ein Abmelden-Skript auf, die in c:\Users\Public gespeichert sind.

Ein Löschen der GPO "Generelles - Benutzer - GPO" hat nicht geholfen!?

Mein "Stochern" in der Registry lässt mich vermuten, dass die Fehler von den cached domain GPOs verursacht werden (?).

Ich bin für jeden Tip dankbar.
MfG - Michael

Liebes Forum,

gibt es eine Möglichkeit einen lokalen Benutzer per GPO anzulegen?
Das Passwortfeld ist ausgegraut, somit wird der Benutzer nicht angelegt, weil das Kennwort den Kennwort Richtlinien nicht entspricht.

Geht es also gar nicht, einen lokalen Benutzer per GPO anzulegen?

Viele Grüße
Davorin