Gruppenrichtlinien unter 2008 R2 - administrative Vorlagen greifen nicht

[speedcOre]

Hallo allerseits,

ich bin es mal wieder! Heute ist es etwas fragenintensiver, da ich ein bisschen rumspiele und teste. :-)

Es geht um GPOs unter 2008 R2. Soweit kein Problem - habe mir ein paar Youtube-Videos angesehen und daraus recht fix gelernt. Auf Probleme stoße ich nur bei den administrativen Vorlagen, da hier lediglich die Einstellung "Nicht konfiguriert", "aktiviert" und "deaktiviert" vorhanden sind.
Anders als bei den sonstigen GPOs kann ich keine Zielgruppenadressierung vornehmen. Führt im Endergebnis dazu, dass die GPOs, die nach administrativen Vorlagen entstanden (bspw. Drucker löschen verbieten? -> aktiviert) nicht greifen.

Ich habe schon vieles versucht.

a) Den betroffenen Personenkreis von "Authentifizierte Benutzer" um die entsprechende AD-Gruppe ergänzt

b) Status "Erzwungen" gesetzt

c) Die GPO in den Benutzer-Ordner des AD gepackt und verknüpft

Alles half nicht, auch nicht nach gpupdate /force und Neustarts von Server und Client.

Weiß jemand Rat? Habe ich etwas vergessen?

im Voraus vielen Dank!
Sebastian

 

[leipziger1979]

Weisst schon das es Computer- und Benutzerkonfiguration gibt ?

 

[speedcOre]

Hi, jo, weiß ich. Inwiefern hilft mir das weiter? Das oben in der Klammer aufgeführte Beispiel ("Löschen von Druckern verbieten?") bspw. befindet sich in der Benutzereinstellung, während sich in den Computereinstellungen eine ähnliche Vorlage befindet. Beide funktionieren gleichermaßen nicht.

 

[hazrael]

GPOs wirken nicht auf die Container User "Benutzer" und Computer. Häng das Teil an eine OU und pack die User rein die die Einstellungen bekommen sollen.

 

[speedcOre]

Hab ja mehrere Positionen ausprobiert. Standardmäßig packe ich sie alle in die Haupt-OU (und einzige, die wir benutzen). Das klappt mit allen anderen GPOs, nur mit administrativen Vorlagen nicht.

Wobei ich jetzt einen Funfact zu bieten habe: die administrative Vorlage "Systemsteuerung anzeigen? Nein" akzeptiert er sofort. Bumms, keiner hat mehr Zugang zur Systemsteuerung. Bloß Drucker löschen kann nachwievor jeder Benutzer, obwohl diese GPO exakt so angelegt wurde wie die GPO bzgl. der Systemsteuerung.

LG
Sebastian

 

[hazrael]

Ich hoffe du hast die Richtlinie aktiviert?

 

[crashbandicot]

Und verlinkt - und nicht nur erstellt.

 

[speedcOre]

Ja, aktiviert, korrekt verlinkt und auf "Erzwungen" gesetzt.

Wie gesagt: mit anderen GPOs läuft es ja. Aber das Löschen der Drucker ist weiterhin möglich.
Ist für mich jetzt kein Beinbruch, mich wurmt es nur, dass ich den Grund dafür nicht sehe.

 

[crashbandicot]

Du kannst mal gucken ob der Registry Wert gesetzt wird.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDeletePrinter

 

[hazrael]

Und die Einstellung selbst ist Aktiviert und nicht Deaktiviert?

 

[Knusperfloete]

Und die entsprechende ADMx Template ist auf dem Client auch hinterlegt? Weil...Du hantierst ja mit den lokalen Richtlinien-Sets des entsprechenden Clients...