Windows 10 Übernimmt Viele GPOs nicht

[EcomaticDriver]

Hallo Zusammen,
Ich habe heute ein paar Rechner auf Windows 10 Umgestellt.
Jetzt habe ich nur das Problem Das er nur die Default Domain Police Übernimmt und nicht die anderen.
Auf den Rechnern mit Win 7 und Win 8.1 Funktioniert Alles einwandfrei.

Die Serverebende Läuft auf Ein Windows Server 2012 R2 der auch der Domaincontroller ist.

 

[kamblars]

LDAP Filter eingerichtet?
Falsche OU?
Settings auch für W10 gültig?
Haben die Computerkonten Lese Rechte auf die GPO?

 

[EcomaticDriver]

1. LDAP Filter Hab ich jetzt nichts Konfiguriert.
2. Die OU Ist die richtige
3. Win 10 ist io
4. Ja

 

[BFF]

Hast du denn die W10 Group policies auf dem 2012 installiert? Und ist der Funktionslevel der AD hoch genug fuer die Nutzung mit W10?

 

[EcomaticDriver]

Hast du denn die W10 Group policies auf dem 2012 installiert? Und ist der Funktionslevel der AD hoch genug fuer die Nutzung mit W10?

Bisher noch nicht,
Ist das etwa erforderlich da die gpos die ich gerade brauche keine speziellen für win 10 sind.

auf meiner anderen umgebung geht es ja

 

[BFF]

Dann schau auf den Zielgeraeten nach was von Deinen Einstellungen dort ankommt.

 

[EcomaticDriver]

Dann schau auf den Zielgeraeten nach was von Deinen Einstellungen dort ankommt.

wie gesagt nur die default domain police

 

[Zero_Official]

welchen gruppen sind die policys zugeordnet? wenn nicht "athentifizierte benutzer," sind die pc's mitglider der andren gruppe? ist die win10 ou innerhalb der ou wo win 7 pc's sind?

 

[EcomaticDriver]

ja ist die gleiche ou

 

[Zero_Official]

welche gruppe bei sicherhetsfilterung?

 

[EcomaticDriver]

welche gruppe bei sicherhetsfilterung?
Anhang anzeigen 880902

Die benutzer und authentifizierte benutzer

 

[Zero_Official]

du hast doch gpo erstellt und einer ou oder direkt domäne zugeordnet oder?
in der gpo kannst du folgende sehen: (beispiel)

 

[EcomaticDriver]

Anbei ein Screenshot

 

[Zero_Official]

häng mal gpo direkt an die domäne, da als gruppe "authenticaterd users" mitdrin ist sollte die policy greifen.

 

[EcomaticDriver]

häng mal gpo direkt an die domäne, da als gruppe "authenticaterd users" mitdrin ist sollte die policy greifen.

Anhang anzeigen 880919

DANKE DANKE DANKE DANKE HAT FUNKTIONIERT DANKE

 

[Zero_Official]

DANKE DANKE DANKE DANKE HAT FUNKTIONIERT DANKE

Aufpassen! das war ein Test!
du solltest Architektur deiner Domäne überarbeiten, sonst kollidiren manche Gpo miteinander.
Folgendes sollst du beachten:
Authenticated users nur in der Default domain policy. (manche admins strullern damit über OU's was am ende Chaos hervorruft)
Der Rest:
nur soviele OU wie zb. Geopolitisch oder Architektur nötig, zb. OU EU, OU Asien, oder OU Win 7, OU Win 10.
Policys nur an eigene gruppen hängen, sowas wie policy an Benutzer/mayer oder schmid zuordnen ist mist.

Guter weg ist:
Domäne> default domain policy>passwort richtlinien definieren. (die für alle gelten)
darunter> policy Win 7>gruppe "win 7" und clients mit win 7 der gruppe hinzufügen.
darunter>Policy Win 10> gruppe "Win 10" und clients mit Win 10 der gruppe hinzufügen.
usw.
allen Gpos die Gruppen entfernen ausser der benötigten zb. Win 7.
Besonders die authetificated users raus!
die berechtigung dafür wird ind der Delegierung gesetzt.

das war ein kleiner Admin Guide.

 

[t-6]

Zur Ergänzung sollte noch erwähnt werden, dass "Authentifizierte Benutzer" standardmäßig alle* AD-Konten beinhaltet. Damit sind nicht nur Benutzer-Konten gemeint, sondern auch Computer-Konten.

Desweiteren: Es bringt nichts wenn in der Sicherheitsfilterung diverse Gruppen/Benutzer/Konten aufgeführt werden wenn dort schon "Authentifizierte Benutzer" existiert. Die sind ja schon alle drin.

Desweiteren: Selbst wenn es nur um Benutzer-GPOs geht, braucht seit ca. 2 Jahren ein Computerkonto wenigstens Lese-Zugriff (afair) auf die jeweilige GPO. Heißt: Wenn du in der Sicherheitsfilterung einer reinen Benutzer-GPO auch nur Benutzer bzw. Benutzer-Gruppen drin hast, wird die GPO nicht angewendet werden können, weil der jeweilige Computer sie gar nicht erst "sehen" kann.