netzworker9
Goto Top

GPO Benutzer- und Computerrichtlinie gleichzeitig anwenden

Hallo,

vielen Dank schon mal für eure Hilfe.

Folgendes Problem:

Ich habe in der Schule 120 Clients (Win 10) an einem Windows 2019 Server hängen und benutze hier Gruppenrichtlinien.

Die Clients sind absolut identisch sowohl hard- als auch software. Image, welches per Acronis verteilt wird.

User sind in einer OUs und die Geräte jeweils in OUs. Den Ous sind die Richtlinienobjekte zugeordnet.

1. Computerrichtlinien für die Druckerzuweisung, Startlayout, OneDrive (aus) usw.
2. Benutzerrichtlinen für sonstiges wie z. B. Edge, Startmenü, bestimmte Netzfreigabe Laufwerke zuordnen usw.

Bestimmte Richtlinien beziehen sich also auf den Client (z. B. der richtige Drucker, Startmenülayout usw.) und bestimmte auf den angemeldeten User.

Die Eigenheit ist, dass in der OU Geräte (z. B. Raum1) nicht nur Computerrichtlinienobjekte zugeordnet sind, sondern auch Benutzerrichtlinienobjekte. Diese werden jedoch nur ausgeführt mit "Loopback" (zusammenführen).

Dies hat nur funktioniert eigentlich auch ganz gut.

Ich habe nun in EINEM Computerraum das Problem, dass das Abmelden teilweise 20 Minuten dauert. Ich konnte dies über die Ereignisanzeige usw. auf Loopback zurückführen.

Wenn Loopback deaktiviert ist die Abmeldung dieser Geräte richtig flott, Jedoch werdenn dann an diesen Geräten keine Benutzerrichtlinien (die mit der Geräte OU verknüpft sind) mehr verarbeitet sondern nur die, welche mit dem angemeldeten Benutzer (Benutzer OU) verknüpft sind.

Kann mir hier jemand helfen?

Content-Key: 637210

Url: https://administrator.de/contentid/637210

Ausgedruckt am: 28.03.2024 um 16:03 Uhr

Mitglied: nEmEsIs
nEmEsIs 03.01.2021 aktualisiert um 23:44:42 Uhr
Goto Top
Hi

Ich vermute du meinst 20 min zum anmelden ?
Ist dies bei jeder Anmeldung / oder doch Abmeldung so lange oder nur bei der ersten?
Loopback hat doch nur auf die Anmeldung Auswirkung ?

Dein Netzwerk hat 1 Gbit ? Der Server ist performant ?
DNS Auflösung funktioniert richtig?
Klingt für mich als ob der Raum Netzwerkprobleme hat?

Hast du VLANs? Wenn ja ist das VLAN für den Raum richtig konfiguriert auch am DHCP?
Hast du IPv6 aktiviert?

Verwendest du roaming Profiles? Wenn Ja mit oder ohne Ordnerumleitung ?
Hast du an den Roaming Profiles bei den Standardmäßig ausgeschlossenen Ordnern etwas verbogen um das Startmenü bzw. die gepinnten Apps mit zu nehmen?

Hast du Softwareverteilung in den GPOs "verbaut"?

Was hast du alles in den Benutzerkonfigs gesetzt?

Denke du musst mehr infos liefern.

Mit freundlichen Grüßen Nemesis
Mitglied: Netzworker9
Netzworker9 04.01.2021 um 10:31:05 Uhr
Goto Top
Hallo,
herzlichen Dank für Deine Nachricht.

Aktuell habe ich es bei der Abmeldung festgestellt. Es trat aber auch in anderen Räumen schon bei der Anmeldung auf. Da war ich aber der Ansicht, dass dies mit einem außerpanmäßigen Server-Neustart zu tun hatte. Wir haben öfter Spannungsschwankungen und keine USV, dann startet sich der Server neu.

Der Server ist Neu und sehr leistungsfähig, daran kann es nicht liegen. Der Microsoft 2019 Server ist virtualisiert auf einer Hyper-V.

Ich hab leider mit Loopback wenig Erfahrung. Es war für mich nur wichtig, dass Benutzer- und Computerrichtlinien gleiczeitig angewendet werden, das tat es nur mit Loopback.

Netzwerk ist durchwegs 1 GB. Vom Server vebunden zum 1Gb Switch mit Glasfaser. Von dort aus (ca. 10 Meter mit Cat 6). Nur 4 Netzwerkkabel kamen später hinzu und sind keine Verlegekabel.

VLAN im DHCP konfiguriert? Bin ich leider überfordert. Was muss man dort einstellen? Im DHCP sind Reservierungen mit den Mac-Adressen die dann aufgelöst werden.

Profile sind auf den Rechnern lokal, die Userverzeichnisse auf dem Server.

Das Startmenü-Layout ist eine GPO, die eine XML lädt.

Die Softwareverteilung bzw. das Image wird über Acroinis auf jeden Rechner übertragen, also außerhalb von GPOs über PXE.

In den Benutzerkonifgs sind der Bildschimhintergrund, eine Laufwerkszuordung (Schulordner) gesetzt, alle anderen Sachen wie z. B. Drucker für den Raum, One Drive aus, Startlayout, Explorrer Einstellungen usw. sind über Computerrichtlinien gesetzt. Diese werden ohne loopback (zusammenführen) leider nicht angewendet, sondern nur die Richtlinien des angemeldeten Benutzers.

Vielen Dank
Mitglied: nEmEsIs
nEmEsIs 04.01.2021 aktualisiert um 13:06:57 Uhr
Goto Top
Hi

Ich denke du hast das Prinzip von GPOs und deren Anwendung auf OUs nicht ganz verstanden.
Ich gehe davon aus, dass du deine Benutzer in einer OU hast
Und deinen Computer in einer anderen OU.
Du wendest die Benutzer und Computer GPOs aber nur auf die OU der Computer an.
Daher brauchst du loopback.

Wenn du aber die Benutzer GPOs auf die OU deiner Benutzer (bitte nicht auf die im default Users und Builtin anwenden...)
Anwendest, werden für alle Benutzer der OU auf allen Computer wo diese sich anmelden können angewendet.

Hast du einen Terminalserver, wo es Sinn macht loopback zu verwenden oder einen anderen Grund? Wie bist du auf loopback gestoßen?

Mit freundlichen Grüßen Nemesis

PS: Kauf eine USV !!!!!!!! Da ist schneller alles kaputt als du schauen kannst
Mitglied: Netzworker9
Netzworker9 04.01.2021 um 15:44:39 Uhr
Goto Top
Hallo nEmEsIs,

vielen Dank schon mal für Deine Hilfe.

Du hast schon recht: ich bin kein Profi.

Ich habe z. B. eine OU Lehrer, die bekommt Benutzerrichtlinien wie z. b. die Lehrerordnerfreigabe, usw. also bezogen auf den User, egal an welcher Maschine er sich anmeldet.

Dann habe ich die OU Rechner, die bekommt Benutzer- und Computerrichtlinien da manche GPOs nicht in beiden zu finden sind wie z. B. rechte Maustaste im Startmenü deaktivieren.

In dieser Rechner-OU ist auch Loopback mit "zusammenführen".

Ich habe es erst ohne Loopback probiert und da hat er dann immer die Computerrichtlinien nicht angewendet. Im Internet habe ich dann von loopback gelesen und es hat funktioniert. Nur eben manchmal die den Latzenzen beim An- und jetzt vor allem beim Abmelden.

Kann es sein, das das Problem darin besteht, dass in der Rechner-OU Benutzerrichtlinien enthalten sind und nicht nur Computerrichtlinien?

Vielen Dank schon mal.
Mitglied: nEmEsIs
Lösung nEmEsIs 04.01.2021 um 16:03:49 Uhr
Goto Top
Hi

Kann es sein, das das Problem darin besteht, dass in der Rechner-OU Benutzerrichtlinien enthalten sind und nicht nur Computerrichtlinien? --> Nein das hat damit nix zu tun.

Da du aber schreibst, dass du keine Roaming Profiles verwendest und beim abmelden ja somit nix zurück geschrieben wird und es aus meiner Sicht auch nicht am loopback liegen kann bin ich raus. Denke es liegt vll an irgendwas in deinem Client Image ist aber aus der Ferne schwer zu sagen.

Denke aber, so wie du das alles beschreibst, solltest du dich entweder tiefer / besser einarbeiten oder aber ein Systemhaus nehmen, welches dir bei der Einrichtung hilft.
Denke hier im Forum gibt es genug Profis die gegen Entgelt dir bei deinem Problem helfen.

Mit freundlichen Grüßen Nemesis
Mitglied: Doskias
Doskias 04.01.2021 um 16:33:04 Uhr
Goto Top
Hallo Netzworker9,

ich habe mir das ganze jetzt mehrfach durchgelesen und mir sträuben sich immer noch die Nackenhaare. Du scheinst offenbar einige Grundlagen nicht zu beherrschen oder sie nicht verstanden zu haben. Daher versuche ich hier einmal kurz in einigen Punkten das wesentliche zusammenzuschreiben:

1. Lege OUs an. Mindestens 3: Server, User Clients
2. Was für User gilt kommt in GPOs unter User.
3. Was für den Rechner gilt (unabhängig vom User) kommt unter Client
4. Wenn du Benutzereinstellungen vergibst, die in einer GPO stehen, die in der Client-OU steht, wird dies nicht ausgeführt
5. Loopback brauchst du nur bei gleichzeitiger Anmeldung am Client und TS. Hast du nicht, also weg damit.
6. Beachte dass du (zum Test) die GPOs immer als authentifizierter User ausführst. Wenn du vom vor eingestellten Auth-User weg willst, dann vergewissere dich, dass du ihn manuell in der Delegierung mit Leserechten hinzufügst. Wenn der auth-User in der Delegierung keine Leserechte hat, funktioniert die GPO nicht.
7. Arbeite IMMER mit Gruppen. Selbst wenn die Gruppe nur aus einem Client oder einem MA besteht.
8. Nutze die Gruppenrichtlinienmodellierung um die anzuzeigen welche GPOs angewandt oder nicht angewandt werden.
9. Wenn du weitere Hilfe brauchst, dann gib uns Bilder. GPOs sind so vielschichtig und voller Möglichkeiten, dass es ohne Bilder ein Ratespiel wird.
10. Besorg dir eine USV
11. Auch wenn der Server Neu und sehr leistungsfähig ist, kann dein Problem theoretisch sehr wohl daran liegen, nämlich dann wenn die Konfiguration der virtuellen Maschine(n) dafür sorgt, dass keine CPU zur Verfügung steht.

Gruß
Doskias
Mitglied: Ex0r2k16
Ex0r2k16 05.01.2021 aktualisiert um 09:25:58 Uhr
Goto Top
Zitat von @nEmEsIs:

Hi

Kann es sein, das das Problem darin besteht, dass in der Rechner-OU Benutzerrichtlinien enthalten sind und nicht nur Computerrichtlinien? --> Nein das hat damit nix zu tun.


Äh was? Wenn die User GPO gem. Best Pratice auf "Nur Benutzereinstellungen verwenden" steht wird diese schlicht nicht angewendet. Ich persönlich halte mich daran und trenne die GPOs immer in User & Computer GPOs auf. User GPOs ziehen in den User OUs (am besten Abteilungen nehmen) und Computer GPOs in den Computer OUs (hier auch wieder Abteilungen rein). Manche struktieren das ganze auch nach Gebäude Teilen, aber davon halte ich nicht so viel.

Update: Der Hintergrund warum man z.B. nicht verwendete GPO Teile deaktiviert ist einfach, damit die Verarbeitung flotter geht. Quasie GPO Tuning.
Mitglied: nEmEsIs
nEmEsIs 05.01.2021 um 10:18:16 Uhr
Goto Top
Hi

Wo steht das, dass dies best practice sei?
Gerade bei loopback kann dies Sinn machen. Es hat auch kaum / keinen Performance Vorteil, weil in der XML im SYSVOL nix steht was er z.b. am Computer verarbeiten könnte wenn nix konfiguriert ist.
Einziger Vorteil versehentlich gesetzte Konfigurationen sind damit deaktiviert.

Hier nachzulesen:
https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/ ...

Mit freundlichen Grüßen Nemesis
Mitglied: Netzworker9
Netzworker9 05.01.2021, aktualisiert am 06.01.2021 um 09:46:15 Uhr
Goto Top
Herzlichen Dank für die zahlreichen Hilfen.

Danke Doskias für die genauen Punkte. Ich hab' alles so gemacht:

- Loopback raus
- Benutzerrichtlinien zu den User OUs
- computerrichltinien zu den Client OUs

Alles funktioniert jetzt wunderbar. Vielen, vielen Dank.!


Danke nochmal.
Mitglied: Ex0r2k16
Ex0r2k16 06.01.2021 um 09:06:41 Uhr
Goto Top
Zitat von @nEmEsIs:

Hi

Hier nachzulesen:
https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/ ...

Mit freundlichen Grüßen Nemesis

Ups:

The choice is yours to make, but please stop proliferating the notion that disabling User/Computer sections within a GPO improves performance.

Das liest man halt wirklich auf vielen Seiten. Z.B. hier: https://activedirectorypro.com/group-policy-best-practices/ bei Punkt 9.

Nun gut dann ordne ich das eher unter: "Mach es oder lass es" ein face-wink Thx