Manche W10 Clients ignorieren die GPO settings

[violentviper]

Hallo,

ich habe einen Windows Server 2012 R2 und 20 Windows 10 Clients, die über den Server administriert werden. Auf dem Server läuft das AD und die Verwaltung der Gruppenrichtlinien. Über die Gruppenrichtlinien wird unter anderem Software an die Clients verteilt. Hier gibt es die Möglichkeit, dass auch Aktualisierungen (MSI Pakete) verteilt und installiert werden.

Das funktioniert auf einigen Rechnern sehr zuverlässig, auf anderen aber aus mir unbekannten Gründen nicht. Es sind alles die exakt gleichen Geräte mit exakt den gleichen Einstellungen. Trotz dessen weigern sich manche Clients z.B eine neue Firefox MSI zu installieren. Da bedarf es zig "gpupdates /force" + Neustarts, bis der Client irgendwann mal das neue Paket installiert. Auf anderen Rechnern hingegen findet die Softwareinstallation sofort nach dem nächsten Neustart statt. Es sind etwa 1/3 der Clients, die dieses Problem haben.

Ein ähnliches Problem gibt es auch mit den Windows Updates auf diesen Rechnern. Es werden die Policies für die Windows Updates ignoriert und keine Windows Updates mehr automatisiert gesucht und installiert. Auf diesen Rechnern muss man immer händisch auf "Updates suchen" klicken, obwohl sie die genau gleichen Policies zugewiesen haben.

Der Auszug aus gpresult /h ist nicht anders als auf den funktionierenden Rechnern.

Kennt jemand das Problem und weiß, wie man das lösen kann? So ist das aktuell sehr nervig, da man hier immer händisch ran muss.

 

[Mr.Blacksmith]

Wie ist die AD aufgebaut? OUs? In welcher liegen besagte Clients? Alle in der gleichen? Sind die GPOs auf Gruppen beschränkt?

Weiter würde ich zur Softwareverteilung Desktop Central Management empfehlen. Damit kannst Du bis zu 25 Kisten kostenlos per Software auf dem aktuellsten Stand der Dinge halten und hast einen sehr besseren Überblick, was wo genau los ist.

 

[Lawnmower]

Bei uns ist das Problem meistens wenn Clients nicht regelmässig neugestartet werden (herunterfahren und einschalten hat nicht denselben Effekt wegen Schnellstart).
Wir haben es bei uns drum so gelöst dass nach der automatischen Installation der monatlichen Windows Updates ein Neustart erzwungen wird innerhalb eines kurzen Zeitfensters. So werden auch überfällige Updates gezogen und die GPO spätestens dann angewendet.
Ansonsten hilft da evtl. auch einmal mal neu aufsetzen.

 

[derlorenz]

Ansonsten hilft da evtl. auch einmal mal neu aufsetzen.

Da fällt mir ein, wir hatten das vorwiegend bei älteren Clients die per Inplace-Upgrade auf 10 gehoben wurden.
Das mag dann zwar auch mit vorhandenen GPOs usw. zusammenhängen aber letztlich war es am schnellsten die Clients neu aufzusetzen, als großartig ins Troubleshooting einzusteigen.

 

[Cat Toaster]

@Lawnmower

Wir haben wiederum den Schnellstart via GPO deaktiviert.

 

[violentviper]

Wie ist die AD aufgebaut? OUs? In welcher liegen besagte Clients? Alle in der gleichen? Sind die GPOs auf Gruppen beschränkt?

Organisationseinheiten nutzen wir nicht. Davon habe ich bisher auch noch nichts gehört. Wir haben eine gemeinsame Domäne, in der alle Clients und die Domain Controller untergeordnet sind.

Für die GPOs wurden Gruppen im AD im Unterpunkt "Softwareverteilung" erstellt. Diese Gruppen werden dann in den Gruppenrichtlinienverwaltung GPO-Objekten zugeordnet. z.B eine Gruppe für InstallationFirefox. Die Rechner, die Firefox bekommen sollen, werden dann in die Gruppe aufgenommen (das Computerkonto). Von diesen GPO Objekten sind einige im Einsatz, da nicht jeder Rechner immer die gleiche Software verteilt bekommt. Aber 90% sind durchaus gleich.

Bei uns ist das Problem meistens wenn Clients nicht regelmässig neugestartet werden (herunterfahren und einschalten hat nicht denselben Effekt wegen Schnellstart). [...]
Ansonsten hilft da evtl. auch einmal mal neu aufsetzen.

Das Windows Update ist auch streng konfiguriert, sodass die Rechner regelmäßig neustarten sollten. Dies ignorieren manche Clients aber einfach. Aber die Problemrechner wurden sowieso schon zig mal Neugestartet, daran liegt es leider nicht. Die Rechner sind auch noch nicht lange aufgesetzt und es ist nahezu ein blankes Windows, ohne dass irgendwas tiefgreifendes geändert wurde. Das Windows 10 wurde direkt auf leeren Clients installiert, es wurde kein Upgradeverfahren genutzt.

 

[Mr.Blacksmith]

Organisationseinheiten nutzen wir nicht. Davon habe ich bisher auch noch nichts gehört. Wir haben eine gemeinsame Domäne, in der alle Clients und die Domain Controller untergeordnet sind.

Für die GPOs wurden Gruppen im AD im Unterpunkt "Softwareverteilung" erstellt. Diese Gruppen werden dann in den Gruppenrichtlinienverwaltung GPO-Objekten zugeordnet. z.B eine Gruppe für InstallationFirefox. Die Rechner, die Firefox bekommen sollen, werden dann in die Gruppe aufgenommen (das Computerkonto). Von diesen GPO Objekten sind einige im Einsatz, da nicht jeder Rechner immer die gleiche Software verteilt bekommt. Aber 90% sind durchaus gleich.

Ähm...man legt im AD eigentlich grundsätzlich eine OU (Einen Ordner) an, in den die PCs einsortiert werden.

Weil: GPOs greifen nicht in der OU COMPUTER, der sie mit Beitritt der Domäne zugeordnet werden!

Gleiches gilt für GPOs, die auf dem Wurzelverzeichnis der AD liegen: Diese greifen nicht auf den Domain Controllern in der OU Domain Controller.

Darum siehst Du so z.B. im GPO-Editor auf dem Server die OU COMPUTERS gar nicht erst, kannst somit auch keine GPO darauf verknüpfen.

 

[violentviper]

Ähm...man legt im AD eigentlich grundsätzlich eine OU (Einen Ordner) an, in den die PCs einsortiert werden.

Ok, ich bin nicht so tief in der Materie an der Stelle drin. Die Windows Clients sind im Ordner "Computers" hinterlegt. Die Gruppen für die Softwareverteilung befinden sich im gleichnamigen Ordner. Im Ordner Softwareverteilung gibt es dann dementsprechende globale Sicherheitsgruppen. z.B FirefoxInstallieren.

Diese Sicherheitsgruppe wird dann in der Gruppenrichtlinienverwaltung einem gleichnamigen GPO_Objekt zugeordnet. Über die Sicherheitsfilterung wird dann die Sicherheitsgruppe verknüpft, und in diese werden dann letztlich die gewünschten Clients für die dementsprechende Software hinzugefügt.

 

[Mr.Blacksmith]

Leg Dir eine OU für die PCs und Server an, die es betreffen soll. In COMPUTERS gesammelt kann das genau die Probleme verursachen, die Du da gerade erfährst.

 

[violentviper]

Also die Windows 2012 R2 Server (die Domain Controller), sind im Ordner Domain Controllers eingeordnet. Weitere Server gibt es sonst nicht. In Computers sind nur die Windows PCs drinnen, sonst nichts.

 

[Mr.Blacksmith]

AD Server müssen auch in der OU Domain Controllers sein. PCs aber sollten NICHT in Computers bleiben, wenn diese Gruppenrichtlinien verarbeiten sollen. Daher: Für die Windows-PCs eine OU nach belieben erstellen, die PCs da rein schieben und die Gruppenrichtlinien auf diese OU anwenden.

 

[violentviper]

Danke für den Hinweis, das klingt vielversprechend. Ich teste das ab Ende nächster Woche und melde mich dann wieder zurück.

 

[Mr.Blacksmith]

Sehr gerne.

 

[violentviper]

Habe sämtliche Rechner in eine eigene OU gezogen. Hat leider rein gar nichts geändert, das Problem besteht nach wie vor. Habe mir das ganze nun auch über mehrere Tage an verschiedenen Rechnern angeschaut.

 

[Mr.Blacksmith]

Und alle Clients sind auch Mitglied in der AD-Gruppe "Authentifizierte Benutzer"?

 

[violentviper]

Und alle Clients sind auch Mitglied in der AD-Gruppe "Authentifizierte Benutzer"?

Nicht das ich wüsste.
Im AD finde ich keine Möglichkeit dem Computer (Client) die Gruppe Authentifizierte Benutzer hinzuzufügen. Wo macht man das?

 

[Mr.Blacksmith]

Sorry, lag im KH.

Die findest Du auch nicht, weil es keine Gruppe im herkömmlichen Sinne ist. Aber jede Maschine im AD sollte in der Gruppe der Domaincomputer sein, welche automatisch zu den authentifizierten Maschinen / Usern addiert wird.

Das Deine Kisten die GPOs nicht ziehen bei AD-Kontakt und Mitgliedschaft, kann eigentlich nur ein Berechtigungsproblem sein. Vielleicht hilft es, die betroffenen Maschinen einmal aus der AD zu nehmen und erneut hinzuzufügen und sie nach dem hinzufügen aus der OU Computers in eine eigens erstellte OU zu verschieben.

Ansonsten könnte ich Dir auch gern eine Teamviewer-Session mit Telefonischer Stimme und so anbieten und wir schauen uns das gemeinsam an.

 

[violentviper]

Die findest Du auch nicht, weil es keine Gruppe im herkömmlichen Sinne ist. Aber jede Maschine im AD sollte in der Gruppe der Domaincomputer sein, welche automatisch zu den authentifizierten Maschinen / Usern addiert wird.

Das Deine Kisten die GPOs nicht ziehen bei AD-Kontakt und Mitgliedschaft, kann eigentlich nur ein Berechtigungsproblem sein. Vielleicht hilft es, die betroffenen Maschinen einmal aus der AD zu nehmen und erneut hinzuzufügen und sie nach dem hinzufügen aus der OU Computers in eine eigens erstellte OU zu verschieben.

Ansonsten könnte ich Dir auch gern eine Teamviewer-Session mit Telefonischer Stimme und so anbieten und wir schauen uns das gemeinsam an.

Gute Genesung dir!

Danke dir für deine Rückmeldung und die Hilfe. So wie ich das sehe, sind alle Maschinen in der gleichen Gruppe.

Die problematischen Clients sind alle schon aus dem AD entfernt worden und wieder neu beigetreten. Dabei habe ich auch den Gruppenrichtlinien Cache gelöscht, brachte aber ebenfalls nichts. Neu hinzugefügt verhalten sich die Clients noch genau so wie davor.

Dein Angebot nehme ich gerne an, ich schreibe dir hierzu eine PN. Danke.