Ab wann werden Grouppolicy wirksam

delta544

New Member
Hallo SSF´ler,

ich hab hier ein kleines Problem. Wir haben ein Kunden der ein recht großes Windows Netzwerk auf Windows 2008R2 Basis administriert. Dieser Kunde arbeitet mit GPO´s. Ich habe hier eine Software die die Drucker überwacht. Diese Software wurde auf einem Memberserver dieser Domäne installiert.

Nach einer Weile (~15 Minuten) hat die Software plötzlich keinen Zugriff mehr auf das Spoolverzeichniss. Die Software arbeitet im Kontext System-Konto (kein extra User). Wenn wir den Server neu starten ist aller wieder OK.

Nach langem hin und her scheint es so zu sein das es an irgendeiner Grouppolicy hängt.

Weil, wenn wir das Update der Grouppolicy manuell anstossen sehen wir das verhalten sofort.

Nach meinem bisherigen Kenntisstand sollte es aber doch so sein:
Wenn eine GPO aktiv wurde, bleibt sie aktiv bis sie geändert wird, richtig?

Gibt es eine Möglichkeit die Einstellungen der GPO´s zu exportieren um einen Vorher/Nachher Vergleich machen zu können?

Wie verhält es sich mit den GPO´s? Gibt es GPO´s die nur temporär (also nur bis zu einem Neustart) wirksam sind??

gruss,
delta544
 

mkeil

Registered User
Schau Dir mal gpresult an, damit kannst Du Dir alle aktiven GPOs auf einem Client anzeigen/exportieren lassen.

Grüße
mkeil
 

delta544

New Member
Hallo mkeil,

danke für den Tipp, werde mich mal dran setzen und gucken was uns da den Tag verhagelt.

Weiss jemand wie es sich mit den GPO´s verhält? Ab wann sie wirksam werden oder ob es temporäre GPO´s gibt?

Ich kann mir irgendwie keinen Reim darauf machen wieso es nach einem Server Neustart geht.

gruss,
delta544
 

BeNe

Registered User
Die GPO werden beim PC starten aktiv. Die computer GPO gleich nach dem Kontakt mit dem DC. Die Benutzer GPO beim Anmelden des Benutzers.
Steht noch was im eventlog ?
 

delta544

New Member
Hi,

im Eventlog steht nur das der Prozess (also die Software die den Spooler überwacht) die Datei nicht schreiben darf.

Wir haben das auch mittels des Processmonitor Tool aus der Systernal Suite auch schon live gesehen. Also, erst gehts und dann nach Ablauf von ca. 15 Minuten nicht mehr, oder halt nach einen manuellen GPO update. (Sprich die Schreibberechtigungen sind quasi weg auf den Spooler)

Das bekloppte ist ja, sämtliche GPO´s müssten eigentlich schon längst greifen, denn der Server wurde ja nun mittlerweile zig mal neu gestartet und der Administrator hat sich ja demzufolge auch schon zig mal angemeldet.
An dem User kann es aber ja eigentlich nicht liegen, denn der Prozess läuft nicht in einem Userkontext, sondern als Systemprozess.

gruss,
delta544
 

mkeil

Registered User
Antivirensoftware? Vielleicht mit einer Application Control die irgendwas dicht macht?
 

delta544

New Member
Hallo mkeil,

für die Antivirensoftware brauchen wir ein paar Ausnahmenregel damit der Spooler usw. überwacht werden kann. Ausser ein paar Shares und ein SQL Server ist sonst nichts weiter auf dem Server. Die Shares sind für uns eigentlich uninteressant und die verwendete AV ist bestens bekannt, bisher gab es nie Probleme in Kombination mit der Druckerverwaltungssoftware sofern die Ausnahmeregeln korrekt gesetzt sind.

Wir haben den lokalen Administrator erstmal mit GPresult 'verarztet', vielleicht kann er damit einen Vorher/Nachher vergleich machen. Hab aber bisher noch keine Rückmeldung.

Was würde passieren wenn ich einen Server mit einer Client-GPO versehe? Geht das überhaupt? Vielleicht haben die sich da mit den GPO´s verfrickelt?

gruss,
delta544
 
Top