Warum kann ich einen ueber eine Richtlinie vorgegebenen Registry Schluessel nicht per Hand loeschen

22/09/2009 - 11:29 von Heiko Frühauf | Report spam
Wir stellen gerade auf Windows 2008 Server um, und testen natürlich einige
Einstellungen aus. Leider fehlt mir eine Erkàrung für eine von mir
vorgenommene Einstellung. Hier ist meine Frage.

* Es gibt eine OU Computer Firma, dort ist mein Testcomputer Test1
(Betriebssystem Windows XP) Mitglied
* für diese OU gibt es eine Gruppenrichtlinie namens Test
* in der Richtlinie ist als einziges aktiviert -
Computerkonfiguration\Richtlinien\Administrative Vorlagen\System
Benutzerprofile\Sicherheitsgruppe "Administratoren" zu servergespeicherten
Profilen hinzufügen-
* starte ich den Rechner Test1 wird dieser Wert in
HKLM\Software\Polices\Microsoft\Windows\System\ als Reg_DWort
AddAdminGroupToRUP mit dem Wert 1 eingetragen, alles OK
* setze ich in der Gruppenrichtlinie -Sicherheitsgruppe "Administratoren" zu
servergespeicherten Profilen hinzufügen- auf deaktiviert, starte den Rechner
Test1 neu so ist der Registry Schlüssel verschwunden, alles OK

Jetzt kommt mein Problem:
* ich setze den Wert -Sicherheitsgruppe "Administratoren" zu
servergespeicherten Profilen hinzufügen- auf aktiviert, der Rechner Test1
wird neu gestartet, Registry Schlüssel wird eingetragen
* ich starte regedit und lösche den Schlüssel in
HKLM\Software\Polices\Microsoft\Windows\System\AddAdminGroupToRUP manuell
* Rechner Test1 wird neu gestartet, der Schlüssel AddAdminGroupToRUP wird
über die Richtlinie Test nicht neu erstellt, Warum?
* egal wie oft ich den Rechner neu starte die Gruppenrichtlinie wirkt nicht
mehr
* erst wenn ich in der Gruppenrichtlinie den Wert auf deaktiviert setze, den
Rechner neu starte, danach den Wert auf aktiviert setze und den Rechner
Test1 neu starte ist der Registry Schlüssel AddAdminGroupToRUP wieder da

Danke Heiko Frühauf
 

Lesen sie die antworten

#1 Florian Frommherz [MVP]
22/09/2009 - 13:23 | Warnen spam
Hallo Heiko,

Heiko Frühauf wrote:
* ich setze den Wert -Sicherheitsgruppe "Administratoren" zu
servergespeicherten Profilen hinzufügen- auf aktiviert, der Rechner Test1
wird neu gestartet, Registry Schlüssel wird eingetragen
* ich starte regedit und lösche den Schlüssel in
HKLM\Software\Polices\Microsoft\Windows\System\AddAdminGroupToRUP manuell
* Rechner Test1 wird neu gestartet, der Schlüssel AddAdminGroupToRUP wird
über die Richtlinie Test nicht neu erstellt, Warum?
* egal wie oft ich den Rechner neu starte die Gruppenrichtlinie wirkt nicht
mehr



Das Verhalten ist "by design". Wenn du die Richtlinie ànderst, wird die
Version der GPO um 1 erhöht. Der Clientcomputer merkt das beim nàchsten
Start und wird die GPO neu laden und übernehmen. Das CSE-Subsystem
speichert die aktuelle, neue Version der GPO. Solange sich die Version
nicht mehr àndert (serverseitig - so lange keine Änderungen gemacht
werden), wird die Richtlinie nicht mehr neu angewendet.

Du hast zwei Möglichkeiten:
(1) Die Richtlinie erneut àndern
(2) Die Verarbeitung der CSE per GPO beinflussen, sodass GPOs immer
erneut abgearbeitet werden, egal, ob sich die Ziel-GPOs veràndert haben
oder nicht.

Den zweiten Fall willst du wahrscheinlich in einem Testaufbau
ausprobieren, weil das Einwirkungen auf die Abarbeitungsgeschwindigkeit
haben kann (langsamere Verarbeitung).

Das Grundproblem ist, dass "normale" Benutzer eigentlich keine
Einstellungen in diesen Registry-Hives àndern dürfen - das können nur
Admins. Folglich wàre es also auch nicht notwendig, die GPO immer wieder
erneut anzuwenden.

Cheers,
Florian

Ähnliche fragen