Bei der Suche nach dem Grund dafür das eine Einstellung einer Gruppenrichtlinie nicht greift, fiel so ganz nebenbei folgender “Fehler” auf:

Ruft man in der Gruppenrichtlinienverwaltung (GPMC) das Gruppenrichtlinienergebnis für einen Computer ab, so sieht man in der Zusammenfassung das ein AD/SYSVOL Versionskonflikt angezeigt wird:

In den Details sieht man dann einen Versionsunterschied zwischen dem GPO im Active Directory (AD) und der SYSVOL-Freigabe:

Das Thema ist scheinbar nicht neu und wohl bekannt, zudem scheint es hauptsächlich in der Kombination neuerer Windows Server ab 2012 in Verbindung mit Windows 7 und bestimmten Patches in Erscheinung zu treten. Wenngleich es für Windows 8.x und Windows Server 2012 ohne und mit R2 ein Update gibt:

Microsoft Support – “AD / SYSVOL version mismatch” message is displayed unexpectedly in the Group Policy Results report in Windows

Konkret konnte ich dies nicht nur bei diesem einen Kunden (Windows Server 2016), sondern auch stichprobenweise bei einem anderem Kunden mit einem Windows Server 2012 R2 nachvollziehen. Es spielt zudem keine Rolle, ob es nur einen oder mehrere Domänencontroller gibt.

Schaut man sich das Gruppenrichtlinienergebnis z.B. beim Domänencontroller an, so taucht kein Fehler bzw. Konflikt auf. Windows 8.x hat keiner unserer Kunden in einer Domäne im Einsatz, Windows 10 werd’ ich bei nächster Gelegenheit prüfen, sobald mir eine aktive Maschine über’n Weg läuft (zum Zeitpunkt des Schreibens dieser Zeilen ist Wochenende, daher läuft grad kein Windows 10-Arbeitsplatz).

Man sollte allerdings auf jeden Fall prüfen, ob alles in Ordnung ist (Ereignisprotokolle, Replikation bei mehreren DCs, werden die Einstellungen der Gruppenrichtlinien wirklich angewendet, ggf. mal GP-Logging aktivieren und prüfen, stimmt die Version im AD mit der des Angabe in der jeweiligen GPT.ini überein, …).

In diesem Fall tue ich das mal als kosmetisches Problem ab, da sonst nichts negtives aufgefallen ist.

Übrigens: Die eingangs erwähnte Einstellung griff nicht, da schlicht ein ein falscher Pfad eingetragen war. Es ging dabei um SRP, die nun mal keine Netzlaufwerke mag, stattdessen muss der UNC-Pfad eingetragen werden.

Quellen:

Terry L@u’s blog – SYSVOL (65535) and AD / SYSVOL Version Mismatch on Windows Server 2012 R2

Let’s go, use GPO! – Das gpsvc-logging aktivieren

Microsoft TechNet – Group Policy Team Blog – Understanding the domain-based GPO version number (GPMC script included)

Petri – GPO version mismatch

spiceworks – Sysvol version not showing correctly, gpo security correct? after KB3159398….

Ähnliche Artikel:

  1. Windows Server: Beim Domänencontroller vor dem Herunterstufen prüfen, ob noch Zugriffe stattfinden
  2. Windows: Die SYSVOL-Replikation scheitert mit Verweis auf “FrsErrorMismatchedJournalId”
  3. Windows: Ping und Remoteverwaltung per Gruppenrichtlinie zulassen
  4. Windows: AutoArchivierung in Outlook per Gruppenrichtlinie deaktivieren
  5. Windows: Google Chrome per Gruppenrichtlinie installieren und verwalten