Zum Inhalt wechseln


Foto

Gruppenrichtlinien - bestimmte Computer ausschließen


  • Bitte melde dich an um zu Antworten
30 Antworten in diesem Thema

#1 pampersrocker

pampersrocker

    Member

  • 312 Beiträge

 

Geschrieben 16. März 2010 - 09:30

Hallo zusammen,

ich glaube, ich sehe den Wald vor lauter Bäumen nicht mehr. Ich habe eine Gruppenrichtlinie, die auf sämtliche Clientcomputerkonten bei uns im Netz wirkt. (Auf eine übergeordnete OU verknüpft und befeuert authenticated Users) Die Useraccounts liegen in anderen OUs auf die diese Richtlinie nicht wirkt. Jetzt möchte ich drei Computerkonten explizit davon ausschließen - wie gehe ich am besten vor?

Ich habe bislang probiert über die Sicherheitsberechtigungen ein deny zu setzen, aber das funktioniert wohl nicht. Im Richtlinienergebnissatz, sowie mit gpresult wird mir immer angezeigt, dass die Richtlinie angewendet wird.

Zum Testen habe ich eine zweite Richtlinie angelegt, die die Funktion explizit deaktivieren soll. Hierfür habe ich ebenfalls - wie in der ersten Richtlinie - den Loopbackverarbeitungsmodus aktiviert. Diese Richtlinie wirkt im Computerbereich und wird anscheind über den Userbereich durch die andere Richtlinie überschrieben. (verantwortlich ist die erste Richtlinie im benutzerbezogenen Bereich) Es dreht sich übrigens schlicht um die Deaktivierung des Bildschirmschoners und um eine automatische Sperrung der Arbeitsstation. (Einstellungen im Userbereich einer Richtlinie).

Beste Grüße,

#2 NorbertFe

NorbertFe

    Expert Member

  • 30.605 Beiträge

 

Geschrieben 16. März 2010 - 09:32

Man erstellt eine neue Gruppe in der sich die drei Computerkonten befinden und verweigert dieser Gruppe die Übernahme dieses GPOs.

Bye
Norbert

Make something i***-proof and they will build a better i***.


#3 pampersrocker

pampersrocker

    Member

  • 312 Beiträge

 

Geschrieben 16. März 2010 - 09:42

Ja, das ist passiert, aber das funktioniert nicht. :)

#4 NorbertFe

NorbertFe

    Expert Member

  • 30.605 Beiträge

 

Geschrieben 16. März 2010 - 09:51

Hast du die Computer mal gebootet seitdem du sie in die Gruppe gepackt hast? Was genau hast du eingestellt?

Bye
Norbert

Make something i***-proof and they will build a better i***.


#5 pampersrocker

pampersrocker

    Member

  • 312 Beiträge

 

Geschrieben 16. März 2010 - 10:14

Ja, die Rechner wurden neugestartet.

Für die Richtlinie wurden folgende Sicherheitseinstellungen vorgenommen:

Authenticated Users:
- lesen (zulassen)
- Gruppenrichtlinie übernehmen (zulassen)
Testgruppe zur Deaktivierung:
- lesen (zulassen)
- Gruppenrichtlinie übernehmen (verweigern)

Richtlinieneinstellungen:
- User Group Policy loopback processing mode Aktiviert
Mode: Merge
- Control Panel/DisplayAusblenden
Richtlinie Einstellung
Hide Screen Saver tab Aktiviert
Password protect the screen saver Aktiviert
Screen Saver Aktiviert
Screen Saver timeout Aktiviert
Number of seconds to wait to enable the Screen Saver

Seconds: 900

Noch weitere Ideen?

#6 pampersrocker

pampersrocker

    Member

  • 312 Beiträge

 

Geschrieben 16. März 2010 - 10:17

Hab noch etwas in einem MS-Artikel gefunden:

Wenn Sie die Anwendung eines GPOs einschränken möchten, sollten Sie unbedingt die Gruppe Authentifizierte Benutzer entfernen. Andernfalls wird das GPO immer auf alle Benutzer angewendet.


Quelle

Seit wann ist das so? Heißt das konkret, dass man etwas, das für alle freigegeben ist, nicht explizit verweigern kann?

#7 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 16. März 2010 - 10:23

Schildere bitte, wie Deine OU-Struktur aussieht und wo Du welche Richtlinie mit welchen Einstellungen gelinkt hast. Wir benötigen nicht jede OU/Richtlinie, nur die relevanten (die zugrundeliegende Struktur ist natürlich auch wichtig). Wo z.B. überall Loopback eingeschaltet wird, wo Benutzereinstellungen gesetzt sind, welche Richtlinie eine höhere Priorität hat (falls mehrere gelinkt sind) ...
Edit: Für die Übernahme einer Richtlinie gilt "Gruppenrichtlinie übernehmen", dort sollten es nicht die "Authentifizierten Benutzer" sein ...
Ich bin S-1-5-XXX-500, ich darf das ...

#8 pampersrocker

pampersrocker

    Member

  • 312 Beiträge

 

Geschrieben 16. März 2010 - 10:45

Kein Problem:

relevante Struktur:

Clients-OU mit diversen OUs darunter für die Standorte und zur Spezifikation der Clients. Die Richtlinie zur Aktivierung liegt direkt auf der Clients OU. Zusätzlich gibt es in den unteren OUs noch Richtlinien für den WSUS. Hier werden nur computerbezogene Einstellungen vorgenommen. Loopback ist jeweils nicht konfiguriert. Die Priorität liegt natürlich niedriger als die WSUS-Richtlinien, da diese ja in hierachisch niedrigeren OUs verknüpft sind.

Der letzte Satz im Edit macht mich stutzig. Wenn ich die Richtlinie auf "authentifizierte Benutzer" wirken lasse, ist dort natürlich auch klar "Gruppenrichtlinie übernehmen" angeklickt. Wirkt das explizite "verweigern", das ich über die zusätzliche Gruppe in der Delegierung (Sicherheitseinstellung) konfiguriere nicht? Ich war der Meinung, dass das restriktivere gewinnt - das wäre ja ein verweigern.

#9 NorbertFe

NorbertFe

    Expert Member

  • 30.605 Beiträge

 

Geschrieben 16. März 2010 - 10:55

Wirkt das explizite "verweigern", das ich über die zusätzliche Gruppe in der Delegierung (Sicherheitseinstellung) konfiguriere nicht?


Natürlich wirkt das. Wenn das bei dir nicht so ist, hast du irgendwas anderes "falchs" konfiguriert. ;)

Ich war der Meinung, dass das restriktivere gewinnt - das wäre ja ein verweigern.


Verweigern gewinnt auch nicht immer automatisch. ;)

Bye
Norbert

Make something i***-proof and they will build a better i***.


#10 NorbertFe

NorbertFe

    Expert Member

  • 30.605 Beiträge

 

Geschrieben 16. März 2010 - 10:56

Kein Problem:

relevante Struktur:


Ein Bild sagt mehr als 1000 Worte. Poste doch mal bitte einen Screenshot.

Bye
Norbert

Make something i***-proof and they will build a better i***.


#11 NorbertFe

NorbertFe

    Expert Member

  • 30.605 Beiträge

 

Geschrieben 16. März 2010 - 10:59

Andere Alternative:
Pack die 3 PCs in eine Unter-OU und definiere darauf gegensätzlich die unerwünschte Policy in einem neuen GPO. Ist sicher auch generell übersichtlicher. ;)

Bye
Norbert

Make something i***-proof and they will build a better i***.


#12 Darksun777

Darksun777

    Senior Member

  • 416 Beiträge

 

Geschrieben 16. März 2010 - 11:17

Mach dich doch mal zum Thema "Security Filtering" schlau und arbeite mit Gruppen.

Die Standard-Gruppen drinzulassen ist einfach grausam ;)

und Deny's sind mindestens genauso furchtbar!

#13 NorbertFe

NorbertFe

    Expert Member

  • 30.605 Beiträge

 

Geschrieben 16. März 2010 - 11:19

Mach dich doch mal zum Thema "Security Filtering" schlau und arbeite mit Gruppen.

Die Standard-Gruppen drinzulassen ist einfach grausam ;)

und Deny's sind mindestens genauso furchtbar!


Sicherheitsfilterung generell nicht mit den "Authentifizierten Usern" ist genauso "grausam", weils normalerweise vollkommen ok ist. Du willst mir jetzt nicht erklären, dass du alle deine GPOs per Security Filtering konfiguriert hast, oder? Arbeitest du noch mit Poledit?

Bye
Norbert

Make something i***-proof and they will build a better i***.


#14 pampersrocker

pampersrocker

    Member

  • 312 Beiträge

 

Geschrieben 16. März 2010 - 11:29

Ein Bild sagt mehr als 1000 Worte. Poste doch mal bitte einen Screenshot.

Bye
Norbert


Auch das ist kein Problem:

Eingefügtes Bild


Die Alternative mit den extra OUs finde ich nicht so schön. Ich würde das gerne über die Gruppe hinbekommen.

#15 Darksun777

Darksun777

    Senior Member

  • 416 Beiträge

 

Geschrieben 16. März 2010 - 11:37

Sicherheitsfilterung generell nicht mit den "Authentifizierten Usern" ist genauso "grausam", weils normalerweise vollkommen ok ist. Du willst mir jetzt nicht erklären, dass du alle deine GPOs per Security Filtering konfiguriert hast, oder? Arbeitest du noch mit Poledit?

Bye
Norbert


Alle GPO's die nicht auf alle User oder Computer wirken sollen, ja.
Das ist doch imho der einfachste und übersichtlichste Weg.
Deine Frage nach Poledit ignoriere ich mal :rolleyes: