Zum Inhalt wechseln


Foto

Gruppenrichtlinien - bestimmte Computer ausschließen


  • Bitte melde dich an um zu Antworten
30 Antworten in diesem Thema

#16 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 16. März 2010 - 11:38

Das Problem ist, dass du den Loop Backmodus in dem GPO aktivierst. Wenn du die Übernahme jetzt verhinderst, ist der auch aus. Du wirst um ein zweites GPO nicht herumkommen. Ich würde folgendes tun:
Domain
|
|-OU-Computer
    - 1 GPO Loopback aktivieren (nicht gefiltert sondern für alle Computer in der OU)
    - 2 GPO mit den Einstellungen für alle Computer
    - 3 GPO mit den negierten Einstellungen für die 3 Computer aber mit höhrere Priorität als 2

Bye
Norbert

Make something i***-proof and they will build a better i***.


#17 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 16. März 2010 - 11:39

Alle GPO's die nicht auf alle User oder Computer wirken sollen, ja.
Das ist doch imho der einfachste und übersichtlichste Weg.


Das sieht sicher jeder anders. Ich persönlich entscheide das von Fall zu Fall (Fall=Kunde) ;)

Deine Frage nach Poledit ignoriere ich mal :rolleyes:


Warum? So pauschal wie du das geschrieben hast, ließ das die Vermutung zu. :p

Bye
Norbert

Make something i***-proof and they will build a better i***.


#18 pampersrocker

pampersrocker

    Member

  • 312 Beiträge

 

Geschrieben 16. März 2010 - 11:55

Was haltet ihr davon, wenn ich Loopback einfach deaktivere? Wird meiner Meinung ja nicht gebraucht. Ich denke, es wurde halt nur übernommen, da die meisten Richtlinien bei uns auf TS wirken sollen.

Ansonsten zum Verständnis muss ich Folgendes machen:

- 1.) GPO mit den negierten Einstellungen bauen
- 2.) Die entsprechenden Computerkonten der neuen GPO zuordnen
- 3.) Das neu gebaute GPO eine höhere Priorität als dem ursprünglichen GPO geben

#19 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 16. März 2010 - 12:07

Was haltet ihr davon, wenn ich Loopback einfach deaktivere? Wird meiner Meinung ja nicht gebraucht.


Das können wir dir nicht wirklich sagen, da wir deine Umgebung nicht kennen. ;)

Ich denke, es wurde halt nur übernommen, da die meisten Richtlinien bei uns auf TS wirken sollen.


Das solltest du schon wissen, und nicht nur annehmen. ;)


Ansonsten zum Verständnis muss ich Folgendes machen:

- 1.) GPO mit den negierten Einstellungen bauen


Ja.

- 2.) Die entsprechenden Computerkonten der neuen GPO zuordnen


Ja, wobei ich eine Gruppe nehmen würde und nicht die Konten direkt.

- 3.) Das neu gebaute GPO eine höhere Priorität als dem ursprünglichen GPO geben


Korrekt. Wenn es dir um den Screensaver geht, dann brauchst du aber den Loopback Modus, da das ne benutzereinstellung ist. ;) Und dann brauchst du auch 3 GPOs, oder mußt die Reihenfolge andersrum bauen. ;)

Bye
Norbert

Make something i***-proof and they will build a better i***.


#20 pampersrocker

pampersrocker

    Member

  • 312 Beiträge

 

Geschrieben 16. März 2010 - 13:16

Warum drei GPOs? Warum eigentlich ein GPO nur für den Loopback-Modus? So ganz sitzt das wohl doch noch nicht.. :-)

#21 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 16. März 2010 - 13:37

Probiers halt aus. ;)
Wenn du ein GPO hast, in der der LBVM aktiviert wird, und dessen Übernahme du drei PCs verweigerst, was haben diese drei PCs dann nicht aktiv? Richtig, den LBVM. Was soviel bedeutet wie? Deine Pcs werden die Screensaver Konfiguration ignorieren, da das eine Benutzerkonfiguration ist.

Bye
Norbert

Make something i***-proof and they will build a better i***.


#22 pampersrocker

pampersrocker

    Member

  • 312 Beiträge

 

Geschrieben 16. März 2010 - 14:39

Also ich habe Folgendes gemacht:

1.) GPO1 zur Deaktivierung des Screensavers bearbeitet und alle "deny" aktionen entfernt
2.) GPO2 mit anderen Screensaver Settings entworfen:
- LBVM aktiviert und auf merge
- alle Eigenschaften die in GPO1 auf "aktiviert" gesetzt wurden, sind jetzt "deaktiviert"
3.) Sicherheitsberechtigungen von GPO2 angepasst, so dass nur die Gruppe (Mitglieder sind die Computeraccounts) diese lesen darf.
4.) Rangfolge von GPO2 ist Position Nr. 3, GPO1 ist auf Position Nr. 4.


Fazit: LBVM ist aktiv auf "merge" (und wird sogar von GPO2 gezogen). D.h. die Priorität scheint zu stimmen. Screensaver Settings von GPO1 werden für alle Computer übernommen. *hmpf* Ich bin heute zu schwer von Begriff.. :-(

#23 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 16. März 2010 - 14:49

*hmpf* Ich bin heute zu schwer von Begriff.. :-(


Das erscheint mir auch so. Wieso versuchst du es nicht einfach mal so, wie ich sagte. ;)

Bye
Norbert

Make something i***-proof and they will build a better i***.


#24 pampersrocker

pampersrocker

    Member

  • 312 Beiträge

 

Geschrieben 16. März 2010 - 14:55

Ich frag jetzt einfach nochmal dumm nach. Wie genau sieht für dich die weiter oben genannte Negierung aus? :)

#25 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 16. März 2010 - 14:56

Kennst du das Terminalserver HowTo auf Gruppenrichtlinien - Übersicht, FAQ und Tutorials Im Endeffekt baust du es quasi genauso. Wenn das funktioniert, dann schauen wir weiter. ;)

Bye
Norbert

Make something i***-proof and they will build a better i***.


#26 pampersrocker

pampersrocker

    Member

  • 312 Beiträge

 

Geschrieben 16. März 2010 - 15:19

Hier laufen bereits Terminal Server, die so konfiguriert sind. Dort gibt es keine Probleme. Bei den Clientpcs schon. Das HowTo kenne ich übrigens auch, um deine Frage zu beantworten.

#27 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 16. März 2010 - 17:44

Was sprach jetzt nochmal gegen die Verwendung von 3 GPOs?

Bye
Norbert

Make something i***-proof and they will build a better i***.


#28 pampersrocker

pampersrocker

    Member

  • 312 Beiträge

 

Geschrieben 16. März 2010 - 18:58

Natürlich nichts. Ich habe das nochmals mit drei GPOs gebaut. Den LBVM (merge) alleine in eine Richtlinie gepackt und in die beiden anderen Richtlinien nur jeweils die grundsätzliche Aktivierung des Screensavers, bzw. das Deaktivieren des Screensavers. Wirkungsbereich für die Aktivierung war auf "authenticated users" und für die Deaktivierung auf "Gruppe mit Konten die das nicht haben sollen". Die Sicherheitseinstellungen waren jeweils auf "lesen" und "Gruppenrichtlinie übernehmen". Die Rangfolge habe ich in beiden Versionen getestet (LBVM immer an Position Nr. 1). So wie du es geschrieben hast - wenn ich dich richtig verstanden habe. Das Ergebnis brachte wieder keinen Erfolg.

Edit: Der Unterschied, den ich zur TS Konfiguration feststelle ist, dass dort in der Gruppe Usernamen eingetragen sind. (was ja auch Sinn macht) In der Testkonfiguration Computeraccounts.

#29 pampersrocker

pampersrocker

    Member

  • 312 Beiträge

 

Geschrieben 17. März 2010 - 15:32

Hat noch jemand eine Idee?

#30 Darksun777

Darksun777

    Senior Member

  • 416 Beiträge

 

Geschrieben 18. März 2010 - 13:04

Ja, poste doch mal einen aussagekräftigen Screenshot von deinem AD.
Auf diesem sollte man sehen WO sich WAS befindet und Du solltest evt. darin markieren, wo GPOs mit Loopback wirken etc.

Grundsätzlich würde ich bei deiner Aufgabenstellung mit Security Filtering auf GPO-Ebene arbeiten.