Jump to content

GPO "Datenträger ausblenden"

groszmann

Von groszmann
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

IThome Grand Master

IThome   10

Geschrieben
Geschrieben

Der Gruppe Authentifizierte Benutzer sind die Berechtigungen Lesen und Gruppenrichtlinie übernehmen gewährt. Der Administrator ist Mitglied dieser Gruppe, das Computerkonto auch. Da es sich um eine Loopbackrichtlinie handelt, wird diese Einstellung in der Computerkonfiguration vorgenommen. Damit eine Computerrichtlinie übernommen werden kann, muss sich das entsprechende Computerkonto in Reichweite der Richtlinie befinden und es muss die Berechtigung Lesen und Gruppenrichtlinie übernehmen auf das Richtlinienobjekt besitzen. Wenn Du jetzt der Gruppe Authentifizierte Benutzer diese Berechtigung verweigerst, verweigerst Du es einmal auch den Domänenadmins (Mitglieder dieser Gruppe sind auch Mitglieder der Authentifizierten Benutzer und übernehmen den Benutzerteil der Loopbackrichtlinie) und auch dem Computerkonto (es wendet die Loopbackeinstellung in der Computerkonfiguration an). Es wird also überhaupt nichts angewendet. Wenn Du möchtest, dass nur die Domänenadmins den Benutzerteil der Loopbackrichtlinie verarbeiten, musst Du als erstes die Loopbackeinstellung anwenden. Also muss das Computerkonto des TS die Berechtigung Lesen und Gruppenrichtlinie übernehmen bekommen. Da die Domänenadmis den Benutzerteil einer Loopbackrichtlinie anwenden sollen, müssen diese ebenfalls die Berechtigung Lesen und Gruppenrichtlinie übernehmen haben. Da Du aber die Authentifizierten Benutzer aus der Sicherheitseinstellung entfernen musst (sonst würden ja wieder alle diese Richtlinie anwenden), hat niemand mehr die Berechtigung Gruppenrichtlinie übernehmen und deswegen fügst Du das Computerkonto zu und gibst dem Computerkonto und der Gruppe Domänenadmins die Berechtigung Lesen und Gruppenrichtlinie übernehmen ...

Link zu diesem Kommentar
Hirgelzwift

Hirgelzwift   10

Geschrieben
Geschrieben

kann schon vorkommen das die admins eine GPO brauchen die andere einstellungen macht wie für den rest der welt und eben nicht default sind. hab ich auch auf meinen TS :D

 

wie auch immer, GPO für admins erzeugen, bei authentifizierte benutzer den haken für anwenden raus aber nicht verweigern und für admins den haken anwenden setzen.

Link zu diesem Kommentar
Hirgelzwift

Hirgelzwift   10

Geschrieben
Geschrieben

also in meiner admin GPO ist keine loopback an. muss aber dazufügen das es eine GPO darüber gibt die für alle gilt in der der loopback an ist. rangfolge:

 

1 GPO Computer

2 GPO Admins (sicherheitsfilterung: nur admins anwenden)

3 GPO Benutzer (sicherheitsfilterung: admins anwenden verweigern)

4 GPO Alle (einzige mit Loopback, ersetzen)

 

alle GPO's werden sauber und zuverlässig gezogen und angewendet.

Link zu diesem Kommentar
IThome Grand Master

IThome   10

Geschrieben
Geschrieben

Die Loopbackeinstellung muss übernommen werden. Wird sie nicht übernommen (das Computerkonto hat nicht die Berechtigungen Gruppenrichtlinie übernehmen), gelten auch die zu ersetzenden (falls Loopback auf Ersetzen steht) Benutzereinstellungen nicht. Bei Dir wird ja offensichtlich die Loopbackverarbeitung angewendet, also wird auch ersetzt ... :)

edit: wo sind denn diese GPOs gelinkt ?

Link zu diesem Kommentar
Hirgelzwift

Hirgelzwift   10

Geschrieben
Geschrieben

ich verstehe jetzt um ehrlich zu sein nicht ganz was du meinst aber ich war früher auch der meinung das alle GPO's auf loopback stehen müssen, muss aber nicht. nur bei der ersten anzuwendenden GPO ist das quasi so. ich habe das gemerkt als ich meine W2K TS auf W2K3 TS umgestellt habe und das in einer komplett neuen OU mit komplett neuen GPO's abgebildet habe. wichtig ist sicher nur die rangfolge weil wohl erst wenn ersetzen gefunden wird ab dieser GPO ersetzt und dann alles was dannach folgt.

 

wäre es anders würde es ja in meiner doch recht weitverzweigten landschaft nicht funktionieren :D

 

edit: gelinkt sind sie natürlich nur auf die OU der TS

Link zu diesem Kommentar
IThome Grand Master

IThome   10

Geschrieben
Geschrieben

Es muss nur eine Richtlinie vorhanden sein, die den TS in den Loopbackverarbeitungsmodus versetzt. Diese Richtlinie muss so konfiguriert sein, dass der TS sie auch übernimmt. In dieser Richtlinie müssen keine Benutzereinstellungen vorhanden sein. Die Richtlinien, in denen die Benutzereinstellungen konfiguriert werden, müssen den TS aber erreichen (er ist ja bereits durch die zuerst ausgeführte Richtlinie, in der im Computerteil konfiguriert wurde, im Loopbackverarbeitungsmodus). Und genau das ist bei Dir der Fall. Der TS übernimmt die Einstellungen im Loopback-GPO und wird in diesen Modus versetzt. Dann werden die GPOs angewendet, die für den Benutzer gelten (der TS ersetzt die üblicherweise geltenden Richtlinien).

Wird der TS nicht in den Loopbackmodus versetzt, weil er z.B. nicht die Berechtigung hat, das Loopback GPO zu übernehmen, gelten auch die Benutzereinstellungen nicht. Sie gelten nur dann, wenn der TS entweder im Loopbackverarbeitungsmodus ist oder sich in der Reichweite dieser GPOs Benutzerobjekte befinden (beides wäre nicht der Fall, wenn das Computerkonto, ob direkt oder durch die Mitgliedschaft in einer Gruppe, die Richtlinie nicht übernimmt) ...

wie auch immer, GPO für admins erzeugen, bei authentifizierte benutzer den haken für anwenden raus aber nicht verweigern und für admins den haken anwenden setzen.

Darauf habe ich mich eigentlich bezogen, denn das alleine reicht nicht. Bei Dir ist es anders, da durch ein anderes GPO der TS in den Loopbackmodus versetzt wird.

Link zu diesem Kommentar
Hirgelzwift

Hirgelzwift   10

Geschrieben
Geschrieben

deswegen habe ich es hier klargestellt:

 

also in meiner admin GPO ist keine loopback an. muss aber dazufügen das es eine GPO darüber gibt die für alle gilt in der der loopback an ist. rangfolge:

 

1 GPO Computer

2 GPO Admins (sicherheitsfilterung: nur admins anwenden)

3 GPO Benutzer (sicherheitsfilterung: admins anwenden verweigern)

4 GPO Alle (einzige mit Loopback, ersetzen)

alle GPO's werden sauber und zuverlässig gezogen und angewendet.

 

http://www.mcseboard.de/post26-632549.html

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...