IThome

Das ist richtig, beide könnten die Zeit ändern, wenn beiden das Benutzerrecht gewährt wird (wie auch immer man das tut). Du kannst es nur auf dem Computer einstellen, weil dieses Recht nur für diesen Computer gilt (in dem Benutzerrecht selbst stellst Du ein, für welchen Benutzer auf diesem Computer). Ein Benutzerrecht regelt, welche Aktionen jemand auf dem Computer ausführen kann (Zeit ändern, sich anmelden, Herunterfahren usw.), daher die Einstellung in der Computerkonfiguration. Jeder Computer, der vom GPO erreicht wird, wendet diese Einstellung nur für sich an.

Entweder über einen Regkey, der via Anmeldescript (via REG.EXE) verteilt wird und die Verwaltung ausblendet oder über ein benutzerdefiniertes Default User Profil, welches dem Benutzer bei der Erstanmeldung zugewiesen wird. Eventuell auch über ein verpflichtendes Profil. Ich weiss jetzt gar nicht, ob man auch ein benutzerdefiniertes Startmenü via Gruppenrichtlinie zuweisen kann ?!

Adressbuch, Signaturen, Eigene Dateien ...

Wenn wir bei Deinem Beispiel bleiben, ist es besser zu erklären. In der Computerkonfiguration stellst Du systemweite Einstellungen ein, die alle Benutzer dieses Computers betreffen. In der Benutzerkonfiguration stellst Du nur Dinge ein, die den einzelnen User betreffen. Du hast versucht, ein Benutzerrecht zuzuweisen. Dieses Benutzerrecht wird in der Computerkonfiguration definiert, weil es den Computer betrifft, auf den es angewendet wird. Letztlich sind es einzelne User oder Gruppen, auf die dieses Recht angewendet wird, es wird aber für den Computer eingestellt (also wer darf auf diesem Computer die Zeit verändern). Du hast Deine Richtlinie mit einer OU verknüpft, in der sich ein Benutzerkonto befindet, möchtest aber, dass für einen Computer ein bestimmtes Benutzerrecht eingestellt wird (auch wenn es für den User ist, der sich in dieser OU befindet). Es hat auf Domänenebene funktioniert, weil sich das Computerkonto in der Reichweite dieser Richtlinie befindet (wahrscheinlich im Container Computers), denn die Richtlinien werden nach "unten" vererbt und irgendwann kommt die Einstellung dann beim Container Computers an. Erstellst Du Dir eine OU, verschiebst das Computerkonto, an dem sich der Benutzer anmeldet und an dem er die Zeit ändern soll, in diese OU, verknüpfst das GPO hier, dann klappt das auch ... Also stellen Einstellungen in der Computerkonfiguration Dinge auf einem Computer ein, die für den gesamten Computer gelten und in der Benutzerkonfiguration, die für einen spezifischen Benutzer egal auf welchem Computer gelten (es gibt da noch Ausnahmen, aber so weit, so gut) ... Zum Thema Softwareverteilung ist der Unterschied (Software in der Computerkonfiguration kann nur zugewiesen werden, in der Benutzerkonfiguration zugewiesen und veröffentlicht) hier ganz gut erklärt Windows 2000 Software Installation and Maintenance Step-by-Step Guide

Nochmal zusammenfassend (da hätte ich mich fast selbst verzettelt :D ) 1 GPO : Computerkonfiguration - Loopbackeinstellung Benutzerkonfiguration - Einschränkungen für alle User Sicherheit - Auth. Ben. Lesen und Gruppenrichtlinie übernehmen, Dom-Admins Gruppenrichtlinie übernehmen verweigern 2 GPO : Benutzerkonfiguration - Einstellung nur für Admins Sicherheit - kein Haken bei Gruppenrichtlinien übernehmen für Auth.-Ben., aber für Dom.Admins oder mit 3 GPOs 1 GPO: Computerkonfiguration - Loopbackeinstellung Sicherheit - Standard 2. GPO Benutzerkonfiguration - Einstellungen nur für Benutzer Sicherheit - Standard , nur Gruppenrichtlinie übernehmen verweigern für Dom.-Admins 3. GPO Benutzerkonfiguration - Einstellungen nur für Admins Sicherheit - Auth.Ben. entweder raus oder Haken bei Gruppenrichtlinie übernehmen entfernen, Haken setzen bei Domänenadmins Willst Du, dass nur eine bestimmte Gruppe (z.B. eine Teilmenge Deiner Benutzer) Richtlinien übernimmt, wenn sie sich am TS anmeldet, dann erzeugst Du Dir eine Gruppe und fügst ihr die entsprechenden Benutzer zu. Dann erzeugst Du ein GPO, in dem Du die Loopbackeinstellung vornimmst und stellst alle Einschränkungen in der Benutzerkonfiguration ein. In der Sicherheit des GPOs entfernst Du entweder Auth. Benutzer oder entfernst für diese Gruppe den Haken Gruppenrichtlinie übernehmen. Dann fügst Du die die erstellte Gruppe und das Computerkonto des TS zu und gibst beiden die Berechtigung Lesen und Gruppenrichtlinie übernehmen. Die Verweigerung Gruppenrichtlinie übernehmen für Domänenadmins benötigst Du nicht, da sie sich nicht in der erstellten Gruppe befinden und per Default die Richtlinien nicht übernehmen (in diesem Fall existiert nur ein GPO). Ach übrigens: Hirgelzwifts #22 hätte gereicht, da Du ja schon ein Loopback-GPO hattest. Ich bin fälschlicherweise von nur einem GPO ausgegangen, was den Zweck verfehlt hätte ... :rolleyes:

Genau, bei Authentifizierten Benutzern Gruppenrichtlinie übernehmen entfernen und bei den Doänenadmins setzen, Loopback ist ja durch die andere Richtlinie schon aktiv ...

Ist der User normaler Benutzer oder in welchen Gruppen ist er ?

Jep, okay, dann wäre das ja jetzt auch geklärt. :) @TO also entweder mehrere GPOs (so wie bei Hirgelzwift), dann reicht zumindest für den Benutzerteil, dass die Domänenadmins Gruppenrichtlinien übernehmen bekommen und den Authentifizierten Benutzern diese Berechtigung entzogen (nicht verweigert) wird. In einem separaten GPO ist dann nur die Loopbackverarbeitung eingeschaltet und das Computerkonto des TS muss diese Richtlinie übernehmen (entweder direkt oder durch Mitgliedschaft einer Gruppe, z.B. die Authentifizierten Benutzer). Hast Du nur ein GPO und willst, dass nur die Domänenadmins übernehmen, entfernst Du die Authentifizierten Benutzer, setzt bei den Domänenadmins Gruppenrichtlinie übernehmen und fügst das Computerkonto des TS zu und gibst ihm Lesen und Gruppenrichtlinie übernehmen (Du hast aber mindestens zwei, also reicht beim Admin-GPO den Auth. Benutzern den Haken zu entfernen und bei den Admins zu setzen, Loopback ist ja schon aktiv durch das andere GPO) ... Eigentlich war das Thema für den TO ja schon erledigt, naja, dann war es eben ein kleiner Ausflug in die Gruppenrichtlinien ... :D edit: hast aber recht, #29 hätte ich mir sparen können, war schon alles Wichtige geschrieben ... :)

Es muss nur eine Richtlinie vorhanden sein, die den TS in den Loopbackverarbeitungsmodus versetzt. Diese Richtlinie muss so konfiguriert sein, dass der TS sie auch übernimmt. In dieser Richtlinie müssen keine Benutzereinstellungen vorhanden sein. Die Richtlinien, in denen die Benutzereinstellungen konfiguriert werden, müssen den TS aber erreichen (er ist ja bereits durch die zuerst ausgeführte Richtlinie, in der im Computerteil konfiguriert wurde, im Loopbackverarbeitungsmodus). Und genau das ist bei Dir der Fall. Der TS übernimmt die Einstellungen im Loopback-GPO und wird in diesen Modus versetzt. Dann werden die GPOs angewendet, die für den Benutzer gelten (der TS ersetzt die üblicherweise geltenden Richtlinien). Wird der TS nicht in den Loopbackmodus versetzt, weil er z.B. nicht die Berechtigung hat, das Loopback GPO zu übernehmen, gelten auch die Benutzereinstellungen nicht. Sie gelten nur dann, wenn der TS entweder im Loopbackverarbeitungsmodus ist oder sich in der Reichweite dieser GPOs Benutzerobjekte befinden (beides wäre nicht der Fall, wenn das Computerkonto, ob direkt oder durch die Mitgliedschaft in einer Gruppe, die Richtlinie nicht übernimmt) ... Darauf habe ich mich eigentlich bezogen, denn das alleine reicht nicht. Bei Dir ist es anders, da durch ein anderes GPO der TS in den Loopbackmodus versetzt wird.

Die Loopbackeinstellung muss übernommen werden. Wird sie nicht übernommen (das Computerkonto hat nicht die Berechtigungen Gruppenrichtlinie übernehmen), gelten auch die zu ersetzenden (falls Loopback auf Ersetzen steht) Benutzereinstellungen nicht. Bei Dir wird ja offensichtlich die Loopbackverarbeitung angewendet, also wird auch ersetzt ... :) edit: wo sind denn diese GPOs gelinkt ?

Wenn sie nicht anwenden dürfen, wendet der TS auch die Loopbackeinstellung nicht an. Wenn er die nicht anwendet, werden die Benutzerrichtlinien genauso wenig angewendet, da sich in der Reichweite der Richtlinie keine Benutzerkonten befinden ...

Dann wird es aber nicht klappen, ausser, das Computerkonto des TS wird noch zugefügt ...

Im Grunde korrekt, habe das aber auch nochmal gemacht. Interne Domäne test.local, es existiert also eine AD-Zone test.local, zusätzlich eine Zone "www.avm.de", so eingerichtet, wie Du es getan hast. In dieser Zone einen Host ohne Namen angelegt und ihm die IP-Adresse des Servers gegeben. Bei Aufruf von "www.avm.de" wird die Webseite des Servers geladen ...

Das vom TS. Vom DC nur dann, wenn es ein Default User im NETLOGON-Share gibt (welches dann auch für alle User gelten würde, die sich irgendwo das erste Mal anmelden)

Wozu für die Admins eine Richtlinie erstellen, die sollen verwalten können ...

Das Thema ist sehr komplex, das versteht man nicht von jetzt auf gleich ... :)

Der Gruppe Authentifizierte Benutzer sind die Berechtigungen Lesen und Gruppenrichtlinie übernehmen gewährt. Der Administrator ist Mitglied dieser Gruppe, das Computerkonto auch. Da es sich um eine Loopbackrichtlinie handelt, wird diese Einstellung in der Computerkonfiguration vorgenommen. Damit eine Computerrichtlinie übernommen werden kann, muss sich das entsprechende Computerkonto in Reichweite der Richtlinie befinden und es muss die Berechtigung Lesen und Gruppenrichtlinie übernehmen auf das Richtlinienobjekt besitzen. Wenn Du jetzt der Gruppe Authentifizierte Benutzer diese Berechtigung verweigerst, verweigerst Du es einmal auch den Domänenadmins (Mitglieder dieser Gruppe sind auch Mitglieder der Authentifizierten Benutzer und übernehmen den Benutzerteil der Loopbackrichtlinie) und auch dem Computerkonto (es wendet die Loopbackeinstellung in der Computerkonfiguration an). Es wird also überhaupt nichts angewendet. Wenn Du möchtest, dass nur die Domänenadmins den Benutzerteil der Loopbackrichtlinie verarbeiten, musst Du als erstes die Loopbackeinstellung anwenden. Also muss das Computerkonto des TS die Berechtigung Lesen und Gruppenrichtlinie übernehmen bekommen. Da die Domänenadmis den Benutzerteil einer Loopbackrichtlinie anwenden sollen, müssen diese ebenfalls die Berechtigung Lesen und Gruppenrichtlinie übernehmen haben. Da Du aber die Authentifizierten Benutzer aus der Sicherheitseinstellung entfernen musst (sonst würden ja wieder alle diese Richtlinie anwenden), hat niemand mehr die Berechtigung Gruppenrichtlinie übernehmen und deswegen fügst Du das Computerkonto zu und gibst dem Computerkonto und der Gruppe Domänenadmins die Berechtigung Lesen und Gruppenrichtlinie übernehmen ...

Hast Du denn testweise an einem Client schon mal den Spamfighter abgeschaltet ?

Lass in der Firewall nur die Webports zu diesem Server durch oder kauf die Web-Edition ...

Nene, das ist okay so, wenn Du dem richtigen Domänenbenutzer die Berechtigung gibst, das Profil zu benutzen. Man sollte, wenn es geht, nicht ein Profil via Explorer kopieren ...

Finde ich gar nicht, mir ist die 291 leicht gefallen, die 293 habe ich beim ersten Mal vergeigt. Es liegt also im Auge des Betrachters ...

Nein, natürlich nicht, die Admins sind auch Authentifizierte Benutzer, das Computerkonto des TS ebenfalls (ich gehe davon aus, dass Du von dem Loopback-GPO sprichst). Du entfernst die Gruppe komplett, fügst das Computerkonto des TS und die Domänen-Admins zu, beide mit der Berechtigung Lesen und Gruppenrichtlinie übernehmen (die Domänen-Admins stehen da doch schon drin) ...

Gruppe Test ist eine Untergruppe der Domäne ? Meinst Du, dass Test eine OU ist ? Wenn es so ist, musst Du in Test Deine Computerkonten verschieben und eine Richtlinie mit Test verknüpfen, die dieses Benutzerrecht einstellt. Lösche NICHT die Default Domain Policy !

Wie kopierst Du das Profil, mit dem Explorer ? Dafür gibt es in den Eigenschaften des Arbeitsplatzes - Erweitert - Benutzerprofile eine Möglichkeit, auch Berechtigungen auf das Profil zu setzen (das ist der Weg, der für solch eine Aktion vorgesehen ist) ...

Wieso eigentlich GPEDIT auf dem DC ? Damit bearbeitest Du dessen lokale Policy. Das ist ein Benutzerrecht, deswegen müssen sich in der OU, in der Du diese Richtlinie anwendest, Computerkonten befinden und keine Benutzerkonten (schliesslich bearbeitest Du ja auch die Computerkonfiguration) ... Mit RSOP.MSC oder GPRESULT kannst Du prüfen, welche Richtlinien angewendet werden