ogle

Frage beantwortet! Vielen Dank für die Background-Infos :-)

Ah ok, jetzt ist es klar - vielen Dank! :)

Warum muss man das auf Domänenebene definieren? Und filtern sollte doch funktionieren indem man die Clients in verschiedene OUs aufteilt und die Richtlinie nur auf gewünschte OUs anwendet? So lässt sich zwar nicht nach Benutzer aber nach Clients filtern auf die die Richtlinie angewendet werden soll. Und genau da kommt dann meine Frage ins Spiel: Was passiert wenn sich ein Benutzer mit einem abgelaufen Kennwort an einem Client anmeldet auf den keine Richtlinie wirkt dass Kennworter ablaufen können. Oder habe ich bei der Sache irgendwo einen Denkfehler drin?

Weil man damit automatisch eine Gruppe hätte in der alle eingeschränkten Benutzer enthalten sind und man somit entsprechende Richtlinien darauf anwenden könnte. Natürlich nur wenn man die Administratoren aus der Gruppe entfernen kann ohne dass das systemweite Auswirkungen hat.

Ok, das beantwortet Frage eins - danke! :) Und Frage zwei?

Ja, aber wozu? Dadurch dass die Richtlinie ja sowieso bei jedem Login angewendet wird ist das ja nichts anderes als "/persistent:yes"?

Na ja, z. B. habe ich aktuell bei Netzlaufwerke die über Gruppenrichtlinien gemappt werden das Problem, dass diese eben NUR dann gemappt werden wenn bei der Sicherheitsfilterung auch die Clients aufgelistet sind bei denen sich die Benutzer anmelden und die Netzlaufwerke aus der Richtlinien gemappt werden sollen. Und in dem Fall handelt es sich ausschließlich um Benutzerkonfigurationen. Wie muss man sich dann das erklären?

Moin, wozu dient die Option "Verbindung wiederherstellen" bei Netzlaufwerke die über Gruppenrichtlinien gemappt werden? Die konfigurierten Netzlaufwerke werden ja sowieso bei jedem Login erneut verbunden wenn die Richtlinie ausgeführt wird?

Moin, wird beim AppLocker bis auf die zugelassenen bzw. verweigerten Regeln alles andere automatisch erlaubt oder verweigert? Kann man diese Arbeitsweise umstellen?

Na ja, z. B. habe ich aktuell bei Netzlaufwerke die über Gruppenrichtlinien gemappt werden das Problem, dass diese eben NUR dann gemappt werden wenn bei der Sicherheitsfilterung auch die Clients aufgelistet sind bei denen sich die Benutzer anmelden und die Netzlaufwerke aus der Richtlinien gemappt werden sollen. Und in dem Fall handelt es sich ausschließlich um Benutzerkonfigurationen. Wie muss man sich dann das erklären?

Ok, das heißt dann also, dass in einer Gruppenrichtlinie in welcher ausschließlich Computerkonfigurationen definiert sind bei der Sicherheitsfilterung auch nur die Computer und KEINE Benutzer ausgewählt werden müssen auf welche die Richtlinie angewendet werden soll?

Ok, angenommen man hat nun eine einzige Richtlinie mit der Einstellung "Maximales Kennwortalter" definiert und diese ausschließlich mit der OU-1 verknüpft. Wenn sich nun ein Benutzer an einem Rechner aus der OU-1 anmeldet und sein Kennwort bereits abgelaufen ist dann muss er sein Kennwort logischerweise ändern bevor er sich anmelden kann. Was passiert nun aber wenn er sich an einem Rechner aus der OU-2 anmeldet und sein Kennwort bereits ebenfalls abgelaufen ist?

Moin, welche Einstellung hat Vorrang, die Option "Kennwort läuft nie ab" im Benutzerkonto, oder eine aktivierte Gruppenrichtlinie mit der Einstellung "Maximales Kennwortalter"? Kann man die Priorität irgendwie beeinflussen? LG

Da habe ich andere Erfahrungen gemacht, denn mit aktivierter UAC können die Benutzer z. B. nicht auf den Server Manager zugreifen ohne dass ein Authentifizierungs-Prompt erscheint. Bei deaktivierter UAC öffnet sich der Server Manager problemlos. Klar können die Benutzer dann trotzdem nichts konfigurieren, aber ich möchte trotzdem nicht, dass er sich ohne Authentifizierungs-Prompt öffnet. Berechtigungen worauf? Auf den Profilpfad haben sie ja bereits die entsprechenden NTFS-Berechtigungen.

Moin, warum greift eine definierte Richtlinie in der Computerkonfiguration für Admins obwohl bei Sicherheitsfilterung nur bestimmte Benutzer ausgewählt sind und bei Delegierung sogar die Berechtigung "Gruppenrichtlinie übernehmen" für Admins auf verweigern steht? GRuß