Rocknar
-
Gesamte Inhalte
141 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von Rocknar
-
-
Hallo Leute,
vielleicht bin ich ein wenig Begriffsstutzig oder mir fehlt einfach der sichere Umgang mit GPOs aber irgendwie will es nicht so wie ich möchte....
Was ich jetzt gemacht habe:
Einen User erstellt:
GpoTest
Zwei Gruppen erstellt
GpoTestUser
GpoTestComputer
Den GpoTest User in die Gruppe GpoTestUser gepackt.
Einen PC auf dem die GPO angewendet werden soll in die Gruppe GpoTestComputer gepackt
Beide Gruppen in eine OU gepackt und die GPO mit der OU Verknüpft.
In der Sicherheitsfilterung der GPO die beiden Gruppen hinzugefügt.
Unter Delegierung haben beide Gruppen Lesen und GPO anwenden.
Wenn ich mich nun mit dem User an dem Rechner anmelde, wird die GPO nicht angewendet. Wenn ich ein Gruppenrichtlinienergebnis ausführe dann seh ich die GPO weder unter angewendete oder Abgelehnte GPOs.
Kann mir jemand einen Tipp geben an was das liegen kann.
Ich will nicht nerven oder ähnliches. Aber lernen möchte ich es ja schon.
Vielen Dank
Rocknar
-
Alles klar! Dann teste ich das mal.
Vielen Dank für eure Hilfe.
Gruß
Rocknar
-
Sorry dein Text falsch verstanden... Deine Aussage ist nicht falsch.
Die Anforderung ist folgende.
Es soll bei den PCs (Win7) aus dem Startmenü und aus dem Anmeldescreen "Herunterfahren entfernt werden.
Das hat damit zutun das die Rechner Virtuelle Maschinen sind und vom User nicht Heruntergefahren werden sollen. Neustart wäre ok.
Was ich herausgefunden habe, ist das Herunterfahren im Startmenü eine Benutzereinstellung ist, und im Anmeldescreen eine Computereinstellung.
Problem an der Geschichte ist das, einige User einen Laptop und PC haben. Den Laptop sollen die User weiterhin Herunterfahren können den PC halt nicht.
Die Frage ist bekomme ich das mit einer GPO hin? oder gibt es einen anderen Weg?
Viele Grüße
Rocknar
-
Die Computerkonten in einer Gruppe zu packen ist natürlich sinnvoll und eine gute Idee. Allerdings hilft das in diesem Fall nicht viel da die Benutzer teilweise zwei Geräte benutzen ein Lappi und ein PC. Wenn ich jetzt die Benutze einbau dann betrifft es auch beide Rechner und es soll nur den PC betreffen.
Die AD-Struktur dementsprechend anzupassen ist nicht bzw. schwer möglich. Ich bin erst paar Tage in der Firma und die AD-Struktur ist über lange Zeit gewachsen und an eher am ERP angepasst als an irgendwelche Richtlinien.
Alles nicht so einfach wie ich feststellen muss.
Viele Grüße
Rocknar
-
Hallo zusammen,
wenn ich eine GPO erstelle in der ich Einstellungen in der Benutzerkonfiguration und Computerkonfiguration vornehme, es aber nur auf einigen Computern unabhängig vom Benutzer angewendet werden soll, wie geh ich da am besten vor?
Aufgrund der AD Struktur ist es nicht gewünscht die Computer in andere OUs zu verschieben. Einige User benutzen einen PC und ein Laptop so das ich das nicht am USer alleine festmachen kann. Die Richtlinie soll nur auf die PCs angewendet werden.
Ich kann in der Sicherheitsfilterung Authentifizierte Benutzer entfernen und die Computerkonten hinzufügen. Wie bekomme ich es in dieser Konstellation hin, das die Computer auch die Benutzereinstellung anwenden?
Geht das über die Loopback Funktion?
Viele Grüße und vielen Dank für eure Hilfe
Rocknar
-
Hallo und vielen dank für die Antwort.
Dann werde ich mir mal das Thema mit GPO anschauen.
-
Hallo Leute,
ich seh im Moment nicht Wald vor lauter Bäume......
Wir haben noch einige W7 Clients, die nicht heruntergefahren werden dürfen, da es VMs sind. Neustart ist ok.
Nun hab ich mir die passenden Regkeys raus gesucht aber es funktioniert nicht so wie ich das möchte....
Was passieren soll:
Im Anmeldescreen soll die Option Herunterfahren ausgeblendet werden.
Im Startmenü soll Herunterfahren ausgeblendet werden.
Was ich bisher probiert habe.
[für das System (alle Anwender)]
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
oder als Policies[für den Anwender]
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
setzen Sie den Wert "ShutdownWithoutLogon" als Datentyp REG_SZ auf "1".
Wenn Sie den Eintrag auf "0" setzen, können Sie "Herunterfahren" auch auf der Workstation ausblenden
Funktioniert überhaupt nicht.....
[für den Anwender]
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
[für das System (alle Anwender)]
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
Erstellen Sie hier einen neuen Wert mit dem Namen "NoClose" als Datentyp REG_DWORD. Setzen Sie den Wert auf:
1
Eintrag wird nicht angezeigt
gelöscht
Eintrag wird angezeigt (Standard)
Funktioniert im Startmenü soweit das nur noch Abmelden, Benutzer wechseln, Sperren vorhanden ist. Neustart wäre toll....
Allerdings gab es den Schlüssel Explorer nicht. Den hab ich erstellt mit dem Datentyp.
Hat jemand noch eine Idee?
Bin für jede Hilfe dankbar.
Viele Grüße
Rocknar
-
Hallo,
vielen dank für eure Antworten.
@Testperson
Userkonto wurde abgemeldet und neu angemeldet. Pc wurde neugestartet. GPupdate wurde auch durchgeführt.
Das einzige was wirklich zum Erfolg führte war das hinzufügen des Rechnerkontos
-
Alles klar.
Das hinzufügen des Rechners in die Berechtigung hat dann den gewünschten Effekt gebracht.
Danke dafür!
-
Hallo Tesso,
danke für den Tipp. Ich werde das gleich mal testen. Aber ist denn nicht genau dafür die Loopbackverarbeitung da?
-
Hallo zusammen,
ich habe das Thema GPO von einem Kollegen übernommen der das Unternehmen verlassen hat. Nun bin ich nicht so fit in der Materie und hätte da ein Problem.
Es gibt eine GPO die verhindern soll das der User seinen PC herunterfahren kann.
Es wurde folgendes Eingestellt:
Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie konfigurieren: Aktiviert
Befehle "Herunterfahren", "Neu starten", "Energie sparen" und "Ruhezustand" entfernen und Zugriff darauf verweigern: Aktiviert
Die User die die Einstellung treffen soll, sind in einer speziellen Gruppe (NoShutdown)
Bereich:
Die GPO ist mit der OU verknüpft, in der die PCs liegen.
In dem Feld Sicherheitsfilterung ist die Gruppe NoShutdown eingetragen
Delegierung:
Authentifizierte Benutzer: Lesen
Dom Admin: Bearbeiten, löschen, Sicherheit ändern
DomControler: Lesen
NoShutdown: Lesen (durch Sicherheitsfilter)
Orga Admins: Bearbeiten, löschen, Sicherheit ändern
System: Bearbeiten, löschen, Sicherheit ändern
Unter Erweiterte Sicherheitseinstellungen hat die Gruppe NoShutdown die Berechtigung lesen und GPO übernehmen.
Dummerweise wird die GPO abgelehnt mit dem Hinweis Zugriff verweigert (Sicherheitsfilterung)
An welcher Stelle könnte denn wohl noch eine Sicherheitsfilterung sein, die die Anwendung der GPO verhindert?
Für eure Hilfe und Tipps bin ich sehr dankbar.
Viele Grüße
-
Hallo,
das Problem ist das die Drucker aus der Ansicht Geräte und Drucker verschwinden. Die User legen darüber ihren Standarddrucker fest. Für uns ist das nicht so ein Problem für die User schon...
-
Hallo zusammen,
wir haben aktuell das Problem, das Drucker die per GPO gemappt werden in der Ansicht Geräte und Drucker verschwinden.
In der Klassischen Druckansicht zb. in einem Word Dokument sind die Drucker aber noch vorhanden.
Die User arbeiten auf unserer 2012R2 Terminal Server Farm.
Dieses Problem tritt immer mal wieder auf. Zuletzt haben wir bei den betroffenen Usern das Profil erneuert. Das hat manchmal geholfen manchmal aber auch nicht.
Vor ca. 3 Monaten hatten wir das Problem schon einmal. Wir haben dann die Profile erneuert was aber eher eine Verzweiflungstat war. Bei dem ein oder anderen hat es was gebracht aber es war nicht die Lösung für alle.
Auch ein manuelles Mappen der Drucker hat nicht geholfen. Das Mapping eines Drucker hat zwar funktioniert aber der Drucker taucht unter Geräte und Drucker nicht auf.
Ein neustart der Druckerspoolers bzw. ein neustart des Servers hat manchmal geholfen manchmal aber auch nicht.
Hat von euch noch jemand eine Idee?
Viele Dank und beste Grüße
Markus
-
Hallo zusammen,
einer unserer Druckerserver läuft unter Win2008R2 die dort angesiedelten Xerox Drucker werden über einen Global Print Driver gesteuert. Nun wurden in einigen Niederlassungen die älteren Drucker gegen neuer Modelle getauscht. Dabei kam es zu komischen Druckeffekten " Zeilenabstand passte zb. nicht" Der Xerox Techniker vor Ort meinte das der Treiber dann doch zu alt wäre und wir einen aktuelleren einsetzen müssten. Der neue Global Treiber ist allerdings ein V4 Treiber der unter 2008 nicht mehr läuft. Ich habe dann einen 2012R2 aufgesetzt und zum test den neuen Treiber installiert.
Soweit so gut das Druckbild zumindest was den Text angeht sieht gut aus. Allerdings ist die Kopf und Fußzeile nicht in Ordnung. Soll heißen aus unserer Warenwirtschaft (Selbstgecodet) wird der Druck generiert und für die Kopf und Fußzeile ist ein .bmp hinterlegt. Dieses wird aber falsch gedruckt. Als wenn man mehrere Strichcodes übereinander legt.
Mir ist folgendes aufgefallen. Auf dem Druckserver habe ich in den Druckerobjekt definiert das der Xerox Global Print Driver V4 PS benutzt werden soll. Wenn ich mir die Geschichte nun auf dem Terminalserver anschaue sehe ich das beim User der "Microsoft enhanced Point and Print compatibility driver" benutzt wird obwohl bei beim hinzufügen des Druckers angegeben wird, das der Drucker mit dem Xerox Treiber installiert worden ist.
Ich gehe davon aus das daher der Druckfehler kommt. Die Frage ist wie stelle ich das um? Ich für mich selber könnte das machen da ich Adminrechte habe. Der User kann es halt nicht und ist auch nicht Zielführen das der User da Einstellung vornimmt.
Ich hoffe es ist nicht zu wirsch geschrieben und es kann mir jemand einen Tipp geben.
Viele dank im Vorraus
Gruß
Markus
Verständnis Frage GPO
in Windows Server Forum
Geschrieben
@Sunny61
Alles klar viele dank!
Ich merke schon das ich noch viel zu lernen habe.
Danke für die Hilfe.