Superstruppi 13 Posted November 20, 2007 Report Share Posted November 20, 2007 System: Windows 2003 Domäne pur Frage 1: Wie kann ich bestimmte Benutzer u. Gruppen von der Anwendung übergeordneter Gruppenrichtlinien ausschließen? Über Rechteeinstellungen? Wie? Frage 2: Wie kann ich ein anderes Logon-Skript per Gruppenrichtlinie für einen bestimmten (!) Terminalserver auf Benutzer u. Gruppen anwenden? Per Loopback-Modus: "Ersetzen"? Für eine kurze Klärung würde ich mich sehr freuen! Besten Dank u. viele Grüße, Mario. Quote Link to comment
IThome 10 Posted November 20, 2007 Report Share Posted November 20, 2007 Zu 1: In dem Du die Richtlinie so sicherheitsfilterst, dass die auszuschliessenden Benutzer die Gruppenrichtlinie nicht übernehmen dürfen. Das übergeordnete GPO hat also in seiner Sicherheitsfilterung nur die Benutzer oder Gruppen stehen, die die Richtlinie übernehmen dürfen. Das hat dann nichts mehr mit Weitervererbung der Richtlinieneinstellungen nach unten zu tun. Zu 2: Das machst Du ebenfalls mit der Sicherheitsfilterung. Du aktivierst die Loopbackverarbeitung auf der OU, in der sich die Terminalserver befinden. Dann erzeugst Du mindestens 2 GPOs in denen Du die verschiedenen GPO-Anmeldescripts definierst. Die verschiedenen GPOs werden dann unterschiedlich sicherheitsgefiltert und in die OU der Terminalserver gelinkt. Quote Link to comment
Superstruppi 13 Posted November 20, 2007 Author Report Share Posted November 20, 2007 Besten Dank! Geht das im GPM über die 4. Registerkarte "Deligierung" der Gruppenrichtlinie, indem ich einen Benutzer od. Gruppe hinzufüge u. dann über Erweitert das Hakerl "Gruppenrichtlinie übernehmen"=Zulassen wegnehme oder muss ich das Hakerl bei Verweigern setzen? Quote Link to comment
IThome 10 Posted November 20, 2007 Report Share Posted November 20, 2007 Ja genau, über die Delegierung. Ich verweigere die Berechtigung. Vergiss aber nicht, dass die Admins und die Terminalserver auch die Berechtigung Gruppenrichtlinie lesen benötigen ... Quote Link to comment
Superstruppi 13 Posted November 20, 2007 Author Report Share Posted November 20, 2007 Zu 2: Das machst Du ebenfalls mit der Sicherheitsfilterung. Du aktivierst die Loopbackverarbeitung auf der OU, in der sich die Terminalserver befinden. Dann erzeugst Du mindestens 2 GPOs in denen Du die verschiedenen GPO-Anmeldescripts definierst. Die verschiedenen GPOs werden dann unterschiedlich sicherheitsgefiltert und in die OU der Terminalserver gelinkt. aktiviere ich die loopbackverarbeitung nicht jeweils für die aktuelle gpo? oder gilt das tatsächlich für alle - in der OU befindlichen - gpos? Quote Link to comment
IThome 10 Posted November 20, 2007 Report Share Posted November 20, 2007 Für alle Computer, die sich in Reichweite der Richtlinie befinden ... Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.