Jump to content
Sign in to follow this  
Viprex

Vererbung von Gruppenrichtlinien & Scope

Recommended Posts

Beispiel Standort:

 

Standort

-Computer

--Abteilung 1.00

---UnterOU 1.10

--Abteilung 2.00

-Benutzer

--Abteilung 1.01

---UnterOU 1.11

--Abteilung 2.01

 

Wenn ich eine Gruppenrichtlinie für Benutzereinstelllungen wie die Bildschirmschonereinstellungen habe und diese Richtlinie nur mit Abteilung 1.00 verknüpfe, ziehen die Richtlinien dann immer für den Benutzer, der sich an PC's aus Computer - Abteilung 1.00 anmeldet? Oder muss ich diese Richtlinie auch explizit für Benutzer - Abteilung 1.01 setzen, wenn dieses die Richtlinie befolgen sollen? Gibt es eine Möglichkeit, dies genau so zu regeln?

 

2. Frage: Kann ich verhindern, dass PC's aus UnterOU 2.00 die Richtlinien von Abteilung 1.00 übernehmen? Gleiche Frage gilt für den Benutzerteil.

Ich möchte also die Vererbung verhindern, ohne dafür extra ein gegenteiliges Richtlinienobjekt verknüpfen zu müssen (und dann z. B. mit "Richtlinienvererbung deaktivieren" arbeiten zu müssen).

Share this post


Link to post
Share on other sites

PCs bekommen _nur_ Computerrichtlinien.

User bekommen _nur_ Userrichtlinien.

 

Damit sollte deine Frage eigentlich beantwortet sein.

 

Gruss,

Martin

Share this post


Link to post
Share on other sites

Ja, so habe ich mir das bisher auch immer gedacht. Jetzt habe ich in einem anderen Forum aber gelesen, dass man das umbiegen kann. Ich zitiere mal:

 

"Du kannst diese Policy auch auf einer OU mit Computerkonten setzen, Du mußt lediglich in den Einstellungen angeben, welche Benutzergruppe sie ziehen soll."

 

Daher dachte ich, dass es vielleicht geht, zu sagen, dass eine Benutzerrichtlinie immer dann gelten soll, wenn sich der Benutzer an den PC anmeldet, für den das Richtlinienobjekt verknüpft ist (ich sage mit Absicht Richtlinienobjekt, da die Benutzerrichtlinie ja nicht für einen PC gelten kann, wie du ja schon gesagt hast).

 

So könnte man unterschiedliche Richtlinien wirken lassen, je nachdem, wo sich der Benutzer anmeldet. Das würde vieles einfacher machen.

 

Frage 2 ist damit aber leider nicht geklärt :) Hast du darauf vielleicht auch eine Antwort?

 

Jedenfalls schonmal vielen Dank für die schnelle Antwort.

Share this post


Link to post
Share on other sites

Das Stichwort ist für einen solchen Fall die "Loopbackverarbeitung". Diese Einstellung ermöglicht, dass Benutzerrichtlinien angewendet werden, wenn sie in Bereichen wirksam ist, in denen sich nur Computerobjekte befinden. Also eigentlich das, was Du willst ... sie wirken, wenn man sich an bestimmten Rechnern anmeldet (klassischer Fall:Terminalserver) ...

Zu Frage 2: Du kannst Richtlinien auch sicherheitsfiltern, was bedeutet, dass sie nicht für die per Default angegebenen "Authentifizierten Benutzer" gilt (das sind Benutzer- wie auch Computerojekte), sondern die Richtlinie ganz gezielt nur gewisse Gruppen oder Objekte erreicht.

Share this post


Link to post
Share on other sites

Vielen herzlichen Dank für die Auskunft. Das ist genau das, was ich hören wollte. Funktioniert perfekt. Klasse.

 

Jetzt habe ich aber noch eine kurze Frage:

man stelle sich vor, ich habe ein eine Richtlinie, die sowohl Computer- als auch Benutzerrichtlinien enthält. Loopbackverarbeitung ist aktiviert, die Richtlinie wurde nur Computerobjekten zugewiesen.

Es gibt jetzt aber einen Benutzer, für den diese Richtlinie nicht gelten soll. Wie kann ich diesen Benutzer rausfiltern?

 

Ich habe ihn in der GPO unter dem Reiter Delegierung eingetragen und den Haken bei "Gruppenrichtlinie übernehmen" (zu finden unter Erweitert) entfernt. Jetzt ist nur noch "Lesen" ausgewählt. Ein kurzer Test hat ergeben, dass die Richtlinie nach einem Neustart noch gezogen hat (was mich auch nicht wundert, denn die Computerrichtlinie galt ja noch für den Computer und es könnte sein, dass über die Loopbackrichtlinie die Benutzerrichtlinie dennoch für de Benutzer galt).

 

Was ist jetzt der einfachste Weg, bestimmte Benutzer von dieser Richtlinie auszuschließen?

Share this post


Link to post
Share on other sites

Das macht man so, wie Du es gemacht hast. Ich füge auch die Gruppe oder den Benutzer zu und setze explizit "Gruppenrichtlinie übernehmen - verweigern". Das gilt natürlich nur für Einstellungen, die auch im Benutzerteil der Richtlinie angewendet werden sollen ...

Share this post


Link to post
Share on other sites

Neues Problem:

Alte Situation: Benutzerrichtlinien wurden User direkt zugeordnet.

Neue Situation: Loopbackverarbeitungsmodus wurde eingeschaltet, die Benutzerrichtlinien werden jetzt über die Computer an die User weiter geleitet.

 

Einige User klagen darüber, dass die ehemals funktionierenden Einstellungen nicht mehr greifen (es geht hier um einen Bildschirmschoner).

 

Ich habe mir mal den RSOP angeguckt und zu dem PC und dem entsprechenden User habe ich auch eine Ausrufezeichen bei der Installation der FlashPlayerSoftware für den Bildschirmschoner.

 

Die Benutzereinstellungen werden aber dennoch korrekt angezeigt. Anbei mal ein Screenshot des Richtlinienergebnissatzes.

 

Kostenlos Bilder hochladen mit Hostpix Bilderhosting

Share this post


Link to post
Share on other sites

Nein, steht auf Ersetzen.

 

Die GPO bezieht sich nicht auf Terminalserver Clients, obwohl diese Clients teilweise Citrix Anwendungen laufen lassen. Meinst du, dass von da etwas anderes raufgeschoben wird? Es ist aber nichts derartiges in den GPO's konfiguriert, wir starten hier quasi gerade erst richtig durch mit AD und GPO.

Share this post


Link to post
Share on other sites

Wenn Du willst, dass die sonst angewendeten Richtlinien zusätzlich zu den per Loopbackverarbeitung angewendeten Richtlinien angewendet werden (die Loopbackrichtlinien haben Vorrang), dann musst Du auf "Zusammenführen" stellen.

Oder habe ich Dich da falsch verstanden ?

Share this post


Link to post
Share on other sites

Ja, da hast du mich falsch verstanden. In der alten Situation hatte ich eine Bilschirmschoner-GPO direkt den Benutzer OUs zugeordnet. Nachdem ich herausgefunden hatte, dass es den Loopbackmodus gibt, habe ich die Benutzer GPOs gelöscht und mit in die Computer GPO für den Bildschirmschoner geschrieben (dort wird der FlashPlayer installiert sowie die Dateien per Start Skript ins system32 Verzeichnis kopiert) und gleichzeitig in dieser GPO den Loopbackmodus aktiviert. Es sollten also eigentlich keine Änderungen bei den Benutzer zu sehen sein, denn sie bekommen die gleichen Richtlinien jetzt per Loopback aus der Computerkonfig draugeblasen.

 

Leider funktioniert das nicht bei allen. Es gibt mittlerweile mind. 2 Nutzer (mehr haben sich nicht gemeldet), bei denen der Bildschirmschoner jetzt nicht mehr aktiviert ist.

Share this post


Link to post
Share on other sites

Also ist die Richtlinie, in der die Loopbackverarbeitung in der Computerkonfiguration und der Bildschirmschoner in der Benutzerkonfiguration eingestellt ist, auf die OU gelinkt, in der sich die Computer (und nur Computerobjekte) befinden, an denen sich die Benutzer anmelden ? GPUPATE auf dem Client noch mal durchgeführt ?

Share this post


Link to post
Share on other sites
Also ist die Richtlinie, in der die Loopbackverarbeitung in der Computerkonfiguration und der Bildschirmschoner in der Benutzerkonfiguration eingestellt ist, auf die OU gelinkt, in der sich die Computer (und nur Computerobjekte) befinden, an denen sich die Benutzer anmelden ?

 

korrekt. Und genau das funktioniert bei 2 Clients nicht.

 

GPUPATE auf dem Client noch mal durchgeführt ?

nein. Der Rechner ist seitdem aber auch schon ein paar mal neu gestartet worden, sollte sich also die Richtlinie gezogen haben.

 

Ich habe auch noch nicht weiter testen können, ob es am Benutzer oder Computer liegt. Ich werde das morgen hoffentlich noch schaffen.

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...