Jump to content

Vererbung von Gruppenrichtlinien & Scope


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Beispiel Standort:

 

Standort

-Computer

--Abteilung 1.00

---UnterOU 1.10

--Abteilung 2.00

-Benutzer

--Abteilung 1.01

---UnterOU 1.11

--Abteilung 2.01

 

Wenn ich eine Gruppenrichtlinie für Benutzereinstelllungen wie die Bildschirmschonereinstellungen habe und diese Richtlinie nur mit Abteilung 1.00 verknüpfe, ziehen die Richtlinien dann immer für den Benutzer, der sich an PC's aus Computer - Abteilung 1.00 anmeldet? Oder muss ich diese Richtlinie auch explizit für Benutzer - Abteilung 1.01 setzen, wenn dieses die Richtlinie befolgen sollen? Gibt es eine Möglichkeit, dies genau so zu regeln?

 

2. Frage: Kann ich verhindern, dass PC's aus UnterOU 2.00 die Richtlinien von Abteilung 1.00 übernehmen? Gleiche Frage gilt für den Benutzerteil.

Ich möchte also die Vererbung verhindern, ohne dafür extra ein gegenteiliges Richtlinienobjekt verknüpfen zu müssen (und dann z. B. mit "Richtlinienvererbung deaktivieren" arbeiten zu müssen).

Link zu diesem Kommentar

Ja, so habe ich mir das bisher auch immer gedacht. Jetzt habe ich in einem anderen Forum aber gelesen, dass man das umbiegen kann. Ich zitiere mal:

 

"Du kannst diese Policy auch auf einer OU mit Computerkonten setzen, Du mußt lediglich in den Einstellungen angeben, welche Benutzergruppe sie ziehen soll."

 

Daher dachte ich, dass es vielleicht geht, zu sagen, dass eine Benutzerrichtlinie immer dann gelten soll, wenn sich der Benutzer an den PC anmeldet, für den das Richtlinienobjekt verknüpft ist (ich sage mit Absicht Richtlinienobjekt, da die Benutzerrichtlinie ja nicht für einen PC gelten kann, wie du ja schon gesagt hast).

 

So könnte man unterschiedliche Richtlinien wirken lassen, je nachdem, wo sich der Benutzer anmeldet. Das würde vieles einfacher machen.

 

Frage 2 ist damit aber leider nicht geklärt :) Hast du darauf vielleicht auch eine Antwort?

 

Jedenfalls schonmal vielen Dank für die schnelle Antwort.

Link zu diesem Kommentar

Das Stichwort ist für einen solchen Fall die "Loopbackverarbeitung". Diese Einstellung ermöglicht, dass Benutzerrichtlinien angewendet werden, wenn sie in Bereichen wirksam ist, in denen sich nur Computerobjekte befinden. Also eigentlich das, was Du willst ... sie wirken, wenn man sich an bestimmten Rechnern anmeldet (klassischer Fall:Terminalserver) ...

Zu Frage 2: Du kannst Richtlinien auch sicherheitsfiltern, was bedeutet, dass sie nicht für die per Default angegebenen "Authentifizierten Benutzer" gilt (das sind Benutzer- wie auch Computerojekte), sondern die Richtlinie ganz gezielt nur gewisse Gruppen oder Objekte erreicht.

Link zu diesem Kommentar

Vielen herzlichen Dank für die Auskunft. Das ist genau das, was ich hören wollte. Funktioniert perfekt. Klasse.

 

Jetzt habe ich aber noch eine kurze Frage:

man stelle sich vor, ich habe ein eine Richtlinie, die sowohl Computer- als auch Benutzerrichtlinien enthält. Loopbackverarbeitung ist aktiviert, die Richtlinie wurde nur Computerobjekten zugewiesen.

Es gibt jetzt aber einen Benutzer, für den diese Richtlinie nicht gelten soll. Wie kann ich diesen Benutzer rausfiltern?

 

Ich habe ihn in der GPO unter dem Reiter Delegierung eingetragen und den Haken bei "Gruppenrichtlinie übernehmen" (zu finden unter Erweitert) entfernt. Jetzt ist nur noch "Lesen" ausgewählt. Ein kurzer Test hat ergeben, dass die Richtlinie nach einem Neustart noch gezogen hat (was mich auch nicht wundert, denn die Computerrichtlinie galt ja noch für den Computer und es könnte sein, dass über die Loopbackrichtlinie die Benutzerrichtlinie dennoch für de Benutzer galt).

 

Was ist jetzt der einfachste Weg, bestimmte Benutzer von dieser Richtlinie auszuschließen?

Link zu diesem Kommentar

Neues Problem:

Alte Situation: Benutzerrichtlinien wurden User direkt zugeordnet.

Neue Situation: Loopbackverarbeitungsmodus wurde eingeschaltet, die Benutzerrichtlinien werden jetzt über die Computer an die User weiter geleitet.

 

Einige User klagen darüber, dass die ehemals funktionierenden Einstellungen nicht mehr greifen (es geht hier um einen Bildschirmschoner).

 

Ich habe mir mal den RSOP angeguckt und zu dem PC und dem entsprechenden User habe ich auch eine Ausrufezeichen bei der Installation der FlashPlayerSoftware für den Bildschirmschoner.

 

Die Benutzereinstellungen werden aber dennoch korrekt angezeigt. Anbei mal ein Screenshot des Richtlinienergebnissatzes.

 

Kostenlos Bilder hochladen mit Hostpix Bilderhosting

Link zu diesem Kommentar

Ja, da hast du mich falsch verstanden. In der alten Situation hatte ich eine Bilschirmschoner-GPO direkt den Benutzer OUs zugeordnet. Nachdem ich herausgefunden hatte, dass es den Loopbackmodus gibt, habe ich die Benutzer GPOs gelöscht und mit in die Computer GPO für den Bildschirmschoner geschrieben (dort wird der FlashPlayer installiert sowie die Dateien per Start Skript ins system32 Verzeichnis kopiert) und gleichzeitig in dieser GPO den Loopbackmodus aktiviert. Es sollten also eigentlich keine Änderungen bei den Benutzer zu sehen sein, denn sie bekommen die gleichen Richtlinien jetzt per Loopback aus der Computerkonfig draugeblasen.

 

Leider funktioniert das nicht bei allen. Es gibt mittlerweile mind. 2 Nutzer (mehr haben sich nicht gemeldet), bei denen der Bildschirmschoner jetzt nicht mehr aktiviert ist.

Link zu diesem Kommentar
Also ist die Richtlinie, in der die Loopbackverarbeitung in der Computerkonfiguration und der Bildschirmschoner in der Benutzerkonfiguration eingestellt ist, auf die OU gelinkt, in der sich die Computer (und nur Computerobjekte) befinden, an denen sich die Benutzer anmelden ?

 

korrekt. Und genau das funktioniert bei 2 Clients nicht.

 

GPUPATE auf dem Client noch mal durchgeführt ?

nein. Der Rechner ist seitdem aber auch schon ein paar mal neu gestartet worden, sollte sich also die Richtlinie gezogen haben.

 

Ich habe auch noch nicht weiter testen können, ob es am Benutzer oder Computer liegt. Ich werde das morgen hoffentlich noch schaffen.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...