Gruppenrichtlinien für bestimmte Gruppen filtern

[Flatlander 10]

Moin moin an Alle!

 

Ich habe für alle Computer in einer OU über Computerkonfiguration > Administrative Vorlagen > Windowskomponenten > Internetexplorer > Sicherheitszone: Benutzer können keine Sites hinzufügen aktivieren eingestellt.

 

Nun möchte ich gerne, dass für eine bestimmte Gruppe diese Einstellung nicht wirken.

 

Berechtigungen Richtlinien übernehmen verweigern funktioniert ja nur für Einstellungen unter Benutzerkonfigurationen, oder? Muss ich das jetzt mit nen WMI-Filter machen oder gibt es noch einen anderen Weg?

[Sunny61 833]

Ich habe für alle Computer in einer OU über Computerkonfiguration > Administrative Vorlagen > Windowskomponenten > Internetexplorer > Sicherheitszone: Benutzer können keine Sites hinzufügen aktivieren eingestellt.

 

Nun möchte ich gerne, dass für eine bestimmte Gruppe diese Einstellung nicht wirken.

 

Für eine Gruppe Computer oder User?

 

Berechtigungen Richtlinien übernehmen verweigern funktioniert ja nur für Einstellungen unter Benutzerkonfigurationen, oder?

 

AFAIK nein. Das geht auch mit Computerkonten.

 

Muss ich das jetzt mit nen WMI-Filter machen oder gibt es noch einen anderen Weg?

 

Laienhaft würde ich 2 Computergruppen erstellen, die Clients, die dürfen, sind Leseberechtigt in der GPO. Die anderen bleiben draussen.

[Flatlander 10]

Hallo Sunny61!

 

Für eine Gruppe Computer oder User?

 

Für eine Gruppe Benutzer.

 

Laienhaft würde ich 2 Computergruppen erstellen, die Clients, die dürfen, sind Leseberechtigt in der GPO. Die anderen bleiben draussen.

 

Es geht ja darum das es für alle Rechner gelten soll. Und jeden Benutzer, ausser bei allen Nutzern die im Support tätig sind.

[Sunny61 833]

Es geht ja darum das es für alle Rechner gelten soll. Und jeden Benutzer, ausser bei allen Nutzern die im Support tätig sind.

 

Loopbackverarbeitungsmodus müßte hier dann greifen. Analog zur Terminalserverkonfig: Einsatz von Gruppenrichtlinien auf einem Terminal Server

Nur eben andersrum, anstatt zu verbieten, der anderen Gruppe erlauben.

[Flatlander 10]

Brauch ich den Loopbackverarbeitungsmodus nicht nur wenn ich möchte, dass sich die Computer konfiguration gegen die Benutzerkonfiguration durch setzt? Oder hab ich da was falsch verstanden?

 

Ich hab jetzt ein neues GPO erstellt, wo nur "Computerkonfiguration > Administrative Vorlagen > Windowskomponenten > Internetexplorer > Sicherheitszone: Benutzer können keine Sites hinzufügen aktivieren". aktiviert wurde.

In der OU ist das Computerkonto enthalten. Das funktioniert, aber nur wenn bei Authentifizierte Benutzer das Häckchen bei "Richtlinien Übernehmen" drin ist.

Wenn ich bei Authentifizierte Benutzer das Häckchen raus nehme, interessiert es nicht ob ein bestimmter Benutzer explizit das Recht "Richtlinien übernehmen" bekommen hat. Da wirkt bei mir diese Einstellung bei allen nicht, auch nicht bei dem Benutzer / der Gruppe die das Recht "Richtlinien Übernehmen" besitzt.

[NorbertFe 2.277]

Moin moin an Alle!

 

Ich habe für alle Computer in einer OU über Computerkonfiguration > Administrative Vorlagen > Windowskomponenten > Internetexplorer > Sicherheitszone: Benutzer können keine Sites hinzufügen aktivieren eingestellt.

 

Nun möchte ich gerne, dass für eine bestimmte Gruppe diese Einstellung nicht wirken.

 

Das kann nicht funktionieren. Du definierst es für Computer. Wer sich am Computer anmeldet ist demnach egal. Du kannst es nicht für den einen Nutzer aktivieren und für andere deaktivieren.

 

Bye

Norbert

[Sunny61 833]

Brauch ich den Loopbackverarbeitungsmodus nicht nur wenn ich möchte, dass sich die Computer konfiguration gegen die Benutzerkonfiguration durch setzt? Oder hab ich da was falsch verstanden?

 

Stimmt wohl. Ich hab was verdreht, sorry. :(