danane 10 Geschrieben 24. September 2008 Melden Teilen Geschrieben 24. September 2008 Hallo Ich habe eine OU "Workstation", wo die PC drin sind. Es besteht eine Workstation Policy. Dann eine OU "Standarduser", wo der User A drin ist. Und eine OU "Spezielleuser", wo der User B drin ist. Bei der OU "Spezielleuser" besteht eine User Policy. Beim PC xy soll sich der User A anmelden. Es soll die Computer-Policy greifen. Wenn sich User B am PC anmeldet, soll nur die Userpolicy greifen. Einstellung in der Workstation-Policy: Loopback: zusammenführen Problem: Wenn User B anmeldet, wirkt das Anmeldescript von der Workstation-Policy anstatt von der User Policy. Das möchte ich nicht. Kennt sich jemand da aus? Zitieren Link zu diesem Kommentar
NilsK 2.795 Geschrieben 24. September 2008 Melden Teilen Geschrieben 24. September 2008 Moin, wie sind deine OUs verschachtelt? Allgemein gesprochen, dürfte dein Konstrukt nicht den Anforderungen entsprechen. Wenn du auf die PCs eine Loopback-Policy setzt, gilt diese natürlich für alle PCs in dieser OU, unabhängig, wer sich anmeldet. Das ist ja der Sinn des Loopback-Verfahrens. Wenn User B also nur seine Userpolicy bekommen soll, darf er nicht an einem PC mit Loopback arbeiten. Wenn es dir hingegen nur um das Anmeldeskript geht, ist der einfachste Weg, eine Logik in das Skript einzubauen: Wenn %username% gleich User B, dann brich dieses Skript ab und rufe stattdessen das Skript XY.bat auf. Gruß, Nils Zitieren Link zu diesem Kommentar
danane 10 Geschrieben 24. September 2008 Autor Melden Teilen Geschrieben 24. September 2008 Hi Nils Merci für deine Antwort! Die Frage ist, wie muss ich die Loopback Einstellung ändern? auf Deaktivieren, damit die Userpolicy greift? Eigentlich möchte ich die Loopback Einstellung nicht aktiviert haben...denn so funtioniert es ja nicht. Grüsse dan Zitieren Link zu diesem Kommentar
NorbertFe 1.835 Geschrieben 24. September 2008 Melden Teilen Geschrieben 24. September 2008 Hi Nils Merci für deine Antwort! Die Frage ist, wie muss ich die Loopback Einstellung ändern? auf Deaktivieren, damit die Userpolicy greift? Eigentlich möchte ich die Loopback Einstellung nicht aktiviert haben...denn so funtioniert es ja nicht. Grüsse dan Naja wenn du den Loopbackmodus nicht benötigst, dann setz die Policy auf "nicht konfiguriert". Danach gpupdate und Computer booten. Bye Norbert Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 24. September 2008 Melden Teilen Geschrieben 24. September 2008 Nur mal zur Klärung (ich hab´s mal wieder nicht kapiert :D) ... Was ist in der Workstation Policy definiert ? Loopback auf Zusammenführen in der Computerkonfiguration und ein Anmeldeskript in der Benutzerkonfiguration ? Wenn in der PC-OU ein GPO so definiert ist und in der Spezialuser-OU ein GPO mit dem Anmeldeskript für User B, dann müsste das GPO in der PC-OU nur so sicherheitsgefiltert werden, dass nur User A die Einstellungen der Benutzerkonfiguration anwenden darf (bei Loopback auf Zusammenführen). Ich gehe hierbei davon aus, dass sich die OUs nebeneinander befinden und nicht untereinander ... Zitieren Link zu diesem Kommentar
NorbertFe 1.835 Geschrieben 24. September 2008 Melden Teilen Geschrieben 24. September 2008 Nur mal zur Klärung (ich hab´s mal wieder nicht kapiert :D) ... Was ist in der Workstation Policy definiert ? Loopback auf Zusammenführen in der Computerkonfiguration und ein Anmeldeskript in der Benutzerkonfiguration ? Wenn in der PC-OU ein GPO so definiert ist und in der Spezialuser-OU ein GPO mit dem Anmeldeskript für User B, dann müsste das GPO in der PC-OU nur so sicherheitsgefiltert werden, dass nur User A die Einstellungen der Benutzerkonfiguration anwenden darf (bei Loopback auf Zusammenführen). Ich gehe hierbei davon aus, dass sich die OUs nebeneinander befinden und nicht untereinander ... Das dürfte nicht funktionieren, da der PC mit dem Loopbackmodus auch die GPO lesen können muß. Und sobald du das erlaubst wird die Richtlinie für alle User an diesem Computer angewandt. Ausnahme wäre mit Verweigerung zu arbeiten. Sozusagen der anderen Gruppe das Übernehmen der Richtlinie mit dem Logonscript zu verbieten. Dann braucht man auf der OU in der der PC steht allerdings zwei GPOs. Einmal die in der das Logonscript definiert ist (und die sicherheitsgefiltert für die eine Gruppe verweigert wird) und das andere GPO in dem der Loopbackmodus und allgemein geltende Richtlinien definiert werden. Bye Norbert Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 24. September 2008 Melden Teilen Geschrieben 24. September 2008 Das dürfte nicht funktionieren, da der PC mit dem Loopbackmodus auch die GPO lesen können muß. Und sobald du das erlaubst wird die Richtlinie für alle User an diesem Computer angewandt. Ausnahme wäre mit Verweigerung zu arbeiten. Sozusagen der anderen Gruppe das Übernehmen der Richtlinie mit dem Logonscript zu verbieten. Dann braucht man auf der OU in der der PC steht allerdings zwei GPOs. Einmal die in der das Logonscript definiert ist (und die sicherheitsgefiltert für die eine Gruppe verweigert wird) und das andere GPO in dem der Loopbackmodus und allgemein geltende Richtlinien definiert werden. Bye Norbert Moin Norbert, das sehe ich nicht so ... Wenn Du in einem GPO beides konfigurierst (Loopback im Computerteil und irgendwas im Benutzerteil, müssen die PCs der OU sicherheitsberechtigt sein und die Benutzer, die den Benutzerteil anwenden sollen. Die Authentifizierten Benutzer werden aus der Sicherheitsfilterung entfernt. Mit 2 GPOs kann man das natürlich auch machen ... Gruss Sven edit: grad mal kurz nachgestellt, es funktioniert so, wie ich geschrieben habe. User1 bekommt das Skript zugewiesen, welches im Benutzerteil der Workstation Policy hinterlegt ist, User 2 das, was in der Userpolicy hinterlegt ist. Benutzer, die weder in der Sicherheitsfilterung der Workstation Policy hinterlegt sind noch sich in der OU des Benutzers B befinden, bekommen kein Skript zugewiesen. Ich vergass im ersten Post zu erwähnen, dass auch die PCs in der SIcherheitsfilterung auftauchen müssen, um den Loopbackmodus anzuwenden ... Zitieren Link zu diesem Kommentar
NorbertFe 1.835 Geschrieben 24. September 2008 Melden Teilen Geschrieben 24. September 2008 Moin Norbert, das sehe ich nicht so ... Wenn Du in einem GPO beides konfigurierst (Loopback im Computerteil und irgendwas im Benutzerteil, müssen die PCs der OU sicherheitsberechtigt sein und die Benutzer, die den Benutzerteil anwenden sollen. Die Authentifizierten Benutzer werden aus der Sicherheitsfilterung entfernt. Mit 2 GPOs kann man das natürlich auch machen ... OK, dann hab ich zumindest das ja richtig in Erinnerung. ;) edit: grad mal kurz nachgestellt, es funktioniert so, wie ich geschrieben habe. User1 bekommt das Skript zugewiesen, welches im Benutzerteil der Workstation Policy hinterlegt ist, User 2 das, was in der Userpolicy hinterlegt ist. Benutzer, die weder in der Sicherheitsfilterung der Workstation Policy hinterlegt sind noch sich in der OU des Benutzers B befinden, bekommen kein Skript zugewiesen. Ich vergass im ersten Post zu erwähnen, dass auch die PCs in der SIcherheitsfilterung auftauchen müssen, um den Loopbackmodus anzuwenden ... Aha. :) Nagut, dann sind ja jetzt alle Unklarheiten beseitigt. Schönen Dank fürs Testen. Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.