Jump to content

Gruppenrichtlinien - bestimmte Computer ausschließen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich glaube, ich sehe den Wald vor lauter Bäumen nicht mehr. Ich habe eine Gruppenrichtlinie, die auf sämtliche Clientcomputerkonten bei uns im Netz wirkt. (Auf eine übergeordnete OU verknüpft und befeuert authenticated Users) Die Useraccounts liegen in anderen OUs auf die diese Richtlinie nicht wirkt. Jetzt möchte ich drei Computerkonten explizit davon ausschließen - wie gehe ich am besten vor?

 

Ich habe bislang probiert über die Sicherheitsberechtigungen ein deny zu setzen, aber das funktioniert wohl nicht. Im Richtlinienergebnissatz, sowie mit gpresult wird mir immer angezeigt, dass die Richtlinie angewendet wird.

 

Zum Testen habe ich eine zweite Richtlinie angelegt, die die Funktion explizit deaktivieren soll. Hierfür habe ich ebenfalls - wie in der ersten Richtlinie - den Loopbackverarbeitungsmodus aktiviert. Diese Richtlinie wirkt im Computerbereich und wird anscheind über den Userbereich durch die andere Richtlinie überschrieben. (verantwortlich ist die erste Richtlinie im benutzerbezogenen Bereich) Es dreht sich übrigens schlicht um die Deaktivierung des Bildschirmschoners und um eine automatische Sperrung der Arbeitsstation. (Einstellungen im Userbereich einer Richtlinie).

 

Beste Grüße,

Link zu diesem Kommentar

Ja, die Rechner wurden neugestartet.

 

Für die Richtlinie wurden folgende Sicherheitseinstellungen vorgenommen:

 

Authenticated Users:

- lesen (zulassen)

- Gruppenrichtlinie übernehmen (zulassen)

Testgruppe zur Deaktivierung:

- lesen (zulassen)

- Gruppenrichtlinie übernehmen (verweigern)

 

Richtlinieneinstellungen:

- User Group Policy loopback processing mode Aktiviert

Mode: Merge

- Control Panel/DisplayAusblenden

Richtlinie Einstellung

Hide Screen Saver tab Aktiviert

Password protect the screen saver Aktiviert

Screen Saver Aktiviert

Screen Saver timeout Aktiviert

Number of seconds to wait to enable the Screen Saver

 

Seconds: 900

 

Noch weitere Ideen?

Link zu diesem Kommentar

Hab noch etwas in einem MS-Artikel gefunden:

 

Wenn Sie die Anwendung eines GPOs einschränken möchten, sollten Sie unbedingt die Gruppe Authentifizierte Benutzer entfernen. Andernfalls wird das GPO immer auf alle Benutzer angewendet.

 

Quelle

 

Seit wann ist das so? Heißt das konkret, dass man etwas, das für alle freigegeben ist, nicht explizit verweigern kann?

Link zu diesem Kommentar

Schildere bitte, wie Deine OU-Struktur aussieht und wo Du welche Richtlinie mit welchen Einstellungen gelinkt hast. Wir benötigen nicht jede OU/Richtlinie, nur die relevanten (die zugrundeliegende Struktur ist natürlich auch wichtig). Wo z.B. überall Loopback eingeschaltet wird, wo Benutzereinstellungen gesetzt sind, welche Richtlinie eine höhere Priorität hat (falls mehrere gelinkt sind) ...

Edit: Für die Übernahme einer Richtlinie gilt "Gruppenrichtlinie übernehmen", dort sollten es nicht die "Authentifizierten Benutzer" sein ...

Link zu diesem Kommentar

Kein Problem:

 

relevante Struktur:

 

Clients-OU mit diversen OUs darunter für die Standorte und zur Spezifikation der Clients. Die Richtlinie zur Aktivierung liegt direkt auf der Clients OU. Zusätzlich gibt es in den unteren OUs noch Richtlinien für den WSUS. Hier werden nur computerbezogene Einstellungen vorgenommen. Loopback ist jeweils nicht konfiguriert. Die Priorität liegt natürlich niedriger als die WSUS-Richtlinien, da diese ja in hierachisch niedrigeren OUs verknüpft sind.

 

Der letzte Satz im Edit macht mich stutzig. Wenn ich die Richtlinie auf "authentifizierte Benutzer" wirken lasse, ist dort natürlich auch klar "Gruppenrichtlinie übernehmen" angeklickt. Wirkt das explizite "verweigern", das ich über die zusätzliche Gruppe in der Delegierung (Sicherheitseinstellung) konfiguriere nicht? Ich war der Meinung, dass das restriktivere gewinnt - das wäre ja ein verweigern.

Link zu diesem Kommentar
Wirkt das explizite "verweigern", das ich über die zusätzliche Gruppe in der Delegierung (Sicherheitseinstellung) konfiguriere nicht?

 

Natürlich wirkt das. Wenn das bei dir nicht so ist, hast du irgendwas anderes "falchs" konfiguriert. ;)

 

Ich war der Meinung, dass das restriktivere gewinnt - das wäre ja ein verweigern.

 

Verweigern gewinnt auch nicht immer automatisch. ;)

 

Bye

Norbert

Link zu diesem Kommentar
Mach dich doch mal zum Thema "Security Filtering" schlau und arbeite mit Gruppen.

 

Die Standard-Gruppen drinzulassen ist einfach grausam ;)

 

und Deny's sind mindestens genauso furchtbar!

 

Sicherheitsfilterung generell nicht mit den "Authentifizierten Usern" ist genauso "grausam", weils normalerweise vollkommen ok ist. Du willst mir jetzt nicht erklären, dass du alle deine GPOs per Security Filtering konfiguriert hast, oder? Arbeitest du noch mit Poledit?

 

Bye

Norbert

Link zu diesem Kommentar
Sicherheitsfilterung generell nicht mit den "Authentifizierten Usern" ist genauso "grausam", weils normalerweise vollkommen ok ist. Du willst mir jetzt nicht erklären, dass du alle deine GPOs per Security Filtering konfiguriert hast, oder? Arbeitest du noch mit Poledit?

 

Bye

Norbert

 

Alle GPO's die nicht auf alle User oder Computer wirken sollen, ja.

Das ist doch imho der einfachste und übersichtlichste Weg.

Deine Frage nach Poledit ignoriere ich mal :rolleyes:

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...