Jump to content

Gruppenrichtlinien - bestimmte Computer ausschließen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Das Problem ist, dass du den Loop Backmodus in dem GPO aktivierst. Wenn du die Übernahme jetzt verhinderst, ist der auch aus. Du wirst um ein zweites GPO nicht herumkommen. Ich würde folgendes tun:

Domain
|
|-OU-Computer
   - 1 GPO Loopback aktivieren (nicht gefiltert sondern für alle Computer in der OU)
   - 2 GPO mit den Einstellungen für alle Computer
   - 3 GPO mit den negierten Einstellungen für die 3 Computer aber mit höhrere Priorität als 2

 

Bye

Norbert

Link zu diesem Kommentar
Alle GPO's die nicht auf alle User oder Computer wirken sollen, ja.

Das ist doch imho der einfachste und übersichtlichste Weg.

 

Das sieht sicher jeder anders. Ich persönlich entscheide das von Fall zu Fall (Fall=Kunde) ;)

 

Deine Frage nach Poledit ignoriere ich mal :rolleyes:

 

Warum? So pauschal wie du das geschrieben hast, ließ das die Vermutung zu. :p

 

Bye

Norbert

Link zu diesem Kommentar

Was haltet ihr davon, wenn ich Loopback einfach deaktivere? Wird meiner Meinung ja nicht gebraucht. Ich denke, es wurde halt nur übernommen, da die meisten Richtlinien bei uns auf TS wirken sollen.

 

Ansonsten zum Verständnis muss ich Folgendes machen:

 

- 1.) GPO mit den negierten Einstellungen bauen

- 2.) Die entsprechenden Computerkonten der neuen GPO zuordnen

- 3.) Das neu gebaute GPO eine höhere Priorität als dem ursprünglichen GPO geben

Link zu diesem Kommentar
Was haltet ihr davon, wenn ich Loopback einfach deaktivere? Wird meiner Meinung ja nicht gebraucht.

 

Das können wir dir nicht wirklich sagen, da wir deine Umgebung nicht kennen. ;)

 

Ich denke, es wurde halt nur übernommen, da die meisten Richtlinien bei uns auf TS wirken sollen.

 

Das solltest du schon wissen, und nicht nur annehmen. ;)

 

 

Ansonsten zum Verständnis muss ich Folgendes machen:

 

- 1.) GPO mit den negierten Einstellungen bauen

 

Ja.

 

- 2.) Die entsprechenden Computerkonten der neuen GPO zuordnen

 

Ja, wobei ich eine Gruppe nehmen würde und nicht die Konten direkt.

 

- 3.) Das neu gebaute GPO eine höhere Priorität als dem ursprünglichen GPO geben

 

Korrekt. Wenn es dir um den Screensaver geht, dann brauchst du aber den Loopback Modus, da das ne benutzereinstellung ist. ;) Und dann brauchst du auch 3 GPOs, oder mußt die Reihenfolge andersrum bauen. ;)

 

Bye

Norbert

Link zu diesem Kommentar

Also ich habe Folgendes gemacht:

 

1.) GPO1 zur Deaktivierung des Screensavers bearbeitet und alle "deny" aktionen entfernt

2.) GPO2 mit anderen Screensaver Settings entworfen:

- LBVM aktiviert und auf merge

- alle Eigenschaften die in GPO1 auf "aktiviert" gesetzt wurden, sind jetzt "deaktiviert"

3.) Sicherheitsberechtigungen von GPO2 angepasst, so dass nur die Gruppe (Mitglieder sind die Computeraccounts) diese lesen darf.

4.) Rangfolge von GPO2 ist Position Nr. 3, GPO1 ist auf Position Nr. 4.

 

 

Fazit: LBVM ist aktiv auf "merge" (und wird sogar von GPO2 gezogen). D.h. die Priorität scheint zu stimmen. Screensaver Settings von GPO1 werden für alle Computer übernommen. *hmpf* Ich bin heute zu schwer von Begriff.. :-(

Link zu diesem Kommentar

Natürlich nichts. Ich habe das nochmals mit drei GPOs gebaut. Den LBVM (merge) alleine in eine Richtlinie gepackt und in die beiden anderen Richtlinien nur jeweils die grundsätzliche Aktivierung des Screensavers, bzw. das Deaktivieren des Screensavers. Wirkungsbereich für die Aktivierung war auf "authenticated users" und für die Deaktivierung auf "Gruppe mit Konten die das nicht haben sollen". Die Sicherheitseinstellungen waren jeweils auf "lesen" und "Gruppenrichtlinie übernehmen". Die Rangfolge habe ich in beiden Versionen getestet (LBVM immer an Position Nr. 1). So wie du es geschrieben hast - wenn ich dich richtig verstanden habe. Das Ergebnis brachte wieder keinen Erfolg.

 

Edit: Der Unterschied, den ich zur TS Konfiguration feststelle ist, dass dort in der Gruppe Usernamen eingetragen sind. (was ja auch Sinn macht) In der Testkonfiguration Computeraccounts.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...