Jump to content

GPO greift nur zum Teil

ares00

Von ares00
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

ares00 Apprentice

ares00   10

Geschrieben
Geschrieben

Hallo zusammen,

 

ich mach grad die vorbereitung auf die Prüfung 70-640 und bin grade bei Gruppenrichtlinien. Die Übungen kein problem.

 

Jetzt wollt ich mal mit GPO spielen und hab mir eine gebastellt, jedoch greift nur die Computerconfiguration und nicht die Benuterkonfiguration?!

 

Mal genauer:

1 Server 2008R2, ein Win7 Client und ein User

 

AD Contoso

|_ OU Desktop -> "GPO_Gesperrter_Rechner"

| |_Desktop123 (=W7 Client)

| |_Gruppe "Gesperrter Rechner"

| |_Ein.User (in der Gruppe drin)

|

|_ OU Personal

| |_Ein.Benutzer (User)

 

 

Alle GPO deaktiviert bis auf "GPO_Gesperrter_Rechner"

 

Die GPO "GPO_Gesperrter_Rechner" hat zwei Einstellungen:

1. Computerkonfiguration - Alle Wechselmedienklassen: Jeglichen Zugriff verweigern - Aktiviert

2. Benutzerkonfiguration - Zugriff auf Systemsteuerung nicht zulassen - Aktiviert

 

Die GPO ist mit der OU Desktop verknüpft.

Die Computerkonf. greift, die Benutzerkonf. nicht.

Wenn ich das durch die Gruppenrichtlinienergebnisse durchjage, passiert das selbe.

In der Übersicht Benutzerkonfiguration wird die GPO noch nicht mal angefasst oder abgelehnt. Die GPO fehlt komplett im teil der Userkonfiguration.

WARUM?

 

Die OU Desktop hat ein Computerobjekt und über die Gruppe auch den User darin, beide (Computer und Gruppe) haben in der ACL die Berechtigung die Richtlinie zu übernehmen.

 

Warum wird der Teil der Benutzerkonfiguration noch nicht mal geprüft?

testperson Grand Master

testperson   1.858

Geschrieben
Geschrieben

Hi,

 

das liegt daran, dass die Gruppenrichtlinien nicht auf Gruppen wirken. Folglich ist es korrekt, dass der Computerkonfigurationszweig auf den PC abgearbeitet wird und der User trotz Mitgliedschaft in der Gruppe nichts davon mitbekommt.

 

Du müsstest für die Userkonfiguration ein neues Element erstellen welches du auf die OU Personal verlinkst.

ares00 Apprentice

ares00   10

Geschrieben
  • Autor
Geschrieben

Hm,

Ok du hast Recht, Sie wirkt nicht auf Gruppen. (So genau steht das im Buch dummerweise nicht drin.)

Hab den User grade mal in die OU Desktop geschoben und die Gruppenrichtlinienergebnisse melden die Verarbeitung.

 

Ok, aber wie mach ich das, dass an diesem Rechner, egal wer sich daran anmeldet, diese Richtlinien draufgepfrügelt bekommt?

 

Ist ja schlecht alle User in die OU Desktop zu verschieben, deshalb dachte ich mit einer Gruppe darin die diese User enthält zu bündeln, was dummerweise nicht funktioniert.

Sunny61 Grand Master

Sunny61   833

Geschrieben
Geschrieben

Mal genauer:

1 Server 2008R2, ein Win7 Client und ein User

 

AD Contoso

|_ OU Desktop -> "GPO_Gesperrter_Rechner"

| |_Desktop123 (=W7 Client)

| |_Gruppe "Gesperrter Rechner"

| |_Ein.User (in der Gruppe drin)

|

|_ OU Personal

| |_Ein.Benutzer (User)

 

 

Alle GPO deaktiviert bis auf "GPO_Gesperrter_Rechner"

 

Die GPO "GPO_Gesperrter_Rechner" hat zwei Einstellungen:

1. Computerkonfiguration - Alle Wechselmedienklassen: Jeglichen Zugriff verweigern - Aktiviert

2. Benutzerkonfiguration - Zugriff auf Systemsteuerung nicht zulassen - Aktiviert

 

Die GPO ist mit der OU Desktop verknüpft.

Die Computerkonf. greift, die Benutzerkonf. nicht.

 

Die Gründe dafür sind ja schon geklärt. Zum anfangen ist das hier bestimmt auch nicht schlecht: Erste Schritte zum Erstellen einer Gruppenrichtlinie

 

Du kannst natürlich auch mit Sicherheitsgruppenfilterung innerhalb der GPO arbeiten. Damit kannst Du die GPO ganz oben in der Domain verknüpfen, lesen und übernehmen können es nur die Objekte, die in der Gruppe Mitglied sind, die in der Sicherheitsgruppenfilterung eingetragen sind.

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Zurück zur Übersicht


×
×
  • Neu erstellen...