NordeniaRaccoon 10 Posted May 17, 2013 Report Share Posted May 17, 2013 Morgen, ich gebe zu, meine GPO Kenntnisse sind etwas angestaubt, irgendwie klappts momentan nicht so...Also: Unsere Konzern-Notebook-Verschlüsselungssofware sollte nach der Pre-OS Athentification eigentlich das Kennwort bei der Windows Anmeldung durchschleifen, Tut sie auch, aber erst nachdem noch strg+alt+ent gedrückt wurde. Laut KB des Herstellers ist das "Problem" Bekannnt und es solle eine GPO erstellt werden um das strg+alt+ent für die verschlüsselten user zu deaktivieren. Also habe ich - Eine GPO erstellt und den Eintrag "richtlnien - windows-einstellungen - sicherheitseinstellungen - lokale richtlinien/sicherheitsoptionen -> interaktive anmeldung : kein strg+alt+entf erforderlich" aktiviert - eine AD Gruppe erstellt, die user dort reingepackt und in die Sicherheitsfilterung der GPO hinzugefügt. - Die GPO auf die OU verlinkt Die GPO zieht aber nicht. bei einem gpresult sehe ich sie noch nicht mal unter herausgefilterte objekte. Ist meine vorgehensweise falsch? Danke für Ideen... Gruss, Philipp Quote Link to comment
Dunkelmann 96 Posted May 17, 2013 Report Share Posted May 17, 2013 Moin, es handelt sich um eine Computerrichtlinie. Daher muss diese GPO mit einer OU verknüpft werden, in der die Notebooks enthalten sind. Quote Link to comment
NordeniaRaccoon 10 Posted May 17, 2013 Author Report Share Posted May 17, 2013 aber trotzdem muss in in der sicherheitsfilterung der user stehen oder/und auch das computerkonto? Quote Link to comment
lefg 276 Posted May 17, 2013 Report Share Posted May 17, 2013 (edited) Hallo, es handelt sich um eine Computerrichtlinie, diese muss wirken auf den Client, den Rechner vor der Anmeldung des Benutzers. Also muss die Richtlinie verknüpft sein mit der OU, in der sich das Computerkonto befindet. Ein Manipulieren der Sicherheitsfilterung ist da nicht sinnvoll. Edited May 17, 2013 by lefg Quote Link to comment
NorbertFe 1,097 Posted May 17, 2013 Report Share Posted May 17, 2013 Der User ist egal, da User keine computerrichtlinie übernehmen. Quote Link to comment
RobertWi 81 Posted May 17, 2013 Report Share Posted May 17, 2013 Und Gruppen übrigens auch nicht. Gruppenrichtlinien wirken sich, wie der Name auch schon sagt, nur auf Benutzer- und Computer-Objekte aus - aber nicht auf Gruppen-Objekt. :) Die Sicherheitsfilterung muss normalerweise nicht verändert werden, da alle Authentifzierten Geräte und User mit "Lesen + Übernehmen" drin sind. Quote Link to comment
lefg 276 Posted May 17, 2013 Report Share Posted May 17, 2013 Ein Manipulieren der Sicherheitsfilterung ist da nicht sinnvoll. Ich habe das mal korrigiert auf nicht. Quote Link to comment
NordeniaRaccoon 10 Posted May 17, 2013 Author Report Share Posted May 17, 2013 Und Gruppen übrigens auch nicht. Gruppenrichtlinien wirken sich, wie der Name auch schon sagt, nur auf Benutzer- und Computer-Objekte aus - aber nicht auf Gruppen-Objekt. :) Die Sicherheitsfilterung muss normalerweise nicht verändert werden, da alle Authentifzierten Geräte und User mit "Lesen + Übernehmen" drin sind. Das meinte ich nicht. Ich möchte eigentlich das sich die GPO nur auf bestimmte PCs auswirkt und nicht auf alle die in der OU sind. Deshalb habe ich in der GPO die "authentifizierten Benutzer" durch eine Sicherheizsgruppe getauscht, in der die User drinstehen. Quote Link to comment
lefg 276 Posted May 17, 2013 Report Share Posted May 17, 2013 (edited) Das meinte ich nicht. Ich möchte eigentlich das sich die GPO nur auf bestimmte PCs auswirkt und nicht auf alle die in der OU sind. Deshalb habe ich in der GPO die "authentifizierten Benutzer" durch eine Sicherheizsgruppe getauscht, in der die User drinstehen. Ich meine, damit bist Du auf dem falschen Schiff. Edited May 17, 2013 by lefg Quote Link to comment
Sunny61 675 Posted May 17, 2013 Report Share Posted May 17, 2013 Ich möchte eigentlich das sich die GPO nur auf bestimmte PCs auswirkt und nicht auf alle die in der OU sind. Deshalb habe ich in der GPO die "authentifizierten Benutzer" durch eine Sicherheizsgruppe getauscht, in der die User drinstehen. Dann müssen in der Sicherheitsgruppe Clients sein. Benutzerobjekte lesen/übernehmen normalerweise keine Computereinstellungen. Quote Link to comment
RobertWi 81 Posted May 17, 2013 Report Share Posted May 17, 2013 Dann müssen in der Sicherheitsgruppe Clients sein. Benutzerobjekte lesen/übernehmen normalerweise keine Computereinstellungen. Weil sich unter "Clients" jeder was anderes vorstellt: Damit meint Sunny die Computer-Objekte (oder Computer-Konten). Und nicht vergessen, den Computer neuzustarten, wenn nachträglich die Gruppenmitgliedschaft geändert wird. Auch bei Computer wird die Gruppenmitgliedschaft lokal im Ticket gespeichert. Quote Link to comment
Sunny61 675 Posted May 17, 2013 Report Share Posted May 17, 2013 Weil sich unter "Clients" jeder was anderes vorstellt: Damit meint Sunny die Computer-Objekte (oder Computer-Konten). Clients sind Clients oder Server = Computerobjekte, richtig. Was kann man sich denn unter Clients anderes vorstellen? Quote Link to comment
RobertWi 81 Posted May 17, 2013 Report Share Posted May 17, 2013 Ich bin oft bei einem Kunden, der versteht unter "Client" den Arbeitsplatz als ganzes und würde den Begriff eher mit einem Benutzer als einen Rechner verbinden. Wenn dort von "Clientlogin" gemeint ist, dann ist die Anmeldung des Benutzers mit seinem Login an irgendeinem Rechner gemeint. Quote Link to comment
Sunny61 675 Posted May 17, 2013 Report Share Posted May 17, 2013 OK, ein Admin sollte aber trotzdem einen Client als Computer identifizieren. ;) Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.