GPO Zugriff auf OU erlauben / verweigern

[aldisachen 11]

Hallo zusammen, ich möchte folgendes umsetzten:

 

In unserem AD haben wir eine OU. In dieser OU befinden sich weitere OU´s. Nun möchte ich in der obersten OU nur für einen bestimmten PC und einer bestimmten Benutzergruppe eine GPO erstellen.

Die GPO soll auf der obersten OU das "Lokale anmelden" zulassen und bei den darunterbefindlichen OU den Zufriff verweigern. Ist das mit einer GPO getan bzw. kann ich das so überhaupt umsetzen wir ich es denke ?

Falls ich noch wichtige Infos vergessen haben sollte, bitte nicht zögern zu fragen. Danke im Voraus. 

[MeikelW 0]

Hallo,

 

Eventuell über die Zielgruppenadressieung

[daabm 1.465]

Warum? Dein PC ist doch nur einmal vorhanden - verlinke die GPO da, wo der PC ist und schreibe den in den Sicherheitsfilter... Was genau ist das Ziel der Aktion?

[aldisachen 11]

Hallo daabm,

das Ziel der Aktion ist, dass sich bestimmte Benutzer nur an einem bestimmten PC innerhalb der Domäne anmelden sollen. Bei allen anderen PC´s soll eine Anmeldung nicht möglich sein.

 

Nachtrag:

Benutzer sollen sich wie oben beschrieben nur an einem bestimmten PC (OU) anmelden können.

Unterhalb dieser OU soll die Anmeldung für die jeningen, die sich anmelden können verweigert werden.

 

domäne.local

    ------- OU / GPO - anmelden zulassen (nur bestimmte Benutzer einer Gruppe)

           ------- OU / GPO - anmelden verweigern (nur für die bestimmten Benutzer, welche sich oberhalb anmelden können, alle anderen dürfen sich anmelden)

 

Hoffe, dass es nun verständlicher ist. Vielen Dank im Voraus.

 

 

bearbeitet 21. März 2019 von aldisachen

[Sunny61 846]

Sicherheitsfilterung: https://www.gruppenrichtlinien.de/de/artikel/filtern-von-gruppenrichtlinien-anhand-von-benutzergruppen-wmi-und-zielgruppenadressierung/

Zum Verständnis: https://www.gruppenrichtlinien.de/de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/

[aldisachen 11]

Hallo Sunny61 und Danke für die Links,

aber ich verstehe nicht, wie ich das umsetzten kann. Stehe irgendwie auf dem Schlauch, sorry.

[Sunny61 846]

Es war nur der Hinweis auf die Möglichkeiten der Sicherheitsfilterung. Wenn Du das nicht *umsetzen* möchtest, dann musst Du es auch nicht *umsetzen*.

[NilsK 3.109]

Moin

 

du erzeugst zwei Gruppen. In eine (A) kommt der Rechner der Ober-OU, in die andere (B) die Rechner der Unter-OU.

Dann erzeugst du zwei GPOs. Die eine (alpha) regelt, was für den/die Rechner der Gruppe A gelten soll. Die andere (beta) regelt, was für die Rechner der Gruppe B gelten soll.

 

GPO alpha koppelst du an die Ober-OU und stellst in den Sicherheitseinstellungen der GPO alpha ein, dass sie nur für die Gruppe A übernommen werden soll.

GPO beta koppelst du an die Unter-OU und stellst in den Sicherheitseinstellungen der GPO beta ein, dass sie nur für die Gruppe B übernommen werden soll.

 

Das testest du zunächst in einer separaten Laborumgebung. Wenn es da fertig entwickelt und getestet ist, überträgst du es in die Produktion.

 

Gruß, Nils

 

 

[aldisachen 11]

Hallo und Danke für Eure Hilfe und Erklärungen. Ich werde es erst einmal so machen, wie NilsK es geschrieben hat und wenn ich die Zeit finde, werde ich mich mit der Sicherheitsfilterung auseinandersetzten. Nochmals Danke.