Jump to content
cmp

Gruppenrichtlinie wird nicht angewandt (2019 Essentials)

Recommended Posts

Hallo,

 

an einem frischen Server 2019 Essentials wollte ich eine Gruppenrichtlinie zur Einbindung eines Netzlaufwerkes für eine bestimmte Usergruppe erstellen. Die Erstellung der Richtlinie klappte, nur die Einbindung auf den Clients der Gruppe nicht. Weise ich der Richtlinie zum Test dem Admin zu und erzwingen die Aktualisierung (gpupdate /force) auf dem Server, funktioniert sie. Habe ich was vergessen???

 

Viele Dank & beste Grüße

Carsten

Share this post


Link to post
Share on other sites

Hi,

 

an welche OU hast du das GPO denn verknüpft und was für Objekte (Computer oder User) befinden sich in dieser OU?

Was verstehst du an dieser Stelle unter "Clients der Gruppe"? Wenn es tatsächlich um Computer in einer Gruppe geht, hast du die PCs neu gestartet? Ansonsten weiß der PC nichts von der neuen Gruppenmitgliedschaft.

 

Gruß

Jan

Share this post


Link to post
Share on other sites

Guten Morgen,

ich habe eine Richtlinie für ein Netzlaufwerk erstellt. (Bild1) Dieser Richtlinie habe ich eine Gruppe von Usern zugeordnet, mit dem Ziel, dass diese Netzlaufwerk immer auf dem Client zur Verfügung steht, auf dem sich ein Mitglied diser Gruppe anmeldet. Muss ich die betreffenden Clients ebenfalls zur Sicherheitsfilterung hinzufügen? (Bild 2)

001.PNG

002.PNG

Share this post


Link to post
Share on other sites
vor 1 Stunde schrieb cmp:

ich habe eine Richtlinie für ein Netzlaufwerk erstellt. (Bild1) Dieser Richtlinie habe ich eine Gruppe von Usern zugeordnet, mit dem Ziel, dass diese Netzlaufwerk immer auf dem Client zur Verfügung steht, auf dem sich ein Mitglied diser Gruppe anmeldet.

Die Richtlinie ist auf eine OU verlinkt, in der Userobjekte liegen?

Merke: Gruppenrichtlinien greifen nicht auf Gruppen, nur auf eine Gruppe von Objekten. :)

vor 1 Stunde schrieb cmp:

Muss ich die betreffenden Clients ebenfalls zur Sicherheitsfilterung hinzufügen?

Lies doch bitte den verlinkten Artikel komplett und so oft, bis Du verstehst was da passiert. Das ist nicht böse gemeint, aber es hilft für zukünftige Arbeiten an GPOs weiter, wenn man das Dahinter versteht.

Share this post


Link to post
Share on other sites

Hallo alle zusammen,

hat geklappt. Ich habe unter Delegierung den/die PC´s hinzugefügt. Unter Objekttypen musste ich noch "Computer" anhaken. Kann ich die betreffenden Clients auch in eine Gruppe packen und dann diese Gruppe hinzufügen?

 

@Sunny61: vielen Dank für den Link, werde ich lesen.

Share this post


Link to post
Share on other sites

@Sunny61: https://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/

 

dies bedeutet, dass auch die Benutzer über den Reiter Delegierung hinzugefügt werden, nicht mehr über Sicherheit.

 

edit: angenommen es haben unterschiedliche Gruppen von Usern Zugriff auf dieses Netzlaufwerk. Nun soll ein User oder eine Gruppe keinen Zugriff mehr erhalten. Werden die Netzlaufwerke wieder entfernt wenn ich den User oder die Gruppe entferne? Wenn unterschiedliche User sich immer wieder an unterschiedlichen Clients anmelden, macht es dann nicht Sinn, allen relevanten Clients immer die Leserechte zu überlassen bzw. sie immer in den relevanten Richtlinien zu belassen?

 

Danke Euch.

Edited by cmp

Share this post


Link to post
Share on other sites
vor 14 Minuten schrieb cmp:

@Sunny61: https://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/

 

dies bedeutet, dass auch die Benutzer über den Reiter Delegierung hinzugefügt werden, nicht mehr über Sicherheit.

Das wichtigste an dem Artikel: Die Clients müssen LESERECHTE auf das GPO haben, ansonsten können und werden sie das GPO mit den Einstellungen NICHT an den Benutzer übergeben. Jetzt verständlicher?

vor 1 Stunde schrieb cmp:

Ich habe unter Delegierung den/die PC´s hinzugefügt. Unter Objekttypen musste ich noch "Computer" anhaken. Kann ich die betreffenden Clients auch in eine Gruppe packen und dann diese Gruppe hinzufügen?

Du kannst die Authentifizierten Benutzer hinzufügen, da sind auch die Clients enthalten. Solange sie nur LESERECHTE auf das GPO haben, passiert nichts weiter.

Share this post


Link to post
Share on other sites
Gerade eben schrieb Sunny61:

Das wichtigste an dem Artikel: Die Clients müssen LESERECHTE auf das GPO haben, ansonsten können und werden sie das GPO mit den Einstellungen NICHT an den Benutzer übergeben. Jetzt verständlicher?

Ja, das hab ich verstanden... Danke :-)

Share this post


Link to post
Share on other sites
vor 18 Minuten schrieb cmp:

edit: angenommen es haben unterschiedliche Gruppen von Usern Zugriff auf dieses Netzlaufwerk. Nun soll ein User oder eine Gruppe keinen Zugriff mehr erhalten. Werden die Netzlaufwerke wieder entfernt wenn ich den User oder die Gruppe entferne? Wenn unterschiedliche User sich immer wieder an unterschiedlichen Clients anmelden, macht es dann nicht Sinn, allen relevanten Clients immer die Leserechte zu überlassen bzw. sie immer in den relevanten Richtlinien zu belassen?

Das kommt drauf an, wie genau du das im GPO eingestellt hast. Aktualisieren ist das Mittel der Wahl, Verbindung wiederherstellen ist schlecht.

 

Wenn Du Erstellen und Verbindung wiederherstellen eingerichtet hast, musst Du auch für jedes NW-Laufwerk das ein User NICHT mehr bekommt, eine Löschanforderungen schreiben. Du kannst das auch recht schnell mit einem Testuser selbst testen.

Edited by Sunny61

Share this post


Link to post
Share on other sites
vor 1 Minute schrieb Sunny61:

Wenn Du Erstellen und Verbindung wiederherstellen eingerichtet hast, musst Du auch für jedes NW-Laufwerk das ein User NICHT mehr bekommt, eine Löschanforderungen schreiben.

Vielen Dank :-) Dann bin ich jetzt wieder etwas schlauer.

Share this post


Link to post
Share on other sites
vor 6 Stunden schrieb Sunny61:

Du kannst die Authentifizierten Benutzer hinzufügen, da sind auch die Clients enthalten. Solange sie nur LESERECHTE auf das GPO haben, passiert nichts weiter.

 

Mache ich bei allen Policies so, steht ja auch nichts geheimes drin.

Share this post


Link to post
Share on other sites
vor 2 Stunden schrieb xrated2:

 

Mache ich bei allen Policies so, steht ja auch nichts geheimes drin.

"Geheim" nicht, aber kennst Du schon "Attack Surface reduction" und "needs to know principle"? Warum soll ich jedem User erlauben, die Security Konfigurationen aller Server zu lesen? Damit er sein Angriffsziel leichter finden kann? :-)

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...