Wirksamkeit von Domänen-GPO auf extern genutzem Rechner/Laptop

[Nummernschild-B 0]

Hallo,

 

hier eine vielleicht etwas naive Frage zur Wirksamkeit einer GPO, welche in einer Domäne verteilt wurde - die vorherige Suche hat mich hierzu nicht viel schlauer gemacht. Oder ich habe falsch gesucht.

 

Für einen neuen externen Mitarbeiter wurde im Büro ein Laptop eingerichtet, welches über die Domäne eine, für diese Nutzergruppe gedachte GPO empfangen hat. In der Domäne funktionieren alle Einstellungen perfekt, doch wie sieht es aus, wenn die Anmeldung am Laptop extern erfolgt, entweder über VPN (hier Anmeldung vor Tunnelaufbau), oder gänzlich ohne Verbindung zur Firma (privat, etc.). Sind dann die Einstellungen der Domänen-GOP auch noch wirksam, oder wird dann die lokale GPO angewandt?

 

Momentan gehe ich von letzterem aus und habe die entsprechenden Resitriktionen auch noch einmal in einer GPO für Nicht-Admins angelegt.

Aber vielleicht muss man sich diese Arbeit nicht machen und es funktioniert wie gewünscht?

 

Danke für etwaige Antworten

Clemens

[NorbertFe 1.805]

Gerade eben schrieb Nummernschild-B:

Sind dann die Einstellungen der Domänen-GOP auch noch wirksam, oder wird dann die lokale GPO angewandt?

Ja, nein.

 

Was spricht dagegen einfach mal die Strippe ausm Netzwerk zu ziehen und zu schauen was dann nach einem Neustart wirkt?

[Nummernschild-B 0]

Ja, das habe ich natürlich schon versucht, aber da die Einstellungen in den GPOs identisch sind, ist auch das Ergebnis gleich. Klar könnte ich eine der GPOs ändern, selbst weiter forschen und dann davon ausgehen, dass es irgendwie läuft.

 

Eine Abfrage zur Anwendung der GPO mit gpresult/r klappt nicht, da die Nutzung, bzw. Nichtnutzung von cmd/powershell einen Teil der Restriktionen darstellt. Insofern war/ist es auch umständlich, bzw. mehrmaligem An- und Abmelden verbunden, eine lokale GPO wie gewünscht anzupassen.

 

Da dachte ich, das ich mit der Frage die Sache etwas beschleunigen könnte und vielleicht noch die ein- oder andere Hintergrundinfo erhielte, warum es so oder so funktioniert.

Stichwort "best practice, etc."

 

Trotzdem danke für die Antwort, dann werde ich mal weiter testen...

Sollte ich zu einem verwertbaren Ergebnis kommen, werde ich es mitteilen.

 

Grüße
Clemens

 

 

 

 

 

 

[NorbertFe 1.805]

vor 16 Minuten schrieb Nummernschild-B:

Trotzdem danke für die Antwort, dann werde ich mal weiter testen...

 

Du hast die Antwort auch gelesen? Was willst du denn jetzt testen? Ja natürlich greift weiterhin die Domänen-GPO. Oder glaubst du ernsthaft, du wärst der erste, der auf die Idee kommt, ohne Netzwerk zu booten und dann wären alle Restriktionen weg?

[testperson 1.534]

Hi,

 

die Frage wäre jetzt ggfs., was willst du denn erreichen?

• Willst du das Policy Set einmalig anwenden bzw. anwenden und Änderungen auf den Client bekommen, sobald der VPN Tunnel online ist oder das Device in eurem Netzwerk ist?
  • Dann solltest du jetzt fertig sein.
• Willst du "die Kontrolle" über das Device haben, sobald es mit dem Internetverbunden ist?
  • Eine Always-On VPN Lösungen könnten ggfs. ein Ansatz sein
  • Ein Device- / Endpoint-Management wie bspw. Intune oder Endpoint Central von Manage Engine wären vllt. ein Ansatz

Gruß

Jan

[NilsK 2.785]

Moin,

 

ich interpretiere deine Frage so, dass du dir über die Grundlagen nicht ganz sicher bist. Vielleicht hilft Folgendes - schon ziemlich alt, aber immer noch gültig.

 

[Die Anwendung von Gruppenrichtlinien steuern | faq-o-matic.net]
https://www.faq-o-matic.net/2014/04/07/die-anwendung-von-gruppenrichtlinien-steuern/

 

[Erste Schritte - Gruppenrichtlinien]
https://www.gruppenrichtlinien.de/themen/erste-schritte 
 

Gruß, Nils

 

[Nummernschild-B 0]

 

@NorbertFe:

Danke, dann ist die Frage ja beantwortet, nur konnte ich oben mit >Ja, nein< nicht soviel anfangen, bzw. habe es wohl nicht richtig interpretiert.

 

@testperson:

Ja, Punkt 1 ist richtig, die Richtlinie soll einmal angewandt werden und dann bis auf Widerruf auch offline dauerhaft gültig sein.

 

@NilsK:

Das ist richtig, meine Kenntnisse von Gruppenrichtlinen bewegen sich derzeit noch auf unterstem Niveau, wobei ich die beabsichtigten Einstellungen schon gut konfigurieren konnte und die damit versorgten Rechner auch so funktonieren wie gewünscht. Nur bei der Frage, ob die Einstellungen auch bei offline genutzen Domänenrechnern dauerhaft wirksam bleiben, war ich mir unsicher.

 

Danke auch für die Links - das klärt auch Fragen, welche ich noch nicht gestellt habe.

 

Der Ordnung halber noch für mich mal zusammengefasst:

Die durch eine Domäne verteilte GPO wird während der Verteilung dauerhaft auf dem Clientrechner gespeichert. Sie ist somit auch öffline unbegrenzt wirksam, es sei denn, sie wird aktiv und bewusst durch eine andere GPO ersetzt.

 

Die Frage ist hiermit beantwortet und das Thema kann geschlossen werden.

 

 

 

bearbeitet 4. August 2023 von Nummernschild-B

[NorbertFe 1.805]

vor 20 Minuten schrieb Nummernschild-B:

Sie ist somit auch öffline unbegrenzt wirksam, es sei denn, sie wird aktiv und bewusst durch eine andere GPO ersetzt.

Und wie sollte sie aktiv und bewußt offline durch ein anderes GPO ersetzt werden? Dazu müßte man ja online sein. Lokale Adminrechte (hebeln aber selbstverständlich im Zweifel alles aus, wenn man möchte).

[Nummernschild-B 0]

Richtig, offline nur durch Anmeldung mit Admin-Rechten über die der externe Mitarbeiter aber nicht verfügt.

[daabm 1.185]

vor 5 Stunden schrieb Nummernschild-B:

Die durch eine Domäne verteilte GPO wird während der Verteilung dauerhaft auf dem Clientrechner gespeichert. Sie ist somit auch öffline unbegrenzt wirksam, es sei denn, sie wird aktiv und bewusst durch eine andere GPO ersetzt.

 

Nicht ganz. Einstellungen aus GPOs werden auf dem jeweiligen Computer/Benutzer gesetzt. Wenn bei der GPO-Verarbeitung kein DC erreicht werden kann, wird nichts verarbeitet (auch nicht die "lokale GPO"). Damit bleibt alles beim letzten Stand.

[NilsK 2.785]

Moin,

 

Auch nicht das lokale GPO? Wow, das lese ich nach 24 Jahren zum ersten Mal.

 

Gruß, Nils

[daabm 1.185]

Jepp - auch das nicht. Wenn der Rechner in einer Domäne ist und kein DC erreicht werden kann, ist nix mit GPOs jeder Art. Die fängt für Domain Member mit der Ermittlung eines DC an. Klappt das nicht-> Schicht im Schacht.

 

Sonst könnte man ja in der lokalen GPO Werte setzen, die eigentlich von Domain GPOs anders gesetzt werden... Das führt dann die Inheritance ad absurdum.

[NilsK 2.785]

Moin,

 

vor 18 Stunden schrieb daabm:

Sonst könnte man ja in der lokalen GPO Werte setzen, die eigentlich von Domain GPOs anders gesetzt werden... Das führt dann die Inheritance ad absurdum.

 

klar, aber bis zu deiner Erwähnung war ich der Meinung, dass genau diese Möglichkeit besteht. Man braucht ja schließlich lokale Adminrechte dafür, da kann sowas ja durchaus gewollt sein.

Ich hätte auch behauptet, das geprüft zu haben, aber anscheinend war ich da im Irrtum.

 

Wunderwelt Gruppenrichtlinien ... lernste echt im August 2023 noch was Neues dazu. Dabei kann ich mich noch ziemlich genau an das Train-the-Trainer im Sommer 1999 erinnern ...

 

Danke und Gruß, Nils

 

[BOfH_666 568]

vor 16 Minuten schrieb NilsK:

Dabei kann ich mich noch ziemlich genau an das Train-the-Trainer im Sommer 1999 erinnern ...

 

 uiui ... jetzt sind wir wieder bei "Oma und Opa erzähl'n vom Krieg" ....   

[q617 1]

Ein Trainer erzählt etwas, was er nicht selber getestet hat? Fällt das nicht auf?