Sicherheitsgruppe und GPO

[xrated2 15]

Hallo

 

Eine User GPO für automatische Sharepoint Mappings im Explorer habe ich erstellt (das 256 Zeichenlimit scheint nun auch passe zu sein).

 

Diese habe ich dann einer lokalen Domänengruppe zugewiesen und unter Windows 11 wurde mit gpresult angezeigt das die GPO nicht angewendet wird, wegen Sicherheitsfilterung. Unter Windows 10 bekam ich von dem 1 zugewiesenem User Feedback das das Mapping funktionieren würde.

Jetzt habe ich eine globale Gruppe zugewiesen und das funktioniert unter Windows 11.

 

War das schon immer so oder ist das wirklich nur bei Windows 11 so?

[testperson 1.535]

Hi,

 

welche Benutzer- und/oder Computerobjekte dürfen das GPO denn lesen? Und wer ist Mitglied der Gruppe?

 

Generell:

• Die Computerkonten müssen das GPO mindestens lesen dürfen
• Wenn die Computerkonten Mitglied der Gruppe sind, müssen diese nach der Aufnahme einmal durchgebootet werden
• Die User müssen sich nach der Gruppenaufnahme ab- und anmelden

 

Gruß

Jan

[xrated2 15]

Da die GPO nur Settings unter Benutzerkonfiguration hat habe ich eine Gruppe unter Sicherheitsfilterung zugewiesen in der sich die einzelnen User befinden.

Bei einem PC ging es erst als in den User direkt der GPO hinzugefügt habe, ganz seltsam.

 

Unter Delegation steht auch alles identisch drin mit Leserechten.

Zusätzlich steht dort noch Authentifizierte Benutzer mit Lesen

[NorbertFe 1.805]

vor 19 Minuten schrieb xrated2:

Da die GPO nur Settings unter Benutzerkonfiguration hat habe ich eine Gruppe unter Sicherheitsfilterung zugewiesen in der sich die einzelnen User befinden.

 

 

vor einer Stunde schrieb testperson:

• Die Computerkonten müssen das GPO mindestens lesen dürfen
•  

 

[NilsK 2.785]

Moin,

 

und:

vor 2 Stunden schrieb testperson:

Die User müssen sich nach der Gruppenaufnahme ab- und anmelden

 

Gruß, Nils

 

[xrated2 15]

vor 6 Stunden schrieb NorbertFe:

 

 

hatte ich schon gesehen, Authentifizierte User ist ja unter Delegation zugewiesen und beeinhaltet standardmäßig auch Computerkonten.

Und wie gesagt, bei manchen PCs geht es, bei anderen nicht.

 

Bei einem PC habe ich mehrmals neugestartet und gpupdate (auch mit /force) ausgeführt, es ging erst als ich den User direkt der GPO zugewiesen hatte. Irgendwas stimmt da nicht.

[daabm 1.186]

vor 11 Stunden schrieb xrated2:

 

GPO nicht angewendet wird, wegen Sicherheitsfilterung.
 

 

Im RSoP (gpresult /h report.html) stehen die Sicherheitsgruppen drin, in denen der Computer/User zum Zeitpunkt der GPO-Verarbeitung drin war. Vergleichen könnte helfen.

[Sunny61 773]

vor 20 Stunden schrieb xrated2:

es ging erst als ich den User direkt der GPO zugewiesen hatte.

Darf denn dei Gruppe das GPO lesen und übernehmen? Das Userobjekt liegt im Verwaltungsbereich des GPO? Oder hast Du die Gruppe im GPO an einer Stelle eingetragen?

[xrated2 15]

Hier 3 Bilder mit den relevanten Einstellungen

[Sunny61 773]

vor 3 Stunden schrieb xrated2:

Hier 3 Bilder mit den relevanten Einstellungen

Und wo ist die Antwort auf meine Frage?

Am 18.4.2024 um 14:46 schrieb Sunny61:

Darf denn die Gruppe das GPO lesen und übernehmen?

Ich kann nur etwas von Lesen sehen.

[MurdocX 904]

Hallo @xrated2,

 

leider ist in deinen Screenshots nicht zu erkennen, dass das Feedback der Kollegen umgesetzt wurde.

Wo ist der PC (nicht der Benutzer) oder die PC-Gruppe in der Sicherheitsfilterung (oder Sicherheit) der die Benutzer-Richtlinie lesen darf?

 

vor 3 Stunden schrieb Sunny61:

Ich kann nur etwas von Lesen sehen.

Das passt so. In der GUI wird das leider nicht klar dargestellt (Lesen -> Ohne übernehmen; Lesen (durch Sicherheitsfilterung) -> mit übernehmen)

 

 

VG,

Jan

 

 

[xrated2 15]

Ich konnte die Fragen nicht so ganz zuordnen.

 

Wegen dem PC, hatte ich schon geschrieben das Authentifizierte Benutzer auch Computerkonten beeinhaltet.

Am 17.4.2024 um 18:16 schrieb xrated2:

hatte ich schon gesehen, Authentifizierte User ist ja unter Delegation zugewiesen und beeinhaltet standardmäßig auch Computerkonten.

Und wie gesagt, bei manchen PCs geht es, bei anderen nicht.

 

 

Weiß nicht ob das ein generelles Einstellungsproblem ist wenn andere GPO mit der gleichen Art von Rechtevergabe funktionieren.

bearbeitet 19. April von xrated2

[MurdocX 904]

Wir haben jetzt hier ein kleines "kuddel muddel". ;)

 

Mach bitte folgendes:

1. Entferne "Authentifizierte Benutzer" unter der Delegierung.
2. Entferne "GPO-User-Onedrive" aus der Sicherheitsfilterung
3. Füge "Authentifizierte Benutzer" der Sicherheitsfilterung hinzu

Dann sollte es auch klappen.

 

Tipp: Filtere, wenn du dir nicht sicher bist, indem du die Benutzer in eine separate OU verschiebst und dort die GPO verlinkst (anwendest). Dann kann erstmal "Authentifizierte Benutzer" stehen bleiben, ohne weitere Auswirkungen für andere Benutzer. Solltest du dir sichererer sein, dann in die Produktiv-OU verknüpfen.

 

VG,

Jan

[xrated2 15]

Am 19.4.2024 um 20:58 schrieb MurdocX:

1. Entferne "Authentifizierte Benutzer" unter der Delegierung.
2. Entferne "GPO-User-Onedrive" aus der Sicherheitsfilterung
3. Füge "Authentifizierte Benutzer" der Sicherheitsfilterung hinzu

 

 

So gehe ich vor wenn ich es allen zuweise. Allerdings geht das bei dieser Policy nicht weil das Sharepoint Laufwerk im Explorer sonst bei vielen doppelt erscheinen würde, weil es manuell verlinkt ist. 

 

P.S wenn man 3. macht, fügt der dann nicht wieder das gleiche wie in 1. hinzu?

P.P.S. bei 2 von 3 PCs ging die GPO ja auf Anhieb

bearbeitet 21. April von xrated2

[MurdocX 904]

vor 10 Stunden schrieb xrated2:

P.S wenn man 3. macht, fügt der dann nicht wieder das gleiche wie in 1. hinzu?

Nein, sonst hätte ich es ja nicht erwähnt ;)

Ausprobieren und unterschied erkennen. Ein feiner, aber wichtiger Unterschied.