Seltsamer Effekt bei GruRiLi

[tgvoelker 10]

Hallo Zusammen!

 

im Rahmen der Aktualisierung einer NT Domäne auf AD habe ich Gruppenrichtlinien mit aufgesetzt (vorerst getestet nur an einem Benutzer - mir als Domänenadmin mit recht moderaten schnickschnackeinstellungen).

 

Dazu habe ich eine OU "Policy Container" nebst untergeordneter Struktur angelegt und nur den (meinen) Benutzer (ein Domänen-Admin) dort reingenommen. Rechner und sonstige Benutzer befinden sich in "Users" und "Computers".

Dieser OU habe ich eine Richtlinie zugewiesen, die u.a. das Temp-Verzeichnis setzt (ist bei fast allen PC's aufgrund WWS notwendig). Wie gesagt, keine Rechner in der OU.

 

Interessanterweise wurden nicht nur die Benutzereinstellungen auf alle Rechner übernommen, auf denen der Benutzer angemeldet war, sondern ebenfalls die Computereinstellungen. Das verwundert mich schon etwas - hatte ich doch vor, sukkzessive die Rechner in die der OU untergeordnete Struktur einzuordnen um zielgerichtet die Richtlinien anzuwenden.

 

Zus. Infos: Domäne befindet sich im gemischten Betrieb und es sind Windows 2000 und NT4 DC's vorhanden. Wenn ich in der GPMC die Ergebnisse für den Benutzer in der OU i.v. mit einem Windows XP Rechner anzeigen lasse, dann wird die Policy auch auf Rechnereinstellungen angewandt. Der Rechner befindet sich NICHT in der OU, sondern im Container "Computers". Letztlich wollte ich mit der neuen OU ja verhindern, daß die Einstellungen auf alle Computer angewandt werden, sondern wollte erreichen, daß ich selektieren kann, wer was wann aufgedrückt bekommt.

 

Nun zur Frage:

Wie kann ich sicherstellen, daß diese neu erstellte Policy nicht auf Computer angewendet wird (nicht im Hinblick auf Rechtevergabe, sondern auf OU-Strukturierung)?

 

Danke für Eure Antworten!

 

Thomas

[Gadget 37]

Hi TGVoelker und willkommen an Board,

 

hast du mit der XP-Kiste in den Resultant Set of Policies geschaut was die Ursprungsrichtlinie für die übernommenen Computereinstellungen is?

 

Hast du die Änderungen vielleicht an der Default Domain Policy gemacht.

 

Falls nein würde ich für die Computer die, die Richtlinie nicht übernehmen sollen einfach mal ne OU anlegen und die Richtlinie nicht verknüpfen.

 

LG Gadget

[Lifeforce 10]

Gib mal auf dem XP das Kommando gpresult ein und poste das Ergebnis.

[tgvoelker 10]

Hi TGVoelker und willkommen an Board,

 

hast du mit der XP-Kiste in den Resultant Set of Policies geschaut was die Ursprungsrichtlinie für die übernommenen Computereinstellungen is?

Ja. Die Richtlinie heißt "Standardeinstellungen". Ich habe diese Richtlinie mit der OU "Policy Container" verknüpft. In dieser OU befindet sich ein einziger Benutzer (der mit dem ich mich anmelde, um das zu testen), sonst nur OUs.

Hast du die Änderungen vielleicht an der Default Domain Policy gemacht.

Nein.

Falls nein würde ich für die Computer die, die Richtlinie nicht übernehmen sollen einfach mal ne OU anlegen und die Richtlinie nicht verknüpfen.

LG Gadget

Die Computer befinden sich noch im Container "Computers" und der ist in der gleichen Ebene wie der "Policy Container" (von mir angelegte OU für Policies). Nach meinem Verständnis sollten dann die Computereinstellungen der Standard Domain Policy angewandt werden, die "Standardeinstellungen" kennen die Computer ja garnicht.

 

Interessanterweise scheint das Problem damit zu tun zu haben, ob sich der Benutzer im "Policy Container" an den Rechnern angemeldet hat oder nicht. Die Policy "Standardeinstellungen" enthält sowohl Benutzer- als auch Computereinstellungen - das wird doch alles in HKLM\Security geschrieben, oder? Unterscheidet da Windows überhaupt nach Computereinstellungen und Benutzereinstellungen in einem Template in der Anwendung oder gilt "alles oder nichts"?

 

Ich trenne mal die Einstellungen auf und mache eins mit den Benutzereinstellungen und eins mit den Computereinstellungen. Wahrscheinlich wird das das Problem lösen.