hummerman
Goto Top

2008 R2: Computerrichtlinien einem Benutzer zuweisen

Hallo,

ich habe aktuell ein Problem mit den Gruppenrichtlinien unter Windows Server 2008 R2. Ich habe den Anwendungsfall, dass an einem Rechner mehrere Leute arbeiten, aber bestimmten Benutzern zusätzliche Richtlinien (Computerrichtlinien) zugewiesen müssen.
Ich habe das auch bereits probiert, jedoch werden die Computerrichtlinien ignoriert, auch per Loopback funktioniert das scheinbar nicht.

Hatte irgendwer diesen Anwendungsfall schon mal?

Danke & Gruß

Content-Key: 243282

Url: https://administrator.de/contentid/243282

Ausgedruckt am: 29.03.2024 um 06:03 Uhr

Mitglied: gemini
gemini 10.07.2014 um 20:13:49 Uhr
Goto Top
Hallo Hummerman,

ich denke nicht, dass du Computerrichtlinien Benutzern zuweisen kannst. Das ist auch gar nicht Zweck des Loopbackmodus.

Computerrichtlinien gelten für Computer. Wenn sie greifen, dann für alle Benutzer des Computers, wenn sie nicht greifen ist der Computer nicht im Scope der Richtlinie oder per Sicherheitsfilterung, WMI-Filter, Zielgruppenadressierung etc. ausgeschlossen.

Einige (viele) Richtlinien gibt es sowohl im Computer- als auch im Benutzerteil. Hier ist es i.d.R. so, dass die Computerrichtlinie durchgesetzt wird falls beide konfiguriert sind.

Gruß,
gemini
Mitglied: Hummerman
Hummerman 10.07.2014 um 20:19:26 Uhr
Goto Top
Hallo gemini,

danke für deine Antwort!

Also ist mein Vorhaben nicht möglich?

Der Sinn soll sein, das bestimmte Einschränkungen, leider nur als Computerrichtlinie verfügbar, nur für bestimmte Benutzer gelten sollen. Damit andere Benutzer ohne diese Einschränkungen an den Rechner arbeiten können.

Gruß
Mitglied: DerWoWusste
DerWoWusste 10.07.2014 um 20:20:59 Uhr
Goto Top
Hi.

Gib bitte an, was Du konfigurieren möchtest - ein Beispiel reicht - und warum.
Mitglied: gemini
gemini 10.07.2014 um 20:26:10 Uhr
Goto Top
Hallo

Also ist mein Vorhaben nicht möglich?
Ich denke nicht.

Um welche Richtlinien handelt es sich denn?

gemini
Mitglied: Hummerman
Hummerman 10.07.2014 um 20:40:45 Uhr
Goto Top
Hallo,

es geht u. a. um folgende Richtlinie: "Interaktive Anmeldung: Smartcard erforderlich"

Bestimmte Benutzer sollen sich nur per Smartcard anmelden können und beim Rest reicht das normale Passwort.
Mitglied: DerWoWusste
DerWoWusste 10.07.2014 aktualisiert um 20:50:36 Uhr
Goto Top
Ok, eine etwas abwegige Idee, das ist nicht vorgesehen. Hast Du noch ein weiteres Beispiel?
Mitglied: Th0mKa
Th0mKa 10.07.2014 um 20:53:55 Uhr
Goto Top
Zitat von @Hummerman:

Ich habe das auch bereits probiert, jedoch werden die Computerrichtlinien ignoriert, auch per Loopback funktioniert das scheinbar
nicht.

Moin,

doch das sollte mit Loopback funktionieren, man muß nur verstehen wie das funktioniert. Vielleicht hilft der folgende Link:
http://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loo ...

VG,

Thomas
Mitglied: DerWoWusste
DerWoWusste 10.07.2014 um 20:58:01 Uhr
Goto Top
@tkr104
Nee, das zieht nicht. Lies Dir doch Deinen Link durch, das ist doch gar nicht sein Setup.
Mitglied: Hummerman
Hummerman 10.07.2014 um 20:58:27 Uhr
Goto Top
Darum geht es hauptsächlich, in dem Zusammenhang muss dann noch ein Dienst gestartet werden. Das wars dann schon.
Mitglied: colinardo
Lösung colinardo 10.07.2014, aktualisiert am 11.07.2014 um 16:12:26 Uhr
Goto Top
Moin,
Zitat von @Hummerman:
Bestimmte Benutzer sollen sich nur per Smartcard anmelden können und beim Rest reicht das normale Passwort.
schon mal in AD Users and Computers in die User-Accounts geschaut:

a0e1a78cd809e8ab730d1a76aefd6832

Grüße Uwe
Mitglied: Th0mKa
Th0mKa 10.07.2014 um 21:12:17 Uhr
Goto Top
Zitat von @DerWoWusste:

@tkr104
Nee, das zieht nicht. Lies Dir doch Deinen Link durch, das ist doch gar nicht sein Setup.

Warum muß sein Setup mit dem verlinkten Beispiel(!) identisch sein? Mir ging es primär darum das es mit Loopback Processing und WMI Filtern möglich ist Computerrichtlinien abhängig von Userobjekten wirken zu lassen.

VG,

Thomas
Mitglied: colinardo
colinardo 10.07.2014 aktualisiert um 21:18:40 Uhr
Goto Top
Zitat von @Th0mKa:
Warum muß sein Setup mit dem verlinkten Beispiel(!) identisch sein? Mir ging es primär darum das es mit Loopback
Processing und WMI Filtern möglich ist Computerrichtlinien abhängig von Userobjekten wirken zu lassen.
Es geht nur in die andere Richtung : "Usersettings abhängig vom Computer"

Grüße Uwe
Mitglied: gemini
Lösung gemini 10.07.2014, aktualisiert am 11.07.2014 um 16:12:12 Uhr
Goto Top
Hallo Hummerman,

die Smartcard-Anmeldung kannst du auch im Benutzerkonto erzwingen (ADUC: Eigenschaften von <User>\Konto\Kontooptionen: Benutzer muss sich mit einer Smartcard anmelden).

@tkr104
doch das sollte mit Loopback funktionieren, man muß nur verstehen wie das funktioniert. Vielleicht hilft der folgende Link:
http://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loo ...
Der Loopbackmodus ermöglicht, dass ein Benutzer Richtlinien, genauer den Anteil Benutzerkonfiguration, zugewiesen bekommt die im Scope des Computerobjekts liegen.
Hummerman möchte, dass der Benutzer den Anteil Computerkonfiguration liest, und das geht so nicht.

Gruß,
gemini
Mitglied: Hummerman
Hummerman 10.07.2014 um 21:21:15 Uhr
Goto Top
@colinardo und gemini: Danke für den Hinweis! Diese Option habe ich schon getestet, leider bewirkt diese, dass das Passwort vom Benutzer entfernt wird und dann ist auch kein Login mehr bei anderen Anwendungen möglich.
Mein Anwendungsfall ist leider ein wenig merkwürdig, die Struktur ist aber leider so.
Mitglied: DerWoWusste
DerWoWusste 10.07.2014 um 21:27:59 Uhr
Goto Top
Sehr merkwürdig, indeed. Eigentlich soll damit ja ein Rechner abgesichert warden. nun ja.
Und was meintest Du mit
in dem Zusammenhang muss dann noch ein Dienst gestartet werden
Mitglied: colinardo
Lösung colinardo 10.07.2014, aktualisiert am 11.07.2014 um 16:12:16 Uhr
Goto Top
Zitat von @Hummerman:

@colinardo und gemini: Danke für den Hinweis! Diese Option habe ich schon getestet, leider bewirkt diese, dass das Passwort vom Benutzer entfernt wird und dann ist auch kein Login mehr bei anderen Anwendungen möglich.

habe ich jetzt so noch nicht ausprobiert: aber habt ihr im Account nach dem Setzen der Option schon mal das Kennwort des Accounts neu gesetzt, und dann in der entsprechenden Anwendung (nicht beim Windows Login) versucht mit dem Kennwort einzuloggen:

Benutzer muss sich mit einer Smartcard anmelden
Macht es erforderlich, dass ein Benutzer eine Smartcard besitzt, um sich interaktiv im Netzwerk anmelden zu können. Der Computer des Benutzers muss zudem über einen Smartcardleser verfügen, und der Benutzer muss eine gültige Geheimzahl (Personal Identification Number, PIN) für die Smartcard besitzen. Wenn diese Option aktiviert ist, wird das Kennwort für das Benutzerkonto automatisch auf einen zufälligen und komplexen Wert festgelegt, und die Kontooption Kennwort läuft nie ab wird festgelegt.
Mitglied: Hummerman
Hummerman 10.07.2014 um 21:36:44 Uhr
Goto Top
Theoretisch hast du schon Recht, in dem Fall hängt damit aber noch mehr zusammen, z. B. Netzlaufwerke usw.

Folgender Dienst: "Richtlinie zum Entfernen der Smartcard"
Mitglied: Hummerman
Hummerman 10.07.2014 aktualisiert um 21:48:18 Uhr
Goto Top
Danke! Auf die Idee bin ich noch nicht gekommen. Werde das mal ausprobieren.

Edit: Scheint zu funktionieren, ich werde das mal genauer testen.
Mitglied: DerWoWusste
DerWoWusste 10.07.2014 um 23:03:38 Uhr
Goto Top
Scheint zu funktionieren
Also bei mir nicht.
Mitglied: Hummerman
Hummerman 11.07.2014 um 16:13:26 Uhr
Goto Top
Die LDAP-Anwendungen funktionieren mit dem Trick, OWA, Outlook Anywhere und ActiveSync leider nicht.
Mitglied: DerWoWusste
DerWoWusste 11.07.2014 um 16:32:38 Uhr
Goto Top
...und interaktiv anmelden kann sich der Nutzer dann auch nirgendwo mehr ohne Smartcard.
Mitglied: Hummerman
Hummerman 11.07.2014 um 16:35:38 Uhr
Goto Top
Der Effekt ist ja gewünscht, bis auf die Exchange-Geschichte scheint das Ganze einwandfrei zu funktionieren.
Mitglied: DerWoWusste
DerWoWusste 11.07.2014 um 16:53:46 Uhr
Goto Top
Ach so...ich dachte, nur auf einem einzigen PC soll es beschränkt werden. Gut.