Gruppenrichtlinien sollen nicht auf Server-Login greifen
Hallihallo
Wir haben GPO's angelegt in denen Netzlaufwerke sowie Drucker zugewiesen werden.
Diese eigentlich auch richtig verschoben so dass die nur auf den Geräten unter "Workspace" (nur Client-Geräte) greifen und nicht auf allen Geräten in der Domäne.
Wenn ich mich per mstsc auf den Server connecte mit meinem User werden trotzdem die Netzlaufwerke sowie Drucker eingebunden.
Und das Zeugs brauchts auf dem Server natürlich nicht.
Was muss ich da ändern?
Aja haben Server2008 im Einsatz
Danke schonmal
Mit freundlichen Grüßen
Wir haben GPO's angelegt in denen Netzlaufwerke sowie Drucker zugewiesen werden.
Diese eigentlich auch richtig verschoben so dass die nur auf den Geräten unter "Workspace" (nur Client-Geräte) greifen und nicht auf allen Geräten in der Domäne.
Wenn ich mich per mstsc auf den Server connecte mit meinem User werden trotzdem die Netzlaufwerke sowie Drucker eingebunden.
Und das Zeugs brauchts auf dem Server natürlich nicht.
Was muss ich da ändern?
Aja haben Server2008 im Einsatz
Danke schonmal
Mit freundlichen Grüßen
Please also mark the comments that contributed to the solution of the article
Content-Key: 270056
Url: https://administrator.de/contentid/270056
Printed on: April 26, 2024 at 08:04 o'clock
11 Comments
Latest comment
Hi.
Netzlaufwerke können immer nur auf User bezogen werden. "Workspace" ist eine OU in der auch Userobjekte drin sind, richtig? Dann bekommen die User diese GPO immer, egal wo sie angemeldet sind, also vollkommen normales Verhalten.
Willst Du das verhindern, musst Du mit WMI-Filtern arbeiten, also die GPO nur auf Rechnern ausführen lassen, für die der WMI-Filter passt. Und WMI-Filter können Server rausfiltern, siehe https://technet.microsoft.com/de-de/library/cc947846%28v=ws.10%29.aspx
Netzlaufwerke können immer nur auf User bezogen werden. "Workspace" ist eine OU in der auch Userobjekte drin sind, richtig? Dann bekommen die User diese GPO immer, egal wo sie angemeldet sind, also vollkommen normales Verhalten.
Willst Du das verhindern, musst Du mit WMI-Filtern arbeiten, also die GPO nur auf Rechnern ausführen lassen, für die der WMI-Filter passt. Und WMI-Filter können Server rausfiltern, siehe https://technet.microsoft.com/de-de/library/cc947846%28v=ws.10%29.aspx
@dww:
ab Server 2012 muss muss man die GPO zusätzlich (auch wenn die GPO in einer OU verknüpft ist) an Objekte anbinden. Standardgemäß stehen da "authentifizierte Benutzer" drin.
Man kann aber diese auch herauswerfen und selbst Hand anlegen. WMI - Filter braucht man dann doch gar nicht mehr? Oder mach ich seit 2 Jahren was falsch?
Kann ja auch sein.
ab Server 2012 muss muss man die GPO zusätzlich (auch wenn die GPO in einer OU verknüpft ist) an Objekte anbinden. Standardgemäß stehen da "authentifizierte Benutzer" drin.
Man kann aber diese auch herauswerfen und selbst Hand anlegen. WMI - Filter braucht man dann doch gar nicht mehr? Oder mach ich seit 2 Jahren was falsch?
Kann ja auch sein.
Hi,
ich muss auch vermuten, dass die User auch in "Workspace" sind, weil sonst das Konstrukt nicht so funktionieren würde, wie vom TO beschrieben.
Entweder so, wie DWW schon schreibt.
Oder: Bei den GPP's zum Verbinden von Netzlaufwerken und Druckern kann man über die Zielgruppenadressierung eingrenzen.
Oder: Loopback-Modus --- User, Workstations und Server in jeweils verschiedene OU's ("parallel", nicht verschachtelt). Dann jene GPO, welche nur bei Anmeldung an bestimmten Computern gelten sollen, an der OU dieser Computer festmachen und für diese Computer die GPO-Loopback-Verarbeitung aktivieren.
E.
ich muss auch vermuten, dass die User auch in "Workspace" sind, weil sonst das Konstrukt nicht so funktionieren würde, wie vom TO beschrieben.
Entweder so, wie DWW schon schreibt.
Oder: Bei den GPP's zum Verbinden von Netzlaufwerken und Druckern kann man über die Zielgruppenadressierung eingrenzen.
Oder: Loopback-Modus --- User, Workstations und Server in jeweils verschiedene OU's ("parallel", nicht verschachtelt). Dann jene GPO, welche nur bei Anmeldung an bestimmten Computern gelten sollen, an der OU dieser Computer festmachen und für diese Computer die GPO-Loopback-Verarbeitung aktivieren.
E.
Das findet sich.
Wenn Du Netzlaufwerke über Group Policy preferences zuweist, siehe http://blogs.technet.com/b/askds/archive/2009/01/07/using-group-policy- ...
Das Bild in diesem Link zeigt 2 Reiter. Auf dem Reiter "common" findet sich "item level targeting", was auf deutsch Zielgruppenadressierung heißt.
Wenn Du die Netzlaufwerke per Script zuweist, sieht das anders aus, dann solltest Du das Skript gegen die group policy preference Einstellung auswechseln, damit geht es leichter.
Wenn Du Netzlaufwerke über Group Policy preferences zuweist, siehe http://blogs.technet.com/b/askds/archive/2009/01/07/using-group-policy- ...
Das Bild in diesem Link zeigt 2 Reiter. Auf dem Reiter "common" findet sich "item level targeting", was auf deutsch Zielgruppenadressierung heißt.
Wenn Du die Netzlaufwerke per Script zuweist, sieht das anders aus, dann solltest Du das Skript gegen die group policy preference Einstellung auswechseln, damit geht es leichter.