11
Gruppenrichtlinien sollen nicht auf Server-Login greifen
Hallihallo 
Wir haben GPO's angelegt in denen Netzlaufwerke sowie Drucker zugewiesen werden.
Diese eigentlich auch richtig verschoben so dass die nur auf den Geräten unter "Workspace" (nur Client-Geräte) greifen und nicht auf allen Geräten in der Domäne.
Wenn ich mich per mstsc auf den Server connecte mit meinem User werden trotzdem die Netzlaufwerke sowie Drucker eingebunden.
Und das Zeugs brauchts auf dem Server natürlich nicht.
Was muss ich da ändern?
Aja haben Server2008 im Einsatz
Danke schonmal
Mit freundlichen Grüßen
Wir haben GPO's angelegt in denen Netzlaufwerke sowie Drucker zugewiesen werden.
Diese eigentlich auch richtig verschoben so dass die nur auf den Geräten unter "Workspace" (nur Client-Geräte) greifen und nicht auf allen Geräten in der Domäne.
Wenn ich mich per mstsc auf den Server connecte mit meinem User werden trotzdem die Netzlaufwerke sowie Drucker eingebunden.
Und das Zeugs brauchts auf dem Server natürlich nicht.
Was muss ich da ändern?
Aja haben Server2008 im Einsatz
Danke schonmal
Mit freundlichen Grüßen
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 270056
Url: https://administrator.de/contentid/270056
Printed on: April 26, 2024 at 08:04 o'clock
11 Comments
Latest comment
Hallo,
auf welche AD-Gruppe beziehst du die GPO? Man kann ja die GPO auf verschiedene AD-Objekte anwenden...
auf welche AD-Gruppe beziehst du die GPO? Man kann ja die GPO auf verschiedene AD-Objekte anwenden...
Hi.
Netzlaufwerke können immer nur auf User bezogen werden. "Workspace" ist eine OU in der auch Userobjekte drin sind, richtig? Dann bekommen die User diese GPO immer, egal wo sie angemeldet sind, also vollkommen normales Verhalten.
Willst Du das verhindern, musst Du mit WMI-Filtern arbeiten, also die GPO nur auf Rechnern ausführen lassen, für die der WMI-Filter passt. Und WMI-Filter können Server rausfiltern, siehe https://technet.microsoft.com/de-de/library/cc947846%28v=ws.10%29.aspx
Netzlaufwerke können immer nur auf User bezogen werden. "Workspace" ist eine OU in der auch Userobjekte drin sind, richtig? Dann bekommen die User diese GPO immer, egal wo sie angemeldet sind, also vollkommen normales Verhalten.
Willst Du das verhindern, musst Du mit WMI-Filtern arbeiten, also die GPO nur auf Rechnern ausführen lassen, für die der WMI-Filter passt. Und WMI-Filter können Server rausfiltern, siehe https://technet.microsoft.com/de-de/library/cc947846%28v=ws.10%29.aspx
@dww:
ab Server 2012 muss muss man die GPO zusätzlich (auch wenn die GPO in einer OU verknüpft ist) an Objekte anbinden. Standardgemäß stehen da "authentifizierte Benutzer" drin.
Man kann aber diese auch herauswerfen und selbst Hand anlegen. WMI - Filter braucht man dann doch gar nicht mehr? Oder mach ich seit 2 Jahren was falsch?
Kann ja auch sein.
ab Server 2012 muss muss man die GPO zusätzlich (auch wenn die GPO in einer OU verknüpft ist) an Objekte anbinden. Standardgemäß stehen da "authentifizierte Benutzer" drin.
Man kann aber diese auch herauswerfen und selbst Hand anlegen. WMI - Filter braucht man dann doch gar nicht mehr? Oder mach ich seit 2 Jahren was falsch?
Kann ja auch sein.
Ok da liegen Geräte und User drin daran dürfts liegen.
Muss ich in dem Fall noch ordentlich aufräumen bzw die GPO richtig verschieben.
Kann ich aber die Netzlaufwerke in dem Fall nur mit einem WMI-Filter weglassen bei der Verbindung mit dem Server?
Muss ich in dem Fall noch ordentlich aufräumen bzw die GPO richtig verschieben.
Kann ich aber die Netzlaufwerke in dem Fall nur mit einem WMI-Filter weglassen bei der Verbindung mit dem Server?
Hi,
ich muss auch vermuten, dass die User auch in "Workspace" sind, weil sonst das Konstrukt nicht so funktionieren würde, wie vom TO beschrieben.
Entweder so, wie DWW schon schreibt.
Oder: Bei den GPP's zum Verbinden von Netzlaufwerken und Druckern kann man über die Zielgruppenadressierung eingrenzen.
Oder: Loopback-Modus --- User, Workstations und Server in jeweils verschiedene OU's ("parallel", nicht verschachtelt). Dann jene GPO, welche nur bei Anmeldung an bestimmten Computern gelten sollen, an der OU dieser Computer festmachen und für diese Computer die GPO-Loopback-Verarbeitung aktivieren.
E.
ich muss auch vermuten, dass die User auch in "Workspace" sind, weil sonst das Konstrukt nicht so funktionieren würde, wie vom TO beschrieben.
Entweder so, wie DWW schon schreibt.
Oder: Bei den GPP's zum Verbinden von Netzlaufwerken und Druckern kann man über die Zielgruppenadressierung eingrenzen.
Oder: Loopback-Modus --- User, Workstations und Server in jeweils verschiedene OU's ("parallel", nicht verschachtelt). Dann jene GPO, welche nur bei Anmeldung an bestimmten Computern gelten sollen, an der OU dieser Computer festmachen und für diese Computer die GPO-Loopback-Verarbeitung aktivieren.
E.
Emeriks hat Recht, nimm die Zielgruppenadressierung (das ist auch ein Weg, wmi-filtering zu nutzen) - ist am einfachsten.
Und wie komm ich zur Zielgruppenadressierung? ^^
danke schonmal
danke schonmal
Leck bin ich ein noob..
Ich kann nicht mal dieses Fenster finden
Ich kann nicht mal dieses Fenster finden
Das findet sich.
Wenn Du Netzlaufwerke über Group Policy preferences zuweist, siehe http://blogs.technet.com/b/askds/archive/2009/01/07/using-group-policy- ...
Das Bild in diesem Link zeigt 2 Reiter. Auf dem Reiter "common" findet sich "item level targeting", was auf deutsch Zielgruppenadressierung heißt.
Wenn Du die Netzlaufwerke per Script zuweist, sieht das anders aus, dann solltest Du das Skript gegen die group policy preference Einstellung auswechseln, damit geht es leichter.
Wenn Du Netzlaufwerke über Group Policy preferences zuweist, siehe http://blogs.technet.com/b/askds/archive/2009/01/07/using-group-policy- ...
Das Bild in diesem Link zeigt 2 Reiter. Auf dem Reiter "common" findet sich "item level targeting", was auf deutsch Zielgruppenadressierung heißt.
Wenn Du die Netzlaufwerke per Script zuweist, sieht das anders aus, dann solltest Du das Skript gegen die group policy preference Einstellung auswechseln, damit geht es leichter.
Achso ohman bin ich doof muss nur direkt auf jedes Netzlaufwerk/Drucker auf Eigenschaften klicken.
Danke
Danke