7
Gruppenrichtlinie Sicherheitsfilterung mittel einer Gruppe
Hallo!
Ich habe eine Gruppenrichtlinie mit Benutzerkonfigurations-Einstellungen erstellt und auf die OU ..\TESTUSER hingehängt.
Bei der Sicherheitsfilterung (GP-Manager) habe ich dann die Gruppe TESTGRUPPE - in der ein Testuser eingetrage ist - angegeben.
Wenn ich mich nun am System mit dem o.a. Testuser anmelde bekomme ich nach gpresult folgende Meldung:
Was habe ich falsch gemacht?
hansis
Ich habe eine Gruppenrichtlinie mit Benutzerkonfigurations-Einstellungen erstellt und auf die OU ..\TESTUSER hingehängt.
Bei der Sicherheitsfilterung (GP-Manager) habe ich dann die Gruppe TESTGRUPPE - in der ein Testuser eingetrage ist - angegeben.
Wenn ich mich nun am System mit dem o.a. Testuser anmelde bekomme ich nach gpresult folgende Meldung:
Filterung: Nicht angewendet (Unbekannte Ursache)Was habe ich falsch gemacht?
hansis
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 127283
Url: https://administrator.de/contentid/127283
Printed on: April 20, 2024 at 00:04 o'clock
7 Comments
Latest comment
Moin Moin
Befindet sich der Testuser unterhalb der OU "TESTUSER"?
Die Gruppe TESTGRUPPE hat auch des Recht "Gruppenrichtlinie übernehmen" an deiner GPO erhalten?
Du erhälst genauere informationen wenn Du in der GPMC ein Richtlinienergebniss erstellst.
Gruß L.
Befindet sich der Testuser unterhalb der OU "TESTUSER"?
Die Gruppe TESTGRUPPE hat auch des Recht "Gruppenrichtlinie übernehmen" an deiner GPO erhalten?
Du erhälst genauere informationen wenn Du in der GPMC ein Richtlinienergebniss erstellst.
Gruß L.
Nein!
Hier mal die genau Problemstellung:
Ich möchte im Outlook die Autoarchivierung generell deaktivieren. Nur in einer bestimmten OU, in der best. Computerobjekte enthalten sind, sollten gewisse MitarbeiterInnen die AA verwenden können.
Gelöst habe ich das mit der LOOPBACK-Verarbeitung.
Folgendes Testszenario habe ich mir aufgebaut:
Auf der Gruppe Computer hängt das GPO Office_deaktiviereAutoArchivierung und gilt für alle Authentifzierten Benutzer.
Auf der Gruppe Computer > Test hängt das GPO Office_aktiviereAutoArchivierung (Loopbackverarbeitung) und gilt für die Gruppe Testgruppe1.
Ich möchte erreichen, dass alle Benutzer der Testgruppe1 auf dem PC TESTPC1 die Autoarchivierung nutzen können.
Gebe ich in der Richtlinie die auf Computer > Test hängt die Authentifizierten Benutzer an, funktioniert es.
Möchte ich das über die Gruppe Testgrupp1 lösen, wird die Richtlinie herausgefiltert.
Wie kann ich das erreichen?
lg
Hansi
Hier mal die genau Problemstellung:
Ich möchte im Outlook die Autoarchivierung generell deaktivieren. Nur in einer bestimmten OU, in der best. Computerobjekte enthalten sind, sollten gewisse MitarbeiterInnen die AA verwenden können.
Gelöst habe ich das mit der LOOPBACK-Verarbeitung.
Folgendes Testszenario habe ich mir aufgebaut:
Computer..|-- TEST....|-- TESTPC1Benutzer..|-- User....|-- Testuser1..|-- Groups....|-- Testgruppe1Auf der Gruppe Computer hängt das GPO Office_deaktiviereAutoArchivierung und gilt für alle Authentifzierten Benutzer.
Auf der Gruppe Computer > Test hängt das GPO Office_aktiviereAutoArchivierung (Loopbackverarbeitung) und gilt für die Gruppe Testgruppe1.
Ich möchte erreichen, dass alle Benutzer der Testgruppe1 auf dem PC TESTPC1 die Autoarchivierung nutzen können.
Gebe ich in der Richtlinie die auf Computer > Test hängt die Authentifizierten Benutzer an, funktioniert es.
Möchte ich das über die Gruppe Testgrupp1 lösen, wird die Richtlinie herausgefiltert.
Wie kann ich das erreichen?
lg
Hansi
Moin Moin
Eins Vorweg:
Wenn ich mich recht entsinne ist die Einstellung der Autoarchivierung eine reine Benutzereinstellung.
Daher soltest Du die GPO Office_deaktiviereAutoArchivierung auf die OU User loslassen.
Zu der GPO Office_aktiviereAutoArchivierung:
Wenn ich das richtig verstehe hast du darin Benutzereinstellung zur AA und Die Computereinstellung Loopbackverarbeitung aktiviert. Richtig?
Wenn Du diese GPO auf die Gruppe Testgruppe1 einschränkem möchtest muss zusätzlich zu den Usern auch der Computer TESTPC1 in diese Gruppe.
Gruß L.
Eins Vorweg:
Wenn ich mich recht entsinne ist die Einstellung der Autoarchivierung eine reine Benutzereinstellung.
Daher soltest Du die GPO Office_deaktiviereAutoArchivierung auf die OU User loslassen.
Zu der GPO Office_aktiviereAutoArchivierung:
Wenn ich das richtig verstehe hast du darin Benutzereinstellung zur AA und Die Computereinstellung Loopbackverarbeitung aktiviert. Richtig?
Wenn Du diese GPO auf die Gruppe Testgruppe1 einschränkem möchtest muss zusätzlich zu den Usern auch der Computer TESTPC1 in diese Gruppe.
Gruß L.
Die AA von Outlook ist eine Benutzereinstellung, das stimmt.
Aber durch die Aktivierung der Loopback-Verarbeitung sollte diese eben auf alle Computerobjekte wirken, die in dieser Gruppe drinnen sind.
Durch den Sicherheitsfilter sollte gewährleistet werden, dass dies nur bei dem Testusern stattfindet.
Habe eine andere Richtlinie auch so gemacht und den Filter auf authentifizierte Benutzer gesetzt. Und da funktioniert es.
lg
Aber durch die Aktivierung der Loopback-Verarbeitung sollte diese eben auf alle Computerobjekte wirken, die in dieser Gruppe drinnen sind.
Durch den Sicherheitsfilter sollte gewährleistet werden, dass dies nur bei dem Testusern stattfindet.
Habe eine andere Richtlinie auch so gemacht und den Filter auf authentifizierte Benutzer gesetzt. Und da funktioniert es.
lg
Moin
Also Computereinstellungen wirken nur auf Computerobjekte und Benutzereinstellungen nur auf Benutzerobjekte.
Mit LBV werden zwar Benutzereinstellungen quasi pro Computer nachgezogen, aber dazu muss die Computereinstellung Loopback-Verarbeitung mind. auf einen Computer greifen.
D.H. wenn du die GPO aktiviereAutoArchivierung auf eine Gruppe einschränkst muss in dieser Gruppe auch der/die Computer enthalten sein auf dem/denen die LBV aktiviert werden soll.
In der Gruppe der "authentifizierte Benutzer" sind alle Benutzer/Computer der Domäne enthalten, daher funktioniert es damit.
Gruß L.
Also Computereinstellungen wirken nur auf Computerobjekte und Benutzereinstellungen nur auf Benutzerobjekte.
Mit LBV werden zwar Benutzereinstellungen quasi pro Computer nachgezogen, aber dazu muss die Computereinstellung Loopback-Verarbeitung mind. auf einen Computer greifen.
D.H. wenn du die GPO aktiviereAutoArchivierung auf eine Gruppe einschränkst muss in dieser Gruppe auch der/die Computer enthalten sein auf dem/denen die LBV aktiviert werden soll.
In der Gruppe der "authentifizierte Benutzer" sind alle Benutzer/Computer der Domäne enthalten, daher funktioniert es damit.
Gruß L.
Hallo!
OK, jetzt verstehe ich das.
Stellt sich die Frage wie ich das am besten lösen kann.
Ich möchte die Autoarchivierung generell abschalten. Nur für bestimmte User oder PCs soll sie konfigurierbar sein.
Wie kann ich das am besten bewerkstelligen, ohne die Gruppenrichtlinie Office 2x zu pflegen (1x mit und 1x unkonfiguriert bzg. AA)
thx
hansi
OK, jetzt verstehe ich das.
Stellt sich die Frage wie ich das am besten lösen kann.
Ich möchte die Autoarchivierung generell abschalten. Nur für bestimmte User oder PCs soll sie konfigurierbar sein.
Wie kann ich das am besten bewerkstelligen, ohne die Gruppenrichtlinie Office 2x zu pflegen (1x mit und 1x unkonfiguriert bzg. AA)
thx
hansi
Moin Moin
Wenn ich es richtig verstanden haben hast Du bereits eine GPO in der die AA für alle User deaktiviert wird. Die lässt du wie sie ist.
Du erstellst eine neue Gruppe (z.B. AA_aktiviert). Dann erstellst Du eine Neue GPO in der die AA sowie der LBV Aktiviert wird.
Diese GPO wird dann nur für die Gruppe AA_aktiviert übernommen.
In diese Gruppe packst du jetzt alle User die die AA nutzen sollen und alle PCs auf denen du den Usern das gestatten möchtest.
Gruß L.
Wie kann ich das am besten bewerkstelligen, ohne die Gruppenrichtlinie Office 2x zu pflegen (1x mit und 1x unkonfiguriert bzg. AA)
Leider gar nicht. Du benötigst mind 2. Richtlinien da du 2 gegenteilige Einstellungen (1 x AA aktiviert und 1 x AA deaktiviert) realisieren möchtest.Wenn ich es richtig verstanden haben hast Du bereits eine GPO in der die AA für alle User deaktiviert wird. Die lässt du wie sie ist.
Du erstellst eine neue Gruppe (z.B. AA_aktiviert). Dann erstellst Du eine Neue GPO in der die AA sowie der LBV Aktiviert wird.
Diese GPO wird dann nur für die Gruppe AA_aktiviert übernommen.
In diese Gruppe packst du jetzt alle User die die AA nutzen sollen und alle PCs auf denen du den Usern das gestatten möchtest.
Gruß L.
