8
Gruppenrichtlinien werden falsch übernommen
Hallo,
ich habe einen Testserver mit Win2003 aufgesetzt und versucht Active Directory Funktionen einzusetzen. Soweit funktioniert alles wie es soll: der Client kann sich anmelden, seine Profildaten (Eigene Dateien) werden auf dem Server gespeichert usw. Für das Umleiten der eigenen Dateien wurde eine 1 eigene] Gruppenrichtlinie eingerichtet.
Nun habe ich versucht den Befehl "Ausführen" aus dem Startmenue mit einer neuen Richtlinie (Benutzerkonfiguration/Adminis. Vorlagen/Startmenü&Taskleiste/Menüeintrag Ausführen entfernen) zu entfernen.
Das Gruppenrichtlinienobjekt wurde mit der Domäne verknüpft, sowie die Zugriffsberechtig. für DomänenBenutzer und Domänenadmins gesetzt.
Anschließend kam es zu einer Anwendung auf lokaler Ebene: auf dem Server wurde der Eintrag Ausführen entfernt.
Der Client übernahm die neue Richtlinie nicht d.h. man konnte den Menüpunkt immernoch erreichen.
(Unter DNS wurde in den Netzwerkeinstell. des Client der Server eingetragen)
Könnte ihr mir da weiterhelfen?
Tristan
ich habe einen Testserver mit Win2003 aufgesetzt und versucht Active Directory Funktionen einzusetzen. Soweit funktioniert alles wie es soll: der Client kann sich anmelden, seine Profildaten (Eigene Dateien) werden auf dem Server gespeichert usw. Für das Umleiten der eigenen Dateien wurde eine 1 eigene] Gruppenrichtlinie eingerichtet.
Nun habe ich versucht den Befehl "Ausführen" aus dem Startmenue mit einer neuen Richtlinie (Benutzerkonfiguration/Adminis. Vorlagen/Startmenü&Taskleiste/Menüeintrag Ausführen entfernen) zu entfernen.
Das Gruppenrichtlinienobjekt wurde mit der Domäne verknüpft, sowie die Zugriffsberechtig. für DomänenBenutzer und Domänenadmins gesetzt.
Anschließend kam es zu einer Anwendung auf lokaler Ebene: auf dem Server wurde der Eintrag Ausführen entfernt.
Der Client übernahm die neue Richtlinie nicht d.h. man konnte den Menüpunkt immernoch erreichen.
(Unter DNS wurde in den Netzwerkeinstell. des Client der Server eingetragen)
Könnte ihr mir da weiterhelfen?
Tristan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 28999
Url: https://administrator.de/contentid/28999
Printed on: April 23, 2024 at 15:04 o'clock
8 Comments
Latest comment
Hi Tristan,
hat Du überprüft ob die Policie auch auf dem Client übernommen wurde?
Prüfen kannst Du in der Shell (dosbox)mit dem Befehl "gpresult".
Unter XP (ob Home weiss ich leider nicht aber mit Pro auf jedenfall) kannst Du
mit "gpupdate" das neue ziehen der Policie veranlassen.
Grüße
Uli
hat Du überprüft ob die Policie auch auf dem Client übernommen wurde?
Prüfen kannst Du in der Shell (dosbox)mit dem Befehl "gpresult".
Unter XP (ob Home weiss ich leider nicht aber mit Pro auf jedenfall) kannst Du
mit "gpupdate" das neue ziehen der Policie veranlassen.
Grüße
Uli
@uli: Vielen Dank für den Hinweis.
Bis jetzt habe ich gpupdate immer auf dem Server eingeben, als ich jetzt wieder auf den Client geschaut habe hat dieser sich in der Zwischenzeit automatisch die neue Richtlinien geholt.
Das Tool gpresult ist trotzdem sehr hilfreich gewesen. Jetzt bleibt nur noch das Problem, dass sich die Richtlinien auch auf den Server lokal auswirken.
Eine Analyse mit gpresult ergab:
Computereinstellungen:
Angewandte Gruppenrichtl
-Default Domain Controllers Policy
-Default Domain Policy
Nicht angewendt. Gruppenrichtl.
-Richtlinien d. lokalen Gruppen
-"Zugriff_Beschr"
-Ordnerumleitung
Benutzereinstellungen:
Angewandt. Richtl
- Default Domain Policy
-Richtlinien d. lokalen Gruppen
-"Zugriff_Beschr"
-Ordnerumleitung
Wo kann man den die Übernahme auf den Server Adminaccount deaktivieren?
Bis jetzt habe ich gpupdate immer auf dem Server eingeben, als ich jetzt wieder auf den Client geschaut habe hat dieser sich in der Zwischenzeit automatisch die neue Richtlinien geholt.
Das Tool gpresult ist trotzdem sehr hilfreich gewesen. Jetzt bleibt nur noch das Problem, dass sich die Richtlinien auch auf den Server lokal auswirken.
Eine Analyse mit gpresult ergab:
Computereinstellungen:
Angewandte Gruppenrichtl
-Default Domain Controllers Policy
-Default Domain Policy
Nicht angewendt. Gruppenrichtl.
-Richtlinien d. lokalen Gruppen
-"Zugriff_Beschr"
-Ordnerumleitung
Benutzereinstellungen:
Angewandt. Richtl
- Default Domain Policy
-Richtlinien d. lokalen Gruppen
-"Zugriff_Beschr"
-Ordnerumleitung
Wo kann man den die Übernahme auf den Server Adminaccount deaktivieren?
Ich denke es ist am einfachsten mit 2 OU´s zu realisiern.
Eine OU für die Server und eine für die Workstations. (Server in die Server OU verschieben und Client in die Workstation OU)
Auf die Workstation OU wendest Du dann die Policie an.
Siehe auch hier:
Gruppenrichtlinien
Ciao
Uli
Eine OU für die Server und eine für die Workstations. (Server in die Server OU verschieben und Client in die Workstation OU)
Auf die Workstation OU wendest Du dann die Policie an.
Siehe auch hier:
Gruppenrichtlinien
Ciao
Uli
Wo kann man den die Übernahme auf den
Server Adminaccount deaktivieren?
Hi,Server Adminaccount deaktivieren?
das ist ganz einfach. Markiere deine GPO, klicke im Reiter "Delegierung" auf Erweitert (wie in deinem obigen Bild). Jetzt wählst du den gewünschten Account aus und setzt bei der Option "Gruppenrichtline übernehmen" ein Häkchen bei "Verweigern". Danach gilt diese GPO für diesen Account nicht mehr.
Danke jetzt hat das mit dem "Verweigern" beim Admin auch geklappt.
Wie kann man die Richtlinen den verschieben - oder sollte ich nur die Zugriffsrechte bei den beiden Gruppenrichtlinien ändern?
Ich denke es ist am einfachsten mit 2
OU´s zu realisiern.
Eine OU für die Server und eine
für die Workstations. (Server in die
Server OU verschieben und Client in die
Workstation OU)
Auf die Workstation OU wendest Du dann die
Policie an.
Siehe auch hier:
Gruppenrichtlinien
Ciao
Uli
OU´s zu realisiern.
Eine OU für die Server und eine
für die Workstations. (Server in die
Server OU verschieben und Client in die
Workstation OU)
Auf die Workstation OU wendest Du dann die
Policie an.
Siehe auch hier:
Gruppenrichtlinien
Ciao
Uli
Wie kann man die Richtlinen den verschieben - oder sollte ich nur die Zugriffsrechte bei den beiden Gruppenrichtlinien ändern?
Also das mit den zusätzlichen OU's würde ich mal vergessen. Wenn du das bei jeder Richtlinie so durchziehst blickst du irgendwann nicht mehr durch. Für solche "Probleme" verwendet man Gruppen. Da packst du deine User oder Computer, auf die die Richtlinie nicht wirken soll, rein und machst dann bei denen "Gruppenrichtlinie übernehmen > verweigern". Ist weitaus einfacher und nicht so aufwändig.
"Verschieben" von GPO's ist vielleicht falsch ausgedrückt. Die Richtlinien die du an deiner OU siehst sind ja nur Verknüpfungen. Wenn du die z.B. löschst gibt es die Richtlinie immer noch. Diese findest du unter Gruppenrichtlinienobjekte. Du kannst dann die Richtlinie aus der einen OU löschen und an einer anderen wieder verknüpfen. Wenn du eine Richtlinie an 2 OU's betreiben willst gelten die Einstellungen ( Sicherheitsfilterung, Delegierung) für beide OU's. Wenn du z.B. bei der einen eine Gruppe/User oder Computer hinzufügst, dann wirst du die in der Richtlinie der anderen OU ebenfalls finden.
Gruß
"Verschieben" von GPO's ist vielleicht falsch ausgedrückt. Die Richtlinien die du an deiner OU siehst sind ja nur Verknüpfungen. Wenn du die z.B. löschst gibt es die Richtlinie immer noch. Diese findest du unter Gruppenrichtlinienobjekte. Du kannst dann die Richtlinie aus der einen OU löschen und an einer anderen wieder verknüpfen. Wenn du eine Richtlinie an 2 OU's betreiben willst gelten die Einstellungen ( Sicherheitsfilterung, Delegierung) für beide OU's. Wenn du z.B. bei der einen eine Gruppe/User oder Computer hinzufügst, dann wirst du die in der Richtlinie der anderen OU ebenfalls finden.
Gruß
Also das mit den zusätzlichen OU's
würde ich mal vergessen. Wenn du das
bei jeder Richtlinie so durchziehst blickst
du irgendwann nicht mehr durch. Für
solche "Probleme" verwendet man
Gruppen. Da packst du deine User oder
Computer, auf die die Richtlinie nicht
wirken soll, rein und machst dann bei denen
"Gruppenrichtlinie übernehmen >
verweigern". Ist weitaus einfacher und
nicht so aufwändig.
"Verschieben" von GPO's ist
vielleicht falsch ausgedrückt. Die
Richtlinien die du an deiner OU siehst sind
ja nur Verknüpfungen. Wenn du die z.B.
löschst gibt es die Richtlinie immer
noch. Diese findest du unter
Gruppenrichtlinienobjekte. Du kannst dann
die Richtlinie aus der einen OU löschen
und an einer anderen wieder verknüpfen.
Wenn du eine Richtlinie an 2 OU's betreiben
willst gelten die Einstellungen (
Sicherheitsfilterung, Delegierung) für
beide OU's. Wenn du z.B. bei der einen eine
Gruppe/User oder Computer hinzufügst,
dann wirst du die in der Richtlinie der
anderen OU ebenfalls finden.
Gruß
würde ich mal vergessen. Wenn du das
bei jeder Richtlinie so durchziehst blickst
du irgendwann nicht mehr durch. Für
solche "Probleme" verwendet man
Gruppen. Da packst du deine User oder
Computer, auf die die Richtlinie nicht
wirken soll, rein und machst dann bei denen
"Gruppenrichtlinie übernehmen >
verweigern". Ist weitaus einfacher und
nicht so aufwändig.
"Verschieben" von GPO's ist
vielleicht falsch ausgedrückt. Die
Richtlinien die du an deiner OU siehst sind
ja nur Verknüpfungen. Wenn du die z.B.
löschst gibt es die Richtlinie immer
noch. Diese findest du unter
Gruppenrichtlinienobjekte. Du kannst dann
die Richtlinie aus der einen OU löschen
und an einer anderen wieder verknüpfen.
Wenn du eine Richtlinie an 2 OU's betreiben
willst gelten die Einstellungen (
Sicherheitsfilterung, Delegierung) für
beide OU's. Wenn du z.B. bei der einen eine
Gruppe/User oder Computer hinzufügst,
dann wirst du die in der Richtlinie der
anderen OU ebenfalls finden.
Gruß
Da stimme ich zu, ich würde je nach Umgebung die eine oder ander Lösung bevorzugen.
Wir haben das ganze aus den Gründen der Übersichtlichkeit und aufgrund schon einer sehr grossen Anzahl von Gruppen auf die verschiedene Policies angewendet werden auf OU Basis gemacht.
Gruß
Spricht auch nichts dagegen... 
Wir machen das über Gruppen. Kommt wohl immer drauf an, wo man die Übersichtlichkeit haben möchte. Wir haben auch sehr viele Gruppen, aber damit komme ich zumindest besser zurecht. Aber wie du schon geschrieben hast, die Übersichtlichkeit leidet bei der einen oder anderen Stelle.
Gruß
Wir machen das über Gruppen. Kommt wohl immer drauf an, wo man die Übersichtlichkeit haben möchte. Wir haben auch sehr viele Gruppen, aber damit komme ich zumindest besser zurecht. Aber wie du schon geschrieben hast, die Übersichtlichkeit leidet bei der einen oder anderen Stelle.
Gruß
