10
Computerrichtlinie abhängig vom Benutzer anwenden
Schön guten Tag an alle, hoffe mein erster Post behandelt nicht ein Thema was es schon gab. Hab vorher brav gesucht 
Zum Problem:
Ich teste schon seit einigen Stunden mit einer Testdomäne herum, Clients XP und Server W2003. Nun habe ich dort mehrere Abteilung in meiner fiktiven Firma, und hab das entsprechend in dem AD abgebildet.
- Finance
- User
- PCs
- GL
- USer
- PCs
- Akquise
- User
- PCs
Ich habe die Domäne und die Gruppenrichtlinie soweit eingerichtet mit allem was ich für nötig halte, und es klappt auch alles, abgesehen von einem Problem.
Und zwar wollte ich aus fiktiven sicherheitsgründen die Kopien der servergespeicherten Profile entfernen lassen, allerdings nur die Profile der anderen Gruppen. D.h. wenn sich jemand aus der Gruppe GL an einem Rechner von Finance anmeldet soll das Profil nach der Anmeldung entfernt werden. Wenn aber sich jemand aus der selben Gruppe, also Finance sich an einem Rechner der Gruppe Finance anmeldet, soll es nicht gelöscht werden.
Das hat den Hintergrund, dass die Geschäftführung u.U. vertrauliche Daten in dem Profil liegen haben, die dann lokal auf einem Rechner liegen auf den sie nicht gehören. Würde ich die Richtlinie nun für alle aktivieren, würde unnötiger Traffic enstehen, da jeden morgen jeder sein gesamtes Profil kopieren würde.
So wie es aussieht ist mein Vorhaben im AD nicht machbar, da die Richtlinie welche die Profile bei Abmeldung löscht, eine Computerrichtlinie ist. Somit kann man nicht definieren, dass sie bei allen PCs einer OU, ABER nur bei bestimmten Benutzer/Benutzergruppen angewendet werden soll.
Ich hab das versucht zu lösen, in dem ich per Sicherheitsfilterung nur die Gruppen ausgewählt hab auf die die Richtlinie angewendet werden soll, und hab die "Authentifizierten Benutzer" rausgenommen. Dann greift die Richtlnie aber überhaupt nicht mehr, da der Computer an sich auch Mitglied der Authentifizierten Benutzer ist, ergo darf er sie nicht mehr lesen.
Und einen Ansatz bei einem ähnlichen Problem, nämlich mit Hilfe der Loopback-Verarbeitung klappt auch nicht, da die Richtlinie eine Computerrichtlinie ist.
Ein Zusatz noch die Richtlinie welche ich erstellt habe, habe ich mit die OU Finance verknüpft. In der Sicherheitsfilterung standen nur GL und Akquise.
GPRESULT auf dem Client gibt nur "verweigert (Ursache unbekannt)" aus..
Weiß jemand weiter??
Danke im vorraus..
Ich teste schon seit einigen Stunden mit einer Testdomäne herum, Clients XP und Server W2003. Nun habe ich dort mehrere Abteilung in meiner fiktiven Firma, und hab das entsprechend in dem AD abgebildet.
- Finance
- User
- PCs
- GL
- USer
- PCs
- Akquise
- User
- PCs
Ich habe die Domäne und die Gruppenrichtlinie soweit eingerichtet mit allem was ich für nötig halte, und es klappt auch alles, abgesehen von einem Problem.
Und zwar wollte ich aus fiktiven sicherheitsgründen die Kopien der servergespeicherten Profile entfernen lassen, allerdings nur die Profile der anderen Gruppen. D.h. wenn sich jemand aus der Gruppe GL an einem Rechner von Finance anmeldet soll das Profil nach der Anmeldung entfernt werden. Wenn aber sich jemand aus der selben Gruppe, also Finance sich an einem Rechner der Gruppe Finance anmeldet, soll es nicht gelöscht werden.
Das hat den Hintergrund, dass die Geschäftführung u.U. vertrauliche Daten in dem Profil liegen haben, die dann lokal auf einem Rechner liegen auf den sie nicht gehören. Würde ich die Richtlinie nun für alle aktivieren, würde unnötiger Traffic enstehen, da jeden morgen jeder sein gesamtes Profil kopieren würde.
So wie es aussieht ist mein Vorhaben im AD nicht machbar, da die Richtlinie welche die Profile bei Abmeldung löscht, eine Computerrichtlinie ist. Somit kann man nicht definieren, dass sie bei allen PCs einer OU, ABER nur bei bestimmten Benutzer/Benutzergruppen angewendet werden soll.
Ich hab das versucht zu lösen, in dem ich per Sicherheitsfilterung nur die Gruppen ausgewählt hab auf die die Richtlinie angewendet werden soll, und hab die "Authentifizierten Benutzer" rausgenommen. Dann greift die Richtlnie aber überhaupt nicht mehr, da der Computer an sich auch Mitglied der Authentifizierten Benutzer ist, ergo darf er sie nicht mehr lesen.
Und einen Ansatz bei einem ähnlichen Problem, nämlich mit Hilfe der Loopback-Verarbeitung klappt auch nicht, da die Richtlinie eine Computerrichtlinie ist.
Ein Zusatz noch die Richtlinie welche ich erstellt habe, habe ich mit die OU Finance verknüpft. In der Sicherheitsfilterung standen nur GL und Akquise.
GPRESULT auf dem Client gibt nur "verweigert (Ursache unbekannt)" aus..
Weiß jemand weiter??
Danke im vorraus..
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 126950
Url: https://administrator.de/contentid/126950
Printed on: April 19, 2024 at 12:04 o'clock
10 Comments
Latest comment
Versuch doch einfach das ganze mit KiXtart nachzubauen.
Hallo Delaro und willkommen im Forum!
Grüße
bastla
Ich hab das versucht zu lösen, in dem ich per Sicherheitsfilterung nur die Gruppen ausgewählt hab auf die die Richtlinie angewendet werden soll, und hab die "Authentifizierten Benutzer" rausgenommen. Dann greift die Richtlnie aber überhaupt nicht mehr, da der Computer an sich auch Mitglied der Authentifizierten Benutzer ist, ergo darf er sie nicht mehr lesen.
Nur als Ansatz: Du kannst auch Computerkonten zu Gruppen zusammenfassen ...Grüße
bastla
Nur mal so für mich; evtl. hab ich was überlesen oder falsch verstanden: Reden wir von (Sicherheits-)Gruppen oder von OUs?
Hallo,
schau mal unter http://www.gruppenrichtlinien.de und dann dort unter "loopback"
schau mal unter http://www.gruppenrichtlinien.de und dann dort unter "loopback"
Moin Moin
Wie jhinrichs schon schreibt. Um Computereinstellungen per GPO Benutzerdefiniert einzusetzen benutzt man den Loobackverarbeitungsmodus.
Plan B wäre das speichern im lokalen Profil zu unterbinden.
- Eigene Dateien Umleiten auf ein Serververz.
- Laufwerk C ausblenden
Dadurch werden die Profile auch nicht so groß.
Gruß L.
Wie jhinrichs schon schreibt. Um Computereinstellungen per GPO Benutzerdefiniert einzusetzen benutzt man den Loobackverarbeitungsmodus.
Und einen Ansatz bei einem ähnlichen Problem, nämlich mit Hilfe der Loopback-Verarbeitung klappt auch nicht, da die Richtlinie eine Computerrichtlinie ist.
Natürlich ist das eine Computerrichtlinie. Das klappt schon. Du läst diese GPO mit der Loobback Eintellung und deinen gesonderten Benutzereinstellungen auf eine Gruppe los in der sich nur die Computer und User befinden für die diese Einstellung greifen soll.Plan B wäre das speichern im lokalen Profil zu unterbinden.
- Eigene Dateien Umleiten auf ein Serververz.
- Laufwerk C ausblenden
Dadurch werden die Profile auch nicht so groß.
Gruß L.
Also entweder übersehe ich was, oder das mit der Loopbackverarbeitung funktioniert auch nicht, da die LBV meinem Verständnis nach nur dazu führt, dass nicht nur der Benutzerteil der GPO aus der OU ausgeführt wird in der User sich befindet, sondern auch der Benutzerteil der GPO aus der OU in der der PC sich befindet auf den die LBV angewendet wird. Und an der Stelle liegt mein Problem, die Richtlinie \"Zwischengespeicherte Kopien von servergespeicherten Profilen löschen\" ist eine Computerrichtlinie, und wird nicht ausgeführt weil nur der Benutzerteil gelesen wird.
Und so steht es auch auf gruppenrichtlinien.de beschrieben:
Ab diesem Zeitpunkt ändert sich der Ablauf und die Übernahme:
1. Der Computer aus der OU \"Terminal Server\" liest den Anteil Computerkonfiguration der Richtlinie \"Loopbackverarbeitungsmodus aktiviert\"
2. Der Computer aus der OU \"Terminal Server\" liest den Anteil Computerkonfiguration der Richtlinie \"TerminalServer Einschränkungen\"
3. Der Benutzer aus der OU \"Meine Firma\" liest den Anteil Benutzerkonfiguration der Richtlinie \"Meine Std. Firmenvorgaben\"
4. Der Benutzer aus der OU \"Meine Firma\" liest den Anteil Benutzerkonfiguration der Richtlinie \"TerminalServer Einschränkungen\"
<<
Bezogen auf das Beispiel von Gruppenrichtlinien.de würde sich meine Richtlinie \"Zwischengespeicherte Kopien von servergespeicherten Profilen löschen\" nämlich in der Richtlinie \"TerminalServer Einschränkungen\" befinden, allerdings im Computerteil, welche ja nicht ausgeführt wird. Das trifft nur dann zu, wenn ich die Richtlinien auf Sicherheitsgruppen beschränke. Lasse ich die Authentifizierten Benutzer stehen, dann wird die Richtlinie auf den Computer angewendet, also auf alle Benutzer was ich ja nicht will.
Beim Terminalserver klappt das, da die Einschränkungen die dort gemacht werden, wie kein Herunterfahren Button, alle im Benutzerteil der GPO stehen.
Zumindest siehts sehr danach aus, da ich langsam alle Kombinationen ausprobiert hab.
Und so steht es auch auf gruppenrichtlinien.de beschrieben:
1. Der Computer aus der OU \"Terminal Server\" liest den Anteil Computerkonfiguration der Richtlinie \"Loopbackverarbeitungsmodus aktiviert\"
2. Der Computer aus der OU \"Terminal Server\" liest den Anteil Computerkonfiguration der Richtlinie \"TerminalServer Einschränkungen\"
3. Der Benutzer aus der OU \"Meine Firma\" liest den Anteil Benutzerkonfiguration der Richtlinie \"Meine Std. Firmenvorgaben\"
4. Der Benutzer aus der OU \"Meine Firma\" liest den Anteil Benutzerkonfiguration der Richtlinie \"TerminalServer Einschränkungen\"
<<
Bezogen auf das Beispiel von Gruppenrichtlinien.de würde sich meine Richtlinie \"Zwischengespeicherte Kopien von servergespeicherten Profilen löschen\" nämlich in der Richtlinie \"TerminalServer Einschränkungen\" befinden, allerdings im Computerteil, welche ja nicht ausgeführt wird. Das trifft nur dann zu, wenn ich die Richtlinien auf Sicherheitsgruppen beschränke. Lasse ich die Authentifizierten Benutzer stehen, dann wird die Richtlinie auf den Computer angewendet, also auf alle Benutzer was ich ja nicht will.
Beim Terminalserver klappt das, da die Einschränkungen die dort gemacht werden, wie kein Herunterfahren Button, alle im Benutzerteil der GPO stehen.
Zumindest siehts sehr danach aus, da ich langsam alle Kombinationen ausprobiert hab.
Ich glaub, so langsam blicke ich durch.
Unter w2k3 hast du wohl nur die Möglichkeit bspw. die Rechner der GL in eine eigene OU zu packen und dieser OU ein GPO zuzuweisen, bei dem "Zwischengespeicherte Profile löschen" aktiviert ist.
Alternativ kannst du die Übernahme des GPO auch filtern. Dazu klickst du im Gruppenrichtlinien-Editor im Navigationsbereich links mit der rechten Maustaste auf den obersten Punkt des Baums (Name des GPO) und wählst "Eigenschaften". In diesem Dialog dann auf die Registerkarte "Sicherheit". Dort setzt du dann für deine Gruppe GL die Option "Gruppenrichtlinie übernehmen" auf zulassen. Für alle anderen Gruppen auf verweigern.
Unter w2k3 hast du wohl nur die Möglichkeit bspw. die Rechner der GL in eine eigene OU zu packen und dieser OU ein GPO zuzuweisen, bei dem "Zwischengespeicherte Profile löschen" aktiviert ist.
Alternativ kannst du die Übernahme des GPO auch filtern. Dazu klickst du im Gruppenrichtlinien-Editor im Navigationsbereich links mit der rechten Maustaste auf den obersten Punkt des Baums (Name des GPO) und wählst "Eigenschaften". In diesem Dialog dann auf die Registerkarte "Sicherheit". Dort setzt du dann für deine Gruppe GL die Option "Gruppenrichtlinie übernehmen" auf zulassen. Für alle anderen Gruppen auf verweigern.
Danke für den Tipp.
Auch das hab ich schon ausprobiert, nur über die GPMC in der Sicherheitsfilterung.
Dann wird aber der Computerteil meines GPO nicht ausgeführt, und die Profile werden nicht gelöscht.
Auch das hab ich schon ausprobiert, nur über die GPMC in der Sicherheitsfilterung.
Dann wird aber der Computerteil meines GPO nicht ausgeführt, und die Profile werden nicht gelöscht.
*kopfkratz*
Ich fasse nochmal zusammen. Du hast verschiedene globale Gruppen. Bei einigen dieser Gruppen möchtest du per GPO erreichen, dass die lokal zwischengespeicherten Profile gelöscht werden, bei den anderen dürfen sie bleiben. Richtig soweit?
Es sollte dann eigentlich damit funktionieren, dass du den Gruppen bei denen gelöscht werden soll "anwenden erlaubst" und bei den anderen "anwenden verweigerst". Das gilt natürlich für ALLES was in diesem GPO eingestellt ist. Deshalb solltest du in dieses GPO auch nur diese eine Einstellung einbauen. Alle anderen Vorgaben definierst du in einem oder mehreren anderen GPOs. Außerdem musst du bei den Sicherheitseinstellung auch beachten, ob es evtl. zu Konflikten bzw. Verwirrung kommen kann, weil ein User in einer Gruppe Mitglied ist, die "erlauben" hat und in einer, die "verweigern" hat. Dann geht verweigern vor. Von Haus aus ist bspw. "authentifizierte Benutzer" erlaubt und da ist nun mal jeder authentifizierte Benutzer Mitglied.
Ich müsste mich schwer irren, wenn das so nicht hin hauen würde.
PS:
Wenn du es Quick&Dirty haben willst entziehst du den Gruppen, die das GPO nicht anwenden sollen die Leserechte auf dem Ordner des GPO unterhalb von <server>\sysvol\<domäne>\policies Ich würde das aber nicht unbedingt machen wollen, wenn ich nicht muss.
Ich fasse nochmal zusammen. Du hast verschiedene globale Gruppen. Bei einigen dieser Gruppen möchtest du per GPO erreichen, dass die lokal zwischengespeicherten Profile gelöscht werden, bei den anderen dürfen sie bleiben. Richtig soweit?
Es sollte dann eigentlich damit funktionieren, dass du den Gruppen bei denen gelöscht werden soll "anwenden erlaubst" und bei den anderen "anwenden verweigerst". Das gilt natürlich für ALLES was in diesem GPO eingestellt ist. Deshalb solltest du in dieses GPO auch nur diese eine Einstellung einbauen. Alle anderen Vorgaben definierst du in einem oder mehreren anderen GPOs. Außerdem musst du bei den Sicherheitseinstellung auch beachten, ob es evtl. zu Konflikten bzw. Verwirrung kommen kann, weil ein User in einer Gruppe Mitglied ist, die "erlauben" hat und in einer, die "verweigern" hat. Dann geht verweigern vor. Von Haus aus ist bspw. "authentifizierte Benutzer" erlaubt und da ist nun mal jeder authentifizierte Benutzer Mitglied.
Ich müsste mich schwer irren, wenn das so nicht hin hauen würde.
PS:
Wenn du es Quick&Dirty haben willst entziehst du den Gruppen, die das GPO nicht anwenden sollen die Leserechte auf dem Ordner des GPO unterhalb von <server>\sysvol\<domäne>\policies Ich würde das aber nicht unbedingt machen wollen, wenn ich nicht muss.
Moin Moin
Delaro hat recht. Das klappt so nicht. Was mich doch sehr ärgert, da ich gegenteiliges behautet habe.
Mit dem LBV kann man für einen Benutzer unterschiedliche Benutzereinstellungen pro Computer realisieren. Das ist natürlich zuerstmal für TS gedacht.
Delaro Problem ist aber, das er eine Computereinstellung abhängig vom Benutzer setzen möchte. Daher scheidet der LBV als lösungsansatz aus.
Auch Einschränkungen bzw. Verweigern der Übernahme von GPOs bringen hier nicht die Lösung.
Daher bleiben aus meiner sicht nur 2 Möglichgkeiten:
- Per Skript bei Abmeldung das Profil löschen. Die kann man dann auch per GPO für einzelne Benutzerlaufen lassen.
- Das speichern im Profil unterbinden (siehe mein Post vom 13.)
Viel Erfolg
Gruß L
Delaro hat recht. Das klappt so nicht. Was mich doch sehr ärgert, da ich gegenteiliges behautet habe.
Mit dem LBV kann man für einen Benutzer unterschiedliche Benutzereinstellungen pro Computer realisieren. Das ist natürlich zuerstmal für TS gedacht.
Delaro Problem ist aber, das er eine Computereinstellung abhängig vom Benutzer setzen möchte. Daher scheidet der LBV als lösungsansatz aus.
Auch Einschränkungen bzw. Verweigern der Übernahme von GPOs bringen hier nicht die Lösung.
Daher bleiben aus meiner sicht nur 2 Möglichgkeiten:
- Per Skript bei Abmeldung das Profil löschen. Die kann man dann auch per GPO für einzelne Benutzerlaufen lassen.
- Das speichern im Profil unterbinden (siehe mein Post vom 13.)
Viel Erfolg
Gruß L
