Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Computerrichtlinie abhängig vom Benutzer anwenden

Mitglied: Delaro

Delaro (Level 1) - Jetzt verbinden

12.10.2009 um 16:54 Uhr, 8718 Aufrufe, 10 Kommentare

Schön guten Tag an alle, hoffe mein erster Post behandelt nicht ein Thema was es schon gab. Hab vorher brav gesucht

Zum Problem:

Ich teste schon seit einigen Stunden mit einer Testdomäne herum, Clients XP und Server W2003. Nun habe ich dort mehrere Abteilung in meiner fiktiven Firma, und hab das entsprechend in dem AD abgebildet.

- Finance
- User
- PCs
- GL
- USer
- PCs
- Akquise
- User
- PCs

Ich habe die Domäne und die Gruppenrichtlinie soweit eingerichtet mit allem was ich für nötig halte, und es klappt auch alles, abgesehen von einem Problem.

Und zwar wollte ich aus fiktiven sicherheitsgründen die Kopien der servergespeicherten Profile entfernen lassen, allerdings nur die Profile der anderen Gruppen. D.h. wenn sich jemand aus der Gruppe GL an einem Rechner von Finance anmeldet soll das Profil nach der Anmeldung entfernt werden. Wenn aber sich jemand aus der selben Gruppe, also Finance sich an einem Rechner der Gruppe Finance anmeldet, soll es nicht gelöscht werden.
Das hat den Hintergrund, dass die Geschäftführung u.U. vertrauliche Daten in dem Profil liegen haben, die dann lokal auf einem Rechner liegen auf den sie nicht gehören. Würde ich die Richtlinie nun für alle aktivieren, würde unnötiger Traffic enstehen, da jeden morgen jeder sein gesamtes Profil kopieren würde.

So wie es aussieht ist mein Vorhaben im AD nicht machbar, da die Richtlinie welche die Profile bei Abmeldung löscht, eine Computerrichtlinie ist. Somit kann man nicht definieren, dass sie bei allen PCs einer OU, ABER nur bei bestimmten Benutzer/Benutzergruppen angewendet werden soll.
Ich hab das versucht zu lösen, in dem ich per Sicherheitsfilterung nur die Gruppen ausgewählt hab auf die die Richtlinie angewendet werden soll, und hab die "Authentifizierten Benutzer" rausgenommen. Dann greift die Richtlnie aber überhaupt nicht mehr, da der Computer an sich auch Mitglied der Authentifizierten Benutzer ist, ergo darf er sie nicht mehr lesen.
Und einen Ansatz bei einem ähnlichen Problem, nämlich mit Hilfe der Loopback-Verarbeitung klappt auch nicht, da die Richtlinie eine Computerrichtlinie ist.

Ein Zusatz noch die Richtlinie welche ich erstellt habe, habe ich mit die OU Finance verknüpft. In der Sicherheitsfilterung standen nur GL und Akquise.
GPRESULT auf dem Client gibt nur "verweigert (Ursache unbekannt)" aus..

Weiß jemand weiter??

Danke im vorraus..
Mitglied: tikayevent
12.10.2009 um 17:08 Uhr
Versuch doch einfach das ganze mit KiXtart nachzubauen.
Bitte warten ..
Mitglied: bastla
12.10.2009 um 17:19 Uhr
Hallo Delaro und willkommen im Forum!

Ich hab das versucht zu lösen, in dem ich per Sicherheitsfilterung nur die Gruppen ausgewählt hab auf die die Richtlinie angewendet werden soll, und hab die "Authentifizierten Benutzer" rausgenommen. Dann greift die Richtlnie aber überhaupt nicht mehr, da der Computer an sich auch Mitglied der Authentifizierten Benutzer ist, ergo darf er sie nicht mehr lesen.
Nur als Ansatz: Du kannst auch Computerkonten zu Gruppen zusammenfassen ...

Grüße
bastla
Bitte warten ..
Mitglied: manuel-r
12.10.2009 um 19:49 Uhr
Nur mal so für mich; evtl. hab ich was überlesen oder falsch verstanden: Reden wir von (Sicherheits-)Gruppen oder von OUs?
Bitte warten ..
Mitglied: jhinrichs
13.10.2009 um 07:56 Uhr
Hallo,
schau mal unter http://www.gruppenrichtlinien.de und dann dort unter "loopback"
Bitte warten ..
Mitglied: Logan000
13.10.2009 um 09:06 Uhr
Moin Moin

Wie jhinrichs schon schreibt. Um Computereinstellungen per GPO Benutzerdefiniert einzusetzen benutzt man den Loobackverarbeitungsmodus.
Und einen Ansatz bei einem ähnlichen Problem, nämlich mit Hilfe der Loopback-Verarbeitung klappt auch nicht, da die Richtlinie eine Computerrichtlinie ist.
Natürlich ist das eine Computerrichtlinie. Das klappt schon. Du läst diese GPO mit der Loobback Eintellung und deinen gesonderten Benutzereinstellungen auf eine Gruppe los in der sich nur die Computer und User befinden für die diese Einstellung greifen soll.

Plan B wäre das speichern im lokalen Profil zu unterbinden.
- Eigene Dateien Umleiten auf ein Serververz.
- Laufwerk C ausblenden
Dadurch werden die Profile auch nicht so groß.

Gruß L.
Bitte warten ..
Mitglied: Delaro
13.10.2009 um 15:30 Uhr
Also entweder übersehe ich was, oder das mit der Loopbackverarbeitung funktioniert auch nicht, da die LBV meinem Verständnis nach nur dazu führt, dass nicht nur der Benutzerteil der GPO aus der OU ausgeführt wird in der User sich befindet, sondern auch der Benutzerteil der GPO aus der OU in der der PC sich befindet auf den die LBV angewendet wird. Und an der Stelle liegt mein Problem, die Richtlinie \"Zwischengespeicherte Kopien von servergespeicherten Profilen löschen\" ist eine Computerrichtlinie, und wird nicht ausgeführt weil nur der Benutzerteil gelesen wird.
Und so steht es auch auf gruppenrichtlinien.de beschrieben:

Ab diesem Zeitpunkt ändert sich der Ablauf und die Übernahme:
1. Der Computer aus der OU \"Terminal Server\" liest den Anteil Computerkonfiguration der Richtlinie \"Loopbackverarbeitungsmodus aktiviert\"
2. Der Computer aus der OU \"Terminal Server\" liest den Anteil Computerkonfiguration der Richtlinie \"TerminalServer Einschränkungen\"
3. Der Benutzer aus der OU \"Meine Firma\" liest den Anteil Benutzerkonfiguration der Richtlinie \"Meine Std. Firmenvorgaben\"
4. Der Benutzer aus der OU \"Meine Firma\" liest den Anteil Benutzerkonfiguration der Richtlinie \"TerminalServer Einschränkungen\"
<<

Bezogen auf das Beispiel von Gruppenrichtlinien.de würde sich meine Richtlinie \"Zwischengespeicherte Kopien von servergespeicherten Profilen löschen\" nämlich in der Richtlinie \"TerminalServer Einschränkungen\" befinden, allerdings im Computerteil, welche ja nicht ausgeführt wird. Das trifft nur dann zu, wenn ich die Richtlinien auf Sicherheitsgruppen beschränke. Lasse ich die Authentifizierten Benutzer stehen, dann wird die Richtlinie auf den Computer angewendet, also auf alle Benutzer was ich ja nicht will.
Beim Terminalserver klappt das, da die Einschränkungen die dort gemacht werden, wie kein Herunterfahren Button, alle im Benutzerteil der GPO stehen.

Zumindest siehts sehr danach aus, da ich langsam alle Kombinationen ausprobiert hab.
Bitte warten ..
Mitglied: manuel-r
13.10.2009 um 15:55 Uhr
Ich glaub, so langsam blicke ich durch.
Unter w2k3 hast du wohl nur die Möglichkeit bspw. die Rechner der GL in eine eigene OU zu packen und dieser OU ein GPO zuzuweisen, bei dem "Zwischengespeicherte Profile löschen" aktiviert ist.
Alternativ kannst du die Übernahme des GPO auch filtern. Dazu klickst du im Gruppenrichtlinien-Editor im Navigationsbereich links mit der rechten Maustaste auf den obersten Punkt des Baums (Name des GPO) und wählst "Eigenschaften". In diesem Dialog dann auf die Registerkarte "Sicherheit". Dort setzt du dann für deine Gruppe GL die Option "Gruppenrichtlinie übernehmen" auf zulassen. Für alle anderen Gruppen auf verweigern.
Bitte warten ..
Mitglied: Delaro
13.10.2009 um 16:36 Uhr
Danke für den Tipp.
Auch das hab ich schon ausprobiert, nur über die GPMC in der Sicherheitsfilterung.
Dann wird aber der Computerteil meines GPO nicht ausgeführt, und die Profile werden nicht gelöscht.
Bitte warten ..
Mitglied: manuel-r
13.10.2009 um 16:46 Uhr
*kopfkratz*
Ich fasse nochmal zusammen. Du hast verschiedene globale Gruppen. Bei einigen dieser Gruppen möchtest du per GPO erreichen, dass die lokal zwischengespeicherten Profile gelöscht werden, bei den anderen dürfen sie bleiben. Richtig soweit?
Es sollte dann eigentlich damit funktionieren, dass du den Gruppen bei denen gelöscht werden soll "anwenden erlaubst" und bei den anderen "anwenden verweigerst". Das gilt natürlich für ALLES was in diesem GPO eingestellt ist. Deshalb solltest du in dieses GPO auch nur diese eine Einstellung einbauen. Alle anderen Vorgaben definierst du in einem oder mehreren anderen GPOs. Außerdem musst du bei den Sicherheitseinstellung auch beachten, ob es evtl. zu Konflikten bzw. Verwirrung kommen kann, weil ein User in einer Gruppe Mitglied ist, die "erlauben" hat und in einer, die "verweigern" hat. Dann geht verweigern vor. Von Haus aus ist bspw. "authentifizierte Benutzer" erlaubt und da ist nun mal jeder authentifizierte Benutzer Mitglied.
Ich müsste mich schwer irren, wenn das so nicht hin hauen würde.

PS:
Wenn du es Quick&Dirty haben willst entziehst du den Gruppen, die das GPO nicht anwenden sollen die Leserechte auf dem Ordner des GPO unterhalb von <server>\sysvol\<domäne>\policies Ich würde das aber nicht unbedingt machen wollen, wenn ich nicht muss.
Bitte warten ..
Mitglied: Logan000
15.10.2009 um 09:22 Uhr
Moin Moin

Delaro hat recht. Das klappt so nicht. Was mich doch sehr ärgert, da ich gegenteiliges behautet habe.
Mit dem LBV kann man für einen Benutzer unterschiedliche Benutzereinstellungen pro Computer realisieren. Das ist natürlich zuerstmal für TS gedacht.
Delaro Problem ist aber, das er eine Computereinstellung abhängig vom Benutzer setzen möchte. Daher scheidet der LBV als lösungsansatz aus.
Auch Einschränkungen bzw. Verweigern der Übernahme von GPOs bringen hier nicht die Lösung.

Daher bleiben aus meiner sicht nur 2 Möglichgkeiten:
- Per Skript bei Abmeldung das Profil löschen. Die kann man dann auch per GPO für einzelne Benutzerlaufen lassen.
- Das speichern im Profil unterbinden (siehe mein Post vom 13.)

Viel Erfolg

Gruß L
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung

Computerrichtlinien auf Benutzer anwenden

Frage von heinz2017Windows Userverwaltung2 Kommentare

Hallo, Benutzerkonfigurationen werden ausschließlich auf Benutzer innerhalb einer OU angewendet und Computerkonfigurationen nur auf Computer innerhalb einer OU? Somit ...

Windows Server

2008 R2: Computerrichtlinien einem Benutzer zuweisen

gelöst Frage von HummermanWindows Server23 Kommentare

Hallo, ich habe aktuell ein Problem mit den Gruppenrichtlinien unter Windows Server 2008 R2. Ich habe den Anwendungsfall, dass ...

Windows Server

GPO Computerkonfiguration nur auf Benutzer einer Sicherheitsgruppe anwenden

gelöst Frage von itadnewbieWindows Server5 Kommentare

Hallo alle zusammen, stundenlanges - verzweifeltes Suchen im Netz hat mich jetzt dazu bewegt, euch Profis direkt zu fragen! ...

Windows Server

Computerrichtlinie wird nicht übernommen

Frage von NoFear23mWindows Server3 Kommentare

Hallo liebe Admins Da Ihr mir das letzte mal so extrem kompetent geholfen habt versuche ich es nun nochmals. ...

Neue Wissensbeiträge
Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 2 StundenWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

iOS
Updates für Iphone und Co
Information von sabines vor 5 StundeniOS

Gestern abend ist iOS 11.3.1 erschienen, ein kleineres Update, dass einige Lücken schließt und "Lahmlegen" nach einem Display Tausch ...

Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 1 TagWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Sicherheit

Zero Day-Schwachstelle im Internet Explorer - wird von APT bereits ausgenutzt

Information von kgborn vor 2 TagenSicherheit

Im Kernel des Internet Explorer scheint es eine Zero Day-Lücke zu geben, die von staatlichen Akteuren (APT) im Rahmen ...

Heiß diskutierte Inhalte
C und C++
Frage1 C Programmierung-Makefile Frage2 PHP-Programmierung HTTP-Fehler 404
Frage von KatalinaC und C++28 Kommentare

Hallo, ich habe 2 Fragen, die nichts miteinander zu tun haben aber mit denen ich mich gerade beschäftige: 1. ...

LAN, WAN, Wireless
Watchguard T15 VPN Einrichtung
gelöst Frage von thomasjayLAN, WAN, Wireless25 Kommentare

Hallo zusammen, wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten! Als Client nutzen ...

DSL, VDSL
ISP Wechsel auf Vodefone Koax, Gebäudeverkabelung nur per Cat 7
gelöst Frage von wusa88DSL, VDSL19 Kommentare

Hallo Zusammen, ich bin momentan bei Mnet als Glasfaser Kunde und möchte Preis/Leistungs-Technisch zu Kabel Deutschland / Vodafone wechseln. ...

Hyper-V
HyperV DC + DNS + AC
gelöst Frage von HardstylesHyper-V16 Kommentare

Hallo kann mir jemand sagen wieso meine Domänen Computer kein Internetzugang erhalten? Ich hab hier ein Server wo die ...