10
Frage zu Gruppenrichtlinien und Loopback?
Hallo,
wenn in irgendeiner für einen Computer gültigen GPO der Loopbackmodus aktiviert ist, ziehen sich die User bei Anmeldung an diesem Computer die Einstellungen aus dem Bereich Benutzerkonfiguration aus allen für den Computer gültigen GPO´s (im Zusammenführenmodus natürlich auch noch aus den für den User gültigen GPO´s). Stimmt doch, oder? Ist es auch möglich, das auf die GPO zu beschränken, in der der Loopbackmodus aktiviert ist?
Beispiel
PC1 ist in der OU Buchhaltung (in der OU sind keine Benutzer)
An der OU Buchhaltung hängen die GPO´s GPO1 und GPO2.
In beiden GPO´s sind Computer- und Benutzereinstellungen konfiguriert.
Nur in GPO1 ist der Loopbackmodus aktiviert.
Jetzt sollen nur die Benutzereinstellungen aus GPO1 für PC1 greifen, nicht die aus GPO2.
Ist das möglich?
Danke
Martin
wenn in irgendeiner für einen Computer gültigen GPO der Loopbackmodus aktiviert ist, ziehen sich die User bei Anmeldung an diesem Computer die Einstellungen aus dem Bereich Benutzerkonfiguration aus allen für den Computer gültigen GPO´s (im Zusammenführenmodus natürlich auch noch aus den für den User gültigen GPO´s). Stimmt doch, oder? Ist es auch möglich, das auf die GPO zu beschränken, in der der Loopbackmodus aktiviert ist?
Beispiel
PC1 ist in der OU Buchhaltung (in der OU sind keine Benutzer)
An der OU Buchhaltung hängen die GPO´s GPO1 und GPO2.
In beiden GPO´s sind Computer- und Benutzereinstellungen konfiguriert.
Nur in GPO1 ist der Loopbackmodus aktiviert.
Jetzt sollen nur die Benutzereinstellungen aus GPO1 für PC1 greifen, nicht die aus GPO2.
Ist das möglich?
Danke
Martin
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 154098
Url: https://administrator.de/contentid/154098
Printed on: April 20, 2024 at 00:04 o'clock
10 Comments
Latest comment
Als erstes würde ich die Computer- und Benutzereinstellungen trennen (macht das ganze einfacher und übersichtlicher). Dann kannst du die Gruppe "Authentifizierte Benutzer" von der Sicherheitsfilterung entfernen und die gewünschte Objekte für die, die Richtlinien greifen sollen hinzufügen.
Moin Moin
Beim Loopback werden die Einstellungen in GPO2 nur bei PC1 durch GPO1 überschrieben bzw. zusammengeführt (je nach Konfigurationseinstellung)!
Dem Rat von CaptainChaos (cooler Nick übrigens) Computer- und Benutzereinstellungen (möglichst) zu trennen möchte ich mich hiermit anschliessen.
Gruß L.
Jetzt sollen nur die Benutzereinstellungen aus GPO1 für PC1 greifen, nicht die aus GPO2.
Ist das möglich?
Nein, so nicht.Ist das möglich?
Beim Loopback werden die Einstellungen in GPO2 nur bei PC1 durch GPO1 überschrieben bzw. zusammengeführt (je nach Konfigurationseinstellung)!
PC1 ist in der OU Buchhaltung (in der OU sind keine Benutzer)
Wenn sich keine Benutzerkonten "unterhalb" der GPO befinden werden auch keine Benutzereinstellungen übernommen (unabhängig vom Lookpback).Dem Rat von CaptainChaos (cooler Nick übrigens) Computer- und Benutzereinstellungen (möglichst) zu trennen möchte ich mich hiermit anschliessen.
Gruß L.
Zitat von @CaptainChaos:
Als erstes würde ich die Computer- und Benutzereinstellungen trennen (macht das ganze einfacher und übersichtlicher).
Dann kannst du die Gruppe "Authentifizierte Benutzer" von der Sicherheitsfilterung entfernen und die gewünschte
Objekte für die, die Richtlinien greifen sollen hinzufügen.
Als erstes würde ich die Computer- und Benutzereinstellungen trennen (macht das ganze einfacher und übersichtlicher).
Dann kannst du die Gruppe "Authentifizierte Benutzer" von der Sicherheitsfilterung entfernen und die gewünschte
Objekte für die, die Richtlinien greifen sollen hinzufügen.
Danke. Ich halte es auch für sinnvoll, Benutzer- und Computerfonfiguration zu trennen. Aber das war ja nicht die Frage.
Die lautete: Ist es möglich, den Loopbackmodus auf die GPO zu beschränken, in der er aktiviert wurde?
Gruß
Martin
Zitat von @Logan000:
> PC1 ist in der OU Buchhaltung (in der OU sind keine Benutzer)
Wenn sich keine Benutzerkonten "unterhalb" der GPO befinden werden auch keine Benutzereinstellungen übernommen
(unabhängig vom Lookpback).
> PC1 ist in der OU Buchhaltung (in der OU sind keine Benutzer)
Wenn sich keine Benutzerkonten "unterhalb" der GPO befinden werden auch keine Benutzereinstellungen übernommen
(unabhängig vom Lookpback).
Also entweder bin ich jetzt total verwirrt oder du hast grade einen Denkfehler
Genau dafür ist der Loopbackmodus doch da. Dass Benutzerkonfigurationen aus einer GPO übernommen werden, die eigentlich nur für Computer greift.
Moin
Aber jetzt verstehe ich Dein Problem nicht mehr, denn die Benutzereinstellungen aus GPO2 werden für Benutzer auf PC1 niemals angewendet (es sei
denn die GPO ist noch mit anderen OUs, die auch Benutzer enthalten verknüpft).
Zu Mit wmi die Domänen-Gruppen auslesen, in denen ein Computer Mitglied ist?
Lass uns das Thema hier fortsetzen. Das Antworten über 2 Beiträge verwirrt mich endgültig.
Gruß L.
Zitat von @AlbertMinrich:
Also entweder bin ich jetzt total verwirrt oder du hast grade einen Denkfehler
Genau dafür ist der Loopbackmodus doch da. Dass Benutzerkonfigurationen aus einer GPO übernommen werden, die eigentlich
nur für Computer greift.
Sorry. Du hast Recht: der Denkfehler liegt bei mirZitat von @Logan000:
(unabhängig vom Lookpback).
PC1 ist in der OU Buchhaltung (in der OU sind keine Benutzer)
Wenn sich keine Benutzerkonten "unterhalb" der GPO befinden werden auch keine Benutzereinstellungen übernommen(unabhängig vom Lookpback).
Also entweder bin ich jetzt total verwirrt oder du hast grade einen Denkfehler
Genau dafür ist der Loopbackmodus doch da. Dass Benutzerkonfigurationen aus einer GPO übernommen werden, die eigentlich
nur für Computer greift.
Aber jetzt verstehe ich Dein Problem nicht mehr, denn die Benutzereinstellungen aus GPO2 werden für Benutzer auf PC1 niemals angewendet (es sei
denn die GPO ist noch mit anderen OUs, die auch Benutzer enthalten verknüpft).
Zu Mit wmi die Domänen-Gruppen auslesen, in denen ein Computer Mitglied ist?
Lass uns das Thema hier fortsetzen. Das Antworten über 2 Beiträge verwirrt mich endgültig.
Gruß L.
Zitat von @Logan000:
Moin
> Zitat von @AlbertMinrich:
> ----
>> Zitat von @Logan000:
>>> PC1 ist in der OU Buchhaltung (in der OU sind keine Benutzer)
>> Wenn sich keine Benutzerkonten "unterhalb" der GPO befinden werden auch keine Benutzereinstellungen
übernommen
>> (unabhängig vom Lookpback).
>
> Also entweder bin ich jetzt total verwirrt oder du hast grade einen Denkfehler
> Genau dafür ist der Loopbackmodus doch da. Dass Benutzerkonfigurationen aus einer GPO übernommen werden, die
eigentlich
> nur für Computer greift.
Sorry. Du hast Recht: der Denkfehler liegt bei mir
Aber jetzt verstehe ich Dein Problem nicht mehr, denn die Benutzereinstellungen aus GPO2 werden für Benutzer auf PC1 niemals
angewendet
Moin
> Zitat von @AlbertMinrich:
> ----
>> Zitat von @Logan000:
>>> PC1 ist in der OU Buchhaltung (in der OU sind keine Benutzer)
>> Wenn sich keine Benutzerkonten "unterhalb" der GPO befinden werden auch keine Benutzereinstellungen
übernommen
>> (unabhängig vom Lookpback).
>
> Also entweder bin ich jetzt total verwirrt oder du hast grade einen Denkfehler
> Genau dafür ist der Loopbackmodus doch da. Dass Benutzerkonfigurationen aus einer GPO übernommen werden, die
eigentlich
> nur für Computer greift.
Sorry. Du hast Recht: der Denkfehler liegt bei mir
Aber jetzt verstehe ich Dein Problem nicht mehr, denn die Benutzereinstellungen aus GPO2 werden für Benutzer auf PC1 niemals
angewendet
Das dachte ich ja ursprünglich auch mal, aber wenn man sich die Anleitung von gruppenrichtlinien.de (http://www.gruppenrichtlinien.de/index.html?/Grundlagen/Loopback_Verarb ..) mal anschaut:
"Jetzt aktiviert man den Loopbackverarbeitungsmodus auf einer beliebigen Richtlinie, die auf den Computer wirkt.
Sie kann als eigene Richtlinie integriert werden und gilt dann für alle Richtlinien, die das Computerobjekt übernimmt"
Beachte "...auf einer beliebigen Richtlinie..." und "...gilt dann für alle Richtlinien, die das Computerobjekt übernimmt".
Also werden auch die Benutzerkonfigurationen aus GPO2 übernommen. Ist auch so, hab ich ausprobiert. Und genau das würde ich gerne verhindern.
Gruß
Martin
Moin Moin
Also könntest du z.b. die GPO mit einer anderen OU verknüpfen in der deine Benutzer sind.
Oder du wendest die GPOs nur auf bestimmte Gruppen von Computern bzw. Benutzern an.
z.B. GPO1 nur auf PC1 (oder halt eine Gruppe die nur PC1 enthält) und GPO2 auf eine Gruppe AllUsers oder so in der alle Benutzer sind.
Gruß L.
Zitat von @AlbertMinrich:
Beachte "...auf einer beliebigen Richtlinie..." und "...gilt dann für alle Richtlinien, die das Computerobjekt übernimmt".
Also werden auch die Benutzerkonfigurationen aus GPO2 übernommen. Ist auch so, hab ich ausprobiert. Und genau das würde ich gerne verhindern.
Stimmt, aber auch nur wegen dem Loopback. Die Benutzereinstellungen dürften auf keinen anderen PC übernommen werden.Beachte "...auf einer beliebigen Richtlinie..." und "...gilt dann für alle Richtlinien, die das Computerobjekt übernimmt".
Also werden auch die Benutzerkonfigurationen aus GPO2 übernommen. Ist auch so, hab ich ausprobiert. Und genau das würde ich gerne verhindern.
Also könntest du z.b. die GPO mit einer anderen OU verknüpfen in der deine Benutzer sind.
Oder du wendest die GPOs nur auf bestimmte Gruppen von Computern bzw. Benutzern an.
z.B. GPO1 nur auf PC1 (oder halt eine Gruppe die nur PC1 enthält) und GPO2 auf eine Gruppe AllUsers oder so in der alle Benutzer sind.
Gruß L.
Zitat von @Logan000:
Moin Moin
> Zitat von @AlbertMinrich:
> ----
> Beachte "...auf einer beliebigen Richtlinie..." und "...gilt dann für alle Richtlinien, die das
Computerobjekt übernimmt".
> Also werden auch die Benutzerkonfigurationen aus GPO2 übernommen. Ist auch so, hab ich ausprobiert. Und genau das
würde ich gerne verhindern.
Stimmt, aber auch nur wegen dem Loopback. Die Benutzereinstellungen dürften auf keinen anderen PC übernommen werden.
Also könntest du z.b. die GPO mit einer anderen OU verknüpfen in der deine Benutzer sind.
Oder du wendest die GPOs nur auf bestimmte Gruppen von Computern bzw. Benutzern an.
z.B. GPO1 nur auf PC1 (oder halt eine Gruppe die nur PC1 enthält) und GPO2 auf eine Gruppe AllUsers oder so in der alle
Benutzer sind.
Moin Moin
> Zitat von @AlbertMinrich:
> ----
> Beachte "...auf einer beliebigen Richtlinie..." und "...gilt dann für alle Richtlinien, die das
Computerobjekt übernimmt".
> Also werden auch die Benutzerkonfigurationen aus GPO2 übernommen. Ist auch so, hab ich ausprobiert. Und genau das
würde ich gerne verhindern.
Stimmt, aber auch nur wegen dem Loopback. Die Benutzereinstellungen dürften auf keinen anderen PC übernommen werden.
Also könntest du z.b. die GPO mit einer anderen OU verknüpfen in der deine Benutzer sind.
Oder du wendest die GPOs nur auf bestimmte Gruppen von Computern bzw. Benutzern an.
z.B. GPO1 nur auf PC1 (oder halt eine Gruppe die nur PC1 enthält) und GPO2 auf eine Gruppe AllUsers oder so in der alle
Benutzer sind.
Ich glaub, jetzt reden wir aneinander vorbei. Mir geht´s um folgendes. Ich hab z.B. diese OU-Struktur
-OU1
---OU2
OU3
OU4
In der OU4 ist PC1. In keiner der OU´s sind User enthalten (ist jetzt ein blödes Beispiel, aber nur mal, damit es klar wird)
An der OU1, OU2 und OU3 hängen GPO´s, die (auch) Benutzerkonfigurationen beinhalten. Loopbackmodus ist bisher nicht aktiviert. Wenn sich jetzt ein Benutzer an PC1 anmeldet, werden die ganzen Benutzerkonfigurationen nicht abgearbeitet, einfach weil kein User davon betroffen ist.
Jetzt erstelle ich eine neue GPO, hänge sie an OU4, aktiviere in dieser neuen GPO den Loopbackmodus, konfiguriere einige Benutzereinstellungen und hätte gerne, dass nur die Benutzereinstellungen aus dieser neuen GPO bei Anmeldung an PC1 greifen.
Dem ist aber nicht so, es greifen auch alle Benutzerkonfigurationen aus den GPO´s, die an OU1, OU2 und OU3 hängen.
Und die Frage wäre halt, ob man das verhindern kann.
Gruß
Martin
Moin
Möglichkeit 1: Andere OU Stuktur
z.B. So
- OU1
--- OU2
OU3
- OU4
Möglichkeit 2:
OU Stuktur bleibt wie sie ist, aber bei OU 4 die Vererbung deaktivieren.
Gruß L.
Möglichkeit 1: Andere OU Stuktur
z.B. So
- OU1
--- OU2
OU3
- OU4
Möglichkeit 2:
OU Stuktur bleibt wie sie ist, aber bei OU 4 die Vererbung deaktivieren.
Gruß L.
Zitat von @Logan000:
Moin
Möglichkeit 1: Andere OU Stuktur
z.B. So
- OU1
--- OU2
OU3
- OU4
Möglichkeit 2:
OU Stuktur bleibt wie sie ist, aber bei OU 4 die Vererbung deaktivieren.
Moin
Möglichkeit 1: Andere OU Stuktur
z.B. So
- OU1
--- OU2
OU3
- OU4
Möglichkeit 2:
OU Stuktur bleibt wie sie ist, aber bei OU 4 die Vererbung deaktivieren.
Ja, OK. Das ist klar. Das heisst, die Antwort auf meine Frage ist nein, es geht nicht.
Dann markiere ich den Beitrag mal als gelöst.
Danke für deine Unterstützung
Gruß
Martin
