5
GPO Computerrichtlinie soll NICHT für lokale Benutzer gelten
Hallo,
folgendes Problem habe ich:
- wir haben eine GPO Computer, in der der "Pfad des servergespeicherten Profils für alle Benutzer" festgelegt wird (Comp. > Admin. Vorlagen > System > Benutzerprofile)
- der Pfad liegt logischerweise im Netzwerk
- ich möchte mich mit einem lokal angelegten Nutzer anmelden, doch dies scheitert aufgrund der GPO
Nun habe ich der GPO im Sicherheitsfilter die Gruppen Domänencomputer UND Domänenbenutzer hinzugefügt, sodass die GPO nur für diese Personen gilt. Doch leider greift die GPO weiterhin für den lokalen Nutzer.
Somit kann sich der lokale Nutzer nicht anmelden, da er den Pfad im Netzwerk ja nicht finden kann, er ihn aber auch nicht verwenden soll (Außer wenn ich "Benutzer mit temporären Profilen nicht anmelden" deaktiviere. Aber dann meldet er sich eben nur mit teporären Profil, und nicht mit dem lokalen Default-Profil an)... Bei der versuchten Anmeldung erscheint "benutzerprofildienst kann nicht geladen werden" und ich gelange wieder zum Anmeldebildschirm.
Habe ich es halbwegs verständlich erklärt?
VG robbery
folgendes Problem habe ich:
- wir haben eine GPO Computer, in der der "Pfad des servergespeicherten Profils für alle Benutzer" festgelegt wird (Comp. > Admin. Vorlagen > System > Benutzerprofile)
- der Pfad liegt logischerweise im Netzwerk
- ich möchte mich mit einem lokal angelegten Nutzer anmelden, doch dies scheitert aufgrund der GPO
Nun habe ich der GPO im Sicherheitsfilter die Gruppen Domänencomputer UND Domänenbenutzer hinzugefügt, sodass die GPO nur für diese Personen gilt. Doch leider greift die GPO weiterhin für den lokalen Nutzer.
Somit kann sich der lokale Nutzer nicht anmelden, da er den Pfad im Netzwerk ja nicht finden kann, er ihn aber auch nicht verwenden soll (Außer wenn ich "Benutzer mit temporären Profilen nicht anmelden" deaktiviere. Aber dann meldet er sich eben nur mit teporären Profil, und nicht mit dem lokalen Default-Profil an)... Bei der versuchten Anmeldung erscheint "benutzerprofildienst kann nicht geladen werden" und ich gelange wieder zum Anmeldebildschirm.
Habe ich es halbwegs verständlich erklärt?
VG robbery
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 223101
Url: https://administrator.de/contentid/223101
Printed on: April 24, 2024 at 11:04 o'clock
5 Comments
Latest comment
Hallo robbery,
ja, verständlich erklärt und auch schon selbst beantwortet
Wenn Du die Einstellung im Bereich Computerkonfiguration setzt und dann die Gruppe der Domänencomputer im Sicherheitsfilter einträgst, dann greift diese Einstellung natürlich auch auf ALLEN DomänenCOMPUTERN, egal wer sich dort anmeldet!
Warum definiert Ihr den Pfad der servergespeicherten Profile nicht in jedem einzelnen Domänenbenutzerkonto?
Gruß
Marcus
ja, verständlich erklärt und auch schon selbst beantwortet
Wenn Du die Einstellung im Bereich Computerkonfiguration setzt und dann die Gruppe der Domänencomputer im Sicherheitsfilter einträgst, dann greift diese Einstellung natürlich auch auf ALLEN DomänenCOMPUTERN, egal wer sich dort anmeldet!
Warum definiert Ihr den Pfad der servergespeicherten Profile nicht in jedem einzelnen Domänenbenutzerkonto?
Gruß
Marcus
OK, deine Verdeutlichung klingt natürlich logisch Insofern greift die GPO dann eben auch auf lokale Benutzerkonten...
Und zu deiner Frage:
Auf diese Frage habe ich ehrlich gesagt schon gewartet So ist ja auch der eigentliche Weg. Doch bei uns ist es so gewachsen, da wir unsere Profile noch nie über die Windowsdomäne verwaltet haben und somit nun bei der Umstellung auf Windows7 diesen Weg gewählt haben.
Fällt dir womöglich trotzdem eine Möglichkeit ein, wie ich die GPO nur für Domänenbenutzer eingrenze und es eben nicht für lokale Benutzer greift?
Laut meiner Logik müsste die Abgrenzung ja durch das Hinzufügen der Gruppe Domänenbenutzer im Sicherheitsfilter erreicht werden, aber tut es leider nicht...
Insofern greift die GPO dann eben auch auf lokale Benutzerkonten...Und zu deiner Frage:
Auf diese Frage habe ich ehrlich gesagt schon gewartet
So ist ja auch der eigentliche Weg. Doch bei uns ist es so gewachsen, da wir unsere Profile noch nie über die Windowsdomäne verwaltet haben und somit nun bei der Umstellung auf Windows7 diesen Weg gewählt haben.Fällt dir womöglich trotzdem eine Möglichkeit ein, wie ich die GPO nur für Domänenbenutzer eingrenze und es eben nicht für lokale Benutzer greift?
Laut meiner Logik müsste die Abgrenzung ja durch das Hinzufügen der Gruppe Domänenbenutzer im Sicherheitsfilter erreicht werden, aber tut es leider nicht...
Nein, deine Logik hat einen Fehler:
Computereinstellungen greifen immer nur auf COMPUTERN!
Benutzereinstellungen greifen immer nur für BENUTZER!
Beispiel:
Du aktivierst unter "BENUTZERkonfiguration/Administrative Vorlagen/System/Gruppenrichtlinien" die Richtlinie "Group Policy slow link detection", fügst aber bei der Sicherheitsfilterung nur die DomänenCOMPUTER hinzu, wird die Richtlinie nicht und nirgends greifen!
Genau so verhält es sich wenn Du unter "COMPUTERkonfiguration/Administrative Vorlagen/System/Gruppenrichtlinien" die gleiche Richtlinie aktivierst, aber in der Sicherheitsfilterung nur die DomänenBENUTZER stehen hast.
Darum stehen ja in einer neuerstellten Policy auch die authentifizierten Benutzer drin, das sind sowohl BENUTZER- wie auch COMPUTERkonten.
Ergo:
BENUTZEReinstellungen betreffen BENUTZERkonten, egal auf welchem COMPUTER sie sich anmelden.
COMPUTEReinstellungen betreffen COMPUTERkonten, egal WER sich dort anmeldet.
Ausnahmen gibt es hier natürlich auch, aber generell stimmt die obige Aussage!
Lies Dich mal hier ein, vielleicht bringt Dich das weiter: http://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loo ...
Gruß
Marcus
Computereinstellungen greifen immer nur auf COMPUTERN!
Benutzereinstellungen greifen immer nur für BENUTZER!
Beispiel:
Du aktivierst unter "BENUTZERkonfiguration/Administrative Vorlagen/System/Gruppenrichtlinien" die Richtlinie "Group Policy slow link detection", fügst aber bei der Sicherheitsfilterung nur die DomänenCOMPUTER hinzu, wird die Richtlinie nicht und nirgends greifen!
Genau so verhält es sich wenn Du unter "COMPUTERkonfiguration/Administrative Vorlagen/System/Gruppenrichtlinien" die gleiche Richtlinie aktivierst, aber in der Sicherheitsfilterung nur die DomänenBENUTZER stehen hast.
Darum stehen ja in einer neuerstellten Policy auch die authentifizierten Benutzer drin, das sind sowohl BENUTZER- wie auch COMPUTERkonten.
Ergo:
BENUTZEReinstellungen betreffen BENUTZERkonten, egal auf welchem COMPUTER sie sich anmelden.
COMPUTEReinstellungen betreffen COMPUTERkonten, egal WER sich dort anmeldet.
Ausnahmen gibt es hier natürlich auch, aber generell stimmt die obige Aussage!
Lies Dich mal hier ein, vielleicht bringt Dich das weiter: http://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loo ...
Gruß
Marcus
Der Link frischt das Wissen zu GPOs auf jeden Fall auf - dankeschön!
Ich habe in der GPO, in welcher nur Comp.-konfigurationen gesetzt sind, noch den Loopbackverarbeitungsmodus aktiviert. Und auth. Benutzer als Sicherheitsfilter.
Doch die Gpo greift trotzdem nicht für lokale Nutzer -.-
Aber genau das soll er eben nicht, sondern nur für Domänenbenutzer greifen... Wenn ich also recht darüber nachdenke, trifft Loopback für meinen Fall leider nicht zu. Oder habe ich ein Verständnisproblem?!? Denn die GPO mit aktivierter Loopback greift zwar für Domänenbenutzer, was ohne Loopback ja gar nicht greift (also Sicherheitsfilter nur Dom.-benutzer und nichts anderes), aber greift eben immer noch für lokale Benutzer (was aber nun mal nicht sein soll)
Es muss doch eine Einstellungsmöglichkeit geben, womit die Computer-GPO nicht für lokale Nutzer greift?!?!
Ich habe in der GPO, in welcher nur Comp.-konfigurationen gesetzt sind, noch den Loopbackverarbeitungsmodus aktiviert. Und auth. Benutzer als Sicherheitsfilter.
Doch die Gpo greift trotzdem nicht für lokale Nutzer -.-
Aber genau das soll er eben nicht, sondern nur für Domänenbenutzer greifen... Wenn ich also recht darüber nachdenke, trifft Loopback für meinen Fall leider nicht zu. Oder habe ich ein Verständnisproblem?!? Denn die GPO mit aktivierter Loopback greift zwar für Domänenbenutzer, was ohne Loopback ja gar nicht greift (also Sicherheitsfilter nur Dom.-benutzer und nichts anderes), aber greift eben immer noch für lokale Benutzer (was aber nun mal nicht sein soll)
Es muss doch eine Einstellungsmöglichkeit geben, womit die Computer-GPO nicht für lokale Nutzer greift?!?!
Es muss doch eine Einstellungsmöglichkeit geben, womit die Computer-GPO nicht für lokale Nutzer greift?!?!
Das gibt es eben nicht...die Computersettings haben nichts mit dem angemeldeten bzw. anmeldenden Benutzer zu tun...klassische Sackgasse würde ich sagen.
