117471
Apr 07, 2016
1860
11
0
GPO - Filterung nach Gruppenzugehörigkeit
Kann ich bei Gruppenrichtlinien eigentlich auch danach filtern, ob der Computer einer bestimmten Gruppe im AD zugeordnet ist?
Ich bin mir durchaus bewusst, dass man die PCs dafür z.B. in OUs umorganisieren kann. Allerdings möchte ich darauf verzichten, den Computer in eine andere OU zu schieben.
Ich hatte mir überlegt, im AD eine Gruppe anzulegen, dort alle betroffenen Computer zu Membern zu machen und die Gruppenrichtlinie dann per WMI-Filterung an die Gruppe zu binden.
Das Statement würde dann "in etwa" so aussehen:
SELECT * FROM Win32_ComputerSystem WHERE pcistmigliedingruppe = "PCs der Gruppe 1"
Wie müsste das Statement genau aussehen? Ein Blick auf Google mündet irgendwie immer wieder in der Empfehlung, das über OUs und nicht über Sicherheitsgruppen abzubilden.
Ich bin mir durchaus bewusst, dass man die PCs dafür z.B. in OUs umorganisieren kann. Allerdings möchte ich darauf verzichten, den Computer in eine andere OU zu schieben.
Ich hatte mir überlegt, im AD eine Gruppe anzulegen, dort alle betroffenen Computer zu Membern zu machen und die Gruppenrichtlinie dann per WMI-Filterung an die Gruppe zu binden.
Das Statement würde dann "in etwa" so aussehen:
SELECT * FROM Win32_ComputerSystem WHERE pcistmigliedingruppe = "PCs der Gruppe 1"
Wie müsste das Statement genau aussehen? Ein Blick auf Google mündet irgendwie immer wieder in der Empfehlung, das über OUs und nicht über Sicherheitsgruppen abzubilden.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 301168
Url: https://administrator.de/contentid/301168
Printed on: April 25, 2024 at 11:04 o'clock
11 Comments
Latest comment
Hi,
wenn das eine GPO ist, welche Computereinstellungen nur für bestimmte Computer verteilen soll, dann erstellst Du einfach eine Gruppe, packst die Computer dort rein und benutzt diese Gruppe in der Sicherheitsfilterung (nicht WMI-Filter). "Authentifizierte Benutzer" dafür rausnehmen.
E.
wenn das eine GPO ist, welche Computereinstellungen nur für bestimmte Computer verteilen soll, dann erstellst Du einfach eine Gruppe, packst die Computer dort rein und benutzt diese Gruppe in der Sicherheitsfilterung (nicht WMI-Filter). "Authentifizierte Benutzer" dafür rausnehmen.
E.
Das hatte ich mir auch schon überlegt.
Allerdings gibt es dann doch die "Unschönheit", dass jeder erst einmal "auf Fehler" läuft:
1. "Oh - eine Gruppenrichtlinie"
2. "Ups - da komme ich ja gar nicht ran"
...oder bin ich da jetzt etwas zu spießig?
Allerdings gibt es dann doch die "Unschönheit", dass jeder erst einmal "auf Fehler" läuft:
1. "Oh - eine Gruppenrichtlinie"
2. "Ups - da komme ich ja gar nicht ran"
...oder bin ich da jetzt etwas zu spießig?
Erstens sind WMI-Filter grottenlangsam.
Zweitens: Keine Ahnung, was Du mit dieser "Unschönheit" meinst. Das ist Standard Prozedur und wird tausendfach auf der Welt so gemacht.
Zweitens: Keine Ahnung, was Du mit dieser "Unschönheit" meinst. Das ist Standard Prozedur und wird tausendfach auf der Welt so gemacht.
Das ist leider völlig in die Hose gegangen 
Ich habe die Zugriffsberechtigung für "Alle Benutzer" rausgenommen. Die anderen Rechner haben das Objekt aber immer noch übernommen.
Vermutlich hängt es damit zusammen, dass "Domänen-Admins" und "Organisations-Admins" ebenfalls Zugriffsrechte hatten.
Also habe ich die beiden auch herausgelöscht.
Anschließend habe ich gelernt, dass die hier angegebenen Zugriffsrechte wohl nicht nur für die Delegierung des Objektes, sondern auch für Veränderungen an dem Objekt gelten
Momentan habe ich da folgende Rechte:
SYSTEM: "Einstellungen bearbeiten, löschen, Sicherheit ändern"
"PCs der Gruppe 1": Lesen
Wie kriege ich denn jetzt wieder die Zugriffsrechte für die Domänen- und Organisationsadmins auf das Objekt "drauf"?
Ich habe die Zugriffsberechtigung für "Alle Benutzer" rausgenommen. Die anderen Rechner haben das Objekt aber immer noch übernommen.
Vermutlich hängt es damit zusammen, dass "Domänen-Admins" und "Organisations-Admins" ebenfalls Zugriffsrechte hatten.
Also habe ich die beiden auch herausgelöscht.
Anschließend habe ich gelernt, dass die hier angegebenen Zugriffsrechte wohl nicht nur für die Delegierung des Objektes, sondern auch für Veränderungen an dem Objekt gelten
Momentan habe ich da folgende Rechte:
SYSTEM: "Einstellungen bearbeiten, löschen, Sicherheit ändern"
"PCs der Gruppe 1": Lesen
Wie kriege ich denn jetzt wieder die Zugriffsrechte für die Domänen- und Organisationsadmins auf das Objekt "drauf"?
Wie kriege ich denn jetzt wieder die Zugriffsrechte für die Domänen- und Organisationsadmins auf das Objekt "drauf"?
Einfach vergeben. Du hast doch die GPO erstellt, bist also Besitzer, also kannst Du auch die ACL bearbeiten.Da Dir die GPO aber nun nicht mehr in der MMC angezeigt wird, bleibt Dir bloß der Weg über ADSIEDIT.
Verbinden mit der Domäne (Standardmäßiger Namenskontext)
Die GPO's findest Du unter
CN=Policies,CN=System,DC=domain,DC=tld
Ich habe die Zugriffsberechtigung für "Alle Benutzer" rausgenommen. Die anderen Rechner haben das Objekt aber immer noch übernommen.
Vermutlich hängt es damit zusammen, dass "Domänen-Admins" und "Organisations-Admins" ebenfalls Zugriffsrechte hatten.
Nein. Eher hast Du nicht ganz den Durchblick. Vermutlich hängt es damit zusammen, dass "Domänen-Admins" und "Organisations-Admins" ebenfalls Zugriffsrechte hatten.
Ich habe mir mit adsiedit Zugriffsrechte verschafft, das Objekt gelöscht und statt dessen noch einmal ein neues angelegt. "Sicher ist sicher".
Aber, wie gesagt - jetzt habe ich ja das Problem, dass das Objekt angewandt wird, wenn sich ein Administrator anmeldet *oder* wenn sich jemand auf einem PC aus meiner Sicherheitsgruppe anmeldet.
D.h., wenn ich mich als Administrator auf einem anderen Rechner anmelde, bekomme ich dort ebenfalls das Objekt.
Ich möchte, dass das Objekt ausschließlich für Computer der Sicherheitsgruppe "PCs der Gruppe 1" gilt (und zwar für Alle!) und trotzdem über die administrativen Konten verwaltbar bleibt.
Wenn ich mich auf einem PC außerhalb der Gruppe anmelde, dann soll die Richtlinie nicht angewandt werden. Auch dann nicht, wenn ich mich als (Domänen-)Admin anmelde.
Den Weg über die OUs wollte ich deshalb nicht gehen, weil es ein SBS2011 ist und ich diese ganze Struktur im Originalzustand belassen möchte (alleine schon wegen des WSUS usw.)
Von der WMI-Filterung lasse ich gerne die Pfoten. Aber dann brauche ich halt eine Alternative
Aber, wie gesagt - jetzt habe ich ja das Problem, dass das Objekt angewandt wird, wenn sich ein Administrator anmeldet *oder* wenn sich jemand auf einem PC aus meiner Sicherheitsgruppe anmeldet.
D.h., wenn ich mich als Administrator auf einem anderen Rechner anmelde, bekomme ich dort ebenfalls das Objekt.
Ich möchte, dass das Objekt ausschließlich für Computer der Sicherheitsgruppe "PCs der Gruppe 1" gilt (und zwar für Alle!) und trotzdem über die administrativen Konten verwaltbar bleibt.
Wenn ich mich auf einem PC außerhalb der Gruppe anmelde, dann soll die Richtlinie nicht angewandt werden. Auch dann nicht, wenn ich mich als (Domänen-)Admin anmelde.
Den Weg über die OUs wollte ich deshalb nicht gehen, weil es ein SBS2011 ist und ich diese ganze Struktur im Originalzustand belassen möchte (alleine schon wegen des WSUS usw.)
Von der WMI-Filterung lasse ich gerne die Pfoten. Aber dann brauche ich halt eine Alternative
D.h., wenn ich mich als Administrator auf einem anderen Rechner anmelde, bekomme ich dort ebenfalls das Objekt.
Ich möchte, dass das Objekt ausschließlich für Computer der Sicherheitsgruppe "PCs der Gruppe 1" gilt und trotzdem über die administrativen Konten verwaltbar bleibt.
Wenn ich mich auf einem PC außerhalb der Gruppe anmelde, dann soll die Richtlinie nicht angewandt werden. Auch dann nicht, wenn ich mich als (Domänen-)Admin anmelde.
Ich möchte, dass das Objekt ausschließlich für Computer der Sicherheitsgruppe "PCs der Gruppe 1" gilt und trotzdem über die administrativen Konten verwaltbar bleibt.
Wenn ich mich auf einem PC außerhalb der Gruppe anmelde, dann soll die Richtlinie nicht angewandt werden. Auch dann nicht, wenn ich mich als (Domänen-)Admin anmelde.
Deshalb habe ich in meiner ersten Antwort geschrieben:
wenn das eine GPO ist, welche Computereinstellungen nur für bestimmte Computer verteilen soll,
Aber offensichtlich reden wir von einer GPO, welche Benutzereinstellungen verteilen soll? Und das abhängig davon, an welchem Computer sich der Benutzer anmeldet?
Nein, es handelt sich um eine Computereinstellung aus Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten...
Es ist auch nur diese eine Einstellung in dem Objekt gesetzt.
Diese soll an alle Computer aus der Gruppe verteilt werden. Das Objekt hat folgende Delegierung:
Wenn ich mich als Domänen-Administrator auf einem anderen Rechner anmelde, der nicht in der Gruppe ist, bekomme ich das Objekt ebenfalls (zumindest, wenn ich der Ausgabe gpresult /r trauen darf). Das möchte ich nicht
Es ist auch nur diese eine Einstellung in dem Objekt gesetzt.
Diese soll an alle Computer aus der Gruppe verteilt werden. Das Objekt hat folgende Delegierung:
- Domänen-Admins: Einstellungen bearbeiten, löschen, Sicherheit ändern
- Organisations-Admins: Einstellungen bearbeiten, löschen, Sicherheit ändern
- SYSTEM: Einstellungen bearbeiten, löschen, Sicherheit ändern
- "PCs der Gruppe 01": Lesen
Wenn ich mich als Domänen-Administrator auf einem anderen Rechner anmelde, der nicht in der Gruppe ist, bekomme ich das Objekt ebenfalls (zumindest, wenn ich der Ausgabe gpresult /r trauen darf). Das möchte ich nicht
Also:
Mit dieser ACL wird die GPO überhaupt nicht angewendet. Da fehlt bei "PCs der Gruppe 01" noch "Richtlinie übernehmen". Hast Du das bloß vergessen?
Weiterhin:
Eine GPO, welche nur Computereinstellungen verteilt wird überhaupt nicht angewendet, wenn sich ein Benutzer anmeldet. Auch nicht wenn der Admin oder Gott persönlich ist. Entweder ist es eine GPO, die Computer- und Benutzereinstellungen enthält, oder Du hörst jetzt endlich auf, Dich da reinzusteigern. Benutzer irrelevant!
Poste doch einfach mal die komplette Ausgabe von "gpresult /r". Dann könnte man dazu was sagen.
Mit dieser ACL wird die GPO überhaupt nicht angewendet. Da fehlt bei "PCs der Gruppe 01" noch "Richtlinie übernehmen". Hast Du das bloß vergessen?
Weiterhin:
Eine GPO, welche nur Computereinstellungen verteilt wird überhaupt nicht angewendet, wenn sich ein Benutzer anmeldet. Auch nicht wenn der Admin oder Gott persönlich ist. Entweder ist es eine GPO, die Computer- und Benutzereinstellungen enthält, oder Du hörst jetzt endlich auf, Dich da reinzusteigern. Benutzer irrelevant!
Poste doch einfach mal die komplette Ausgabe von "gpresult /r". Dann könnte man dazu was sagen.
Ahdele!
Ich habe immer "nur" auf dem Reiter "Delegierung" geschaut und das da eingetragen. Ich sehe aber gerade, dass es auf dem ersten Reiter "Bereich" unten die "Sicherheitsfilterung" gibt. Vielleicht sollte man dort agieren?
Dass in den meisten Serverräumen nur ausrangierte 14" Monitore mit entsprechender Auflösung stehen, ist nicht unbedingt hilfreich, oder?
Und der Grund, warum das Teil angewendet wird und ich mich darüber wundere, ist, dass ich dort "alle Benutzer" drin stehen habe Ich hatte das wie gesagt nur unter "Delegierung" verändert.
Alles wird gut! Es ist ja nicht so, dass ich nicht lernbereit bin
Dankeschön!
Ich habe immer "nur" auf dem Reiter "Delegierung" geschaut und das da eingetragen. Ich sehe aber gerade, dass es auf dem ersten Reiter "Bereich" unten die "Sicherheitsfilterung" gibt. Vielleicht sollte man dort agieren?
Dass in den meisten Serverräumen nur ausrangierte 14" Monitore mit entsprechender Auflösung stehen, ist nicht unbedingt hilfreich, oder?
Und der Grund, warum das Teil angewendet wird und ich mich darüber wundere, ist, dass ich dort "alle Benutzer" drin stehen habe
Ich hatte das wie gesagt nur unter "Delegierung" verändert.Alles wird gut! Es ist ja nicht so, dass ich nicht lernbereit bin
Dankeschön!
