22
GPO bei W2k8 R2 Server, Einstellungen sollten nicht für Administratoren gelten
hi profis!
ich habe ein problem mit den gpos im windows server 2008 r2.
ich habe ein komplett neues AD aufgebaut, gpo und alles funktioniert super.
jetzt bin ich gerade dabei einige xenapp server zu installieren, hab dafür eine eigene OU gemacht, und den ersten xenapp server da mal rein verschoben. hab anschließend eine gpo mit dem loopbackmodus auf diesen container gelegt. alles gut soweit.
jetzt hab ich dann einige einstellungen für den xenapp server gemacht (zB ordnerumleitung vom desktop), und jetzt hab ich das problem, das diese umleitung natürlich auch bei den administratoren (egal ob lokal oder domänen admins) zieht.
gibts eine möglichkeit das irgendwie zu verhindern, das diese gpos für administratoren nicht ziehen?
ich hab kurz gelesen das es die möglichkeit gibt, die user, bei denen die gpos nicht ziehen sollten, lokal den zugriff auf system32\group.... zu verweigern, ich kann mir nicht helfen das klingt irgendwie nicht wirklich nach einer schönen lösung.. gibts da noch eine andere?
danke schonmal für eure unterstützung!
lg
ich habe ein problem mit den gpos im windows server 2008 r2.
ich habe ein komplett neues AD aufgebaut, gpo und alles funktioniert super.
jetzt bin ich gerade dabei einige xenapp server zu installieren, hab dafür eine eigene OU gemacht, und den ersten xenapp server da mal rein verschoben. hab anschließend eine gpo mit dem loopbackmodus auf diesen container gelegt. alles gut soweit.
jetzt hab ich dann einige einstellungen für den xenapp server gemacht (zB ordnerumleitung vom desktop), und jetzt hab ich das problem, das diese umleitung natürlich auch bei den administratoren (egal ob lokal oder domänen admins) zieht.
gibts eine möglichkeit das irgendwie zu verhindern, das diese gpos für administratoren nicht ziehen?
ich hab kurz gelesen das es die möglichkeit gibt, die user, bei denen die gpos nicht ziehen sollten, lokal den zugriff auf system32\group.... zu verweigern, ich kann mir nicht helfen das klingt irgendwie nicht wirklich nach einer schönen lösung.. gibts da noch eine andere?
danke schonmal für eure unterstützung!
lg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 166425
Url: https://administrator.de/contentid/166425
Printed on: April 24, 2024 at 18:04 o'clock
22 Comments
Latest comment
Seit Vista geht folgendes: http://technet.microsoft.com/de-de/library/cc766291(WS.10).aspx - "Multiple local group polcy objects"
Hallo Ghandi,
schau doch mal in der GPMC in deiner GPO unter Sicherheitsfilterung nach und setze dort die Sicherheitsfilterung auf Admins deny oder nehme explizit die User Gruppen rein die du benötigst. Authenticated Users vorher natrülich rausnehmen.
Dann wird die LoopBack Policy auch wirklich nur für die berechtigten User abgearbeitet.
Ich arbeite auch ganz gern mit WMI Filtern wenn bestimmte Policies nicht auf z.b. Notebooks angewendet werden sollen. WMI sollte man aber mit bedacht einsetzen, da sich hier die Abarbeitung des RSOPS etwas verlängert.
Greatz Daniel.
schau doch mal in der GPMC in deiner GPO unter Sicherheitsfilterung nach und setze dort die Sicherheitsfilterung auf Admins deny oder nehme explizit die User Gruppen rein die du benötigst. Authenticated Users vorher natrülich rausnehmen.
Dann wird die LoopBack Policy auch wirklich nur für die berechtigten User abgearbeitet.
Ich arbeite auch ganz gern mit WMI Filtern wenn bestimmte Policies nicht auf z.b. Notebooks angewendet werden sollen. WMI sollte man aber mit bedacht einsetzen, da sich hier die Abarbeitung des RSOPS etwas verlängert.
Greatz Daniel.
hi DerWoWusste!
danke für deinen tipp, ich hab mir das jetzt mal durchgelesen, korrigiere mich bitte wenn ich falsch liege, aber wenn ich das richtig verstanden hab, müsste ich alle richtlinien die ich über die domain gpo austeile, für die lokalen administratoren wieder deaktivieren über diese local gpos..
und dann hab ich noch gelesen...
Domain member computers
Stand-alone computers benefit the most from Multiple Local Group Policy objects, wherein managing each computer is local. Domain-based computers apply Local Group Policy first and then domain-based policy. Windows Vista continues to use the "Last Writer Wins" method for conflict resolution. Therefore, policy settings originating from domain Group Policy overwrite any conflicting policy settings found in any Local Group Policy to include administrative, non-administrative, and user specific Local Group Policy. Domain administrators can disable processing Local Group Policy objects on clients running Windows Vista by enabling the "Turn off Local Group Policy objects processing" policy setting in a domain Group Policy object. You can find this setting under Computer Configuration\Administrative Templates\System\Group Policy
und wenn ich das jetzt richtig verstehe, überschreiben mir die domain gpos die lokalen gpos.. oder versteh ich da jetzt irgendwie etwas falsch?
danke und lg
danke für deinen tipp, ich hab mir das jetzt mal durchgelesen, korrigiere mich bitte wenn ich falsch liege, aber wenn ich das richtig verstanden hab, müsste ich alle richtlinien die ich über die domain gpo austeile, für die lokalen administratoren wieder deaktivieren über diese local gpos..
und dann hab ich noch gelesen...
Domain member computers
Stand-alone computers benefit the most from Multiple Local Group Policy objects, wherein managing each computer is local. Domain-based computers apply Local Group Policy first and then domain-based policy. Windows Vista continues to use the "Last Writer Wins" method for conflict resolution. Therefore, policy settings originating from domain Group Policy overwrite any conflicting policy settings found in any Local Group Policy to include administrative, non-administrative, and user specific Local Group Policy. Domain administrators can disable processing Local Group Policy objects on clients running Windows Vista by enabling the "Turn off Local Group Policy objects processing" policy setting in a domain Group Policy object. You can find this setting under Computer Configuration\Administrative Templates\System\Group Policy
und wenn ich das jetzt richtig verstehe, überschreiben mir die domain gpos die lokalen gpos.. oder versteh ich da jetzt irgendwie etwas falsch?
danke und lg
Hi @ll,
Multiple local group polcy objects sind wirklich ein intressantes Feature für nicht AD Umgebungen.
Da wir hier aber ueber zentral verwaltete Clients mittels GPO's sprechen möchtet ihr nicht wirklich mit lokalen Policys rumbasteln oder ?
Auch NTFS Rechte verändern in System32 - so ein rumgebastel - ich würde mich in professionellen Umgebungen immer so nah wie möglich an die Herrsteller "best practices" halten, weil die Infrastrukturen mittlerweile so komplex sind, das man selbst als Erfahrener Admin nicht alle Nebeneffekte 100% einshen kann.
Gruss Daniel.
Multiple local group polcy objects sind wirklich ein intressantes Feature für nicht AD Umgebungen.
Da wir hier aber ueber zentral verwaltete Clients mittels GPO's sprechen möchtet ihr nicht wirklich mit lokalen Policys rumbasteln oder ?
Auch NTFS Rechte verändern in System32 - so ein rumgebastel - ich würde mich in professionellen Umgebungen immer so nah wie möglich an die Herrsteller "best practices" halten, weil die Infrastrukturen mittlerweile so komplex sind, das man selbst als Erfahrener Admin nicht alle Nebeneffekte 100% einshen kann.
Gruss Daniel.
hi daniel,
die idee gfallt ma sehr gut, jetzt hab ich nur ein problem, wofür ich offenbar noch zu blöd bin.. wie genau setzt ich da ein "deny" rein?
also wenn ich bestimmte benutzer da auf deny setzen könnt, wär das super!
danke ung lg
die idee gfallt ma sehr gut, jetzt hab ich nur ein problem, wofür ich offenbar noch zu blöd bin.. wie genau setzt ich da ein "deny" rein?
also wenn ich bestimmte benutzer da auf deny setzen könnt, wär das super!
danke ung lg
HI,
oh sorry hab mich vertan. Hier die richtige Anleitung:
Sicherheitsfilterung:
hier alle Leute rein, welche die GPO erhalten sollen
alternative:
Sicherheitsfilterung auf authenticated Users belassen und die Admins unter
"Delegierung" aufnehmen (wenn nicht schon drin) dann bei "erweitert" die Rechte für Lesen und Übernehmen auf Verweigern setzen.
Daniel
oh sorry hab mich vertan. Hier die richtige Anleitung:
Sicherheitsfilterung:
hier alle Leute rein, welche die GPO erhalten sollen
alternative:
Sicherheitsfilterung auf authenticated Users belassen und die Admins unter
"Delegierung" aufnehmen (wenn nicht schon drin) dann bei "erweitert" die Rechte für Lesen und Übernehmen auf Verweigern setzen.
Daniel
hey daniel,
ok soweit ist mir alles klar..
ich würds mit der deligierung machen, da ich nämich einen domänen benutzer als lokalen admin per gpo zuweise, muss ich speziell diesen einen user eben aus den gpos rausnehmen.. allerdings find ich die möglichkeit nicht, die rechte auf "verweigern" zu setzen..
ich hab den user unter deligierung mit berechtigungen "lesen" hinzugefügt.. und dann.. wohin?
danke!
ok soweit ist mir alles klar..
ich würds mit der deligierung machen, da ich nämich einen domänen benutzer als lokalen admin per gpo zuweise, muss ich speziell diesen einen user eben aus den gpos rausnehmen.. allerdings find ich die möglichkeit nicht, die rechte auf "verweigern" zu setzen..
ich hab den user unter deligierung mit berechtigungen "lesen" hinzugefügt.. und dann.. wohin?
danke!
HI,
bei Delegierung bleiben und auf erweitert gehen.
Deinen User auswählen - lesen verweigern, gpo übernehmen verweigern - anhaken, übernehmen und fertig.
Arbeite noch unter GPMC 2003er Server geht aber unter 2008 genauso, kann sein dass da der ein oder andere schalter wo anders platziert ist.
Daniel.
bei Delegierung bleiben und auf erweitert gehen.
Deinen User auswählen - lesen verweigern, gpo übernehmen verweigern - anhaken, übernehmen und fertig.
Arbeite noch unter GPMC 2003er Server geht aber unter 2008 genauso, kann sein dass da der ein oder andere schalter wo anders platziert ist.
Daniel.
hey,
ja endlich, habs gfunden, ganz unten rechts wars.. DANKE.. das hat super funktioniert..
jetzt hab ich allerdings ein weiteres problem in diesem zusammenhang, wie schaff ich es jetzt, das computerrichtlinien (zB die des servergespeicherten profils..) nicht für einen user gelten, in dem fall eben für die lokalen administratoren..
denn dass funktioniert offenbar nicht mit der domänen user verweigerung..
ja endlich, habs gfunden, ganz unten rechts wars.. DANKE.. das hat super funktioniert..
jetzt hab ich allerdings ein weiteres problem in diesem zusammenhang, wie schaff ich es jetzt, das computerrichtlinien (zB die des servergespeicherten profils..) nicht für einen user gelten, in dem fall eben für die lokalen administratoren..
denn dass funktioniert offenbar nicht mit der domänen user verweigerung..
Hi,
also o.g. GPO-Settings mit User Einstellungen funktionieren nur mit Domain Usern.
Ich verstehe die Frage nicht ??? Was hast du vor
Daniel.
also o.g. GPO-Settings mit User Einstellungen funktionieren nur mit Domain Usern.
Ich verstehe die Frage nicht ??? Was hast du vor
Daniel.
ok, ich habs auch etwas "blöd" erklärt.. folgendes...
ich hab einige terminal server, die in einem eigenen container sind, auf diesen container laufen einige gpos (ordnerumleitung, servergespeicherte profile... usw)
jetzt hab ich einen domänen user erstellt, der auf diesen servern über gpo, in die lokale administrationsgruppe hinzugefügt wird, dieser user soll sozusagen die wartung der server übernehmen, ich möchte nicht den domänen admin dafür verwenden.
naja und jetzt möcht ich halt das die lokale administratoren gruppe auf den servern, keine, auch die computerrichtlinien nicht zugeordnet bekommt, weil zB die desktop umleitung soll nur für die user gelten die sich über ica darauf anmelden..
weist du was ich mein?
ich hab einige terminal server, die in einem eigenen container sind, auf diesen container laufen einige gpos (ordnerumleitung, servergespeicherte profile... usw)
jetzt hab ich einen domänen user erstellt, der auf diesen servern über gpo, in die lokale administrationsgruppe hinzugefügt wird, dieser user soll sozusagen die wartung der server übernehmen, ich möchte nicht den domänen admin dafür verwenden.
naja und jetzt möcht ich halt das die lokale administratoren gruppe auf den servern, keine, auch die computerrichtlinien nicht zugeordnet bekommt, weil zB die desktop umleitung soll nur für die user gelten die sich über ica darauf anmelden..
weist du was ich mein?
jepp verstehe
hmmm würde ich so lösen:
erstelle eine Globale Gruppe in der AD z.b. Terminal-Server-Localadmins und nimm da den User auf.
Anschliessend die Globale Gruppe in die lokale Admin Gruppe aufnehmen (1) und das "Verweigern" nicht auf den einzelnen User delegieren sondern auf die Globale AD-Gruppe setzen.
(1) kannst du entweder manuell machen oder auch via GPO unter resdricted Groups bzw. eingeschränkte Gruppen.
Daniel.
hmmm würde ich so lösen:
erstelle eine Globale Gruppe in der AD z.b. Terminal-Server-Localadmins und nimm da den User auf.
Anschliessend die Globale Gruppe in die lokale Admin Gruppe aufnehmen (1) und das "Verweigern" nicht auf den einzelnen User delegieren sondern auf die Globale AD-Gruppe setzen.
(1) kannst du entweder manuell machen oder auch via GPO unter resdricted Groups bzw. eingeschränkte Gruppen.
Daniel.
ok, aber die computerrichtlinien die über gpo dann zugewiesen werden, die ziehen dann trotzdem oder? das betrifft ja nur die benutzerrichtlinien, kann das sein?
Hi,
das ist ne gute Frage setze Loopback auch nur im Notfall ein. Ich würde der Übersicht halber ne separate GPO erstellen für die restricted Groups dort die Benutzerkonfig deaktiviern.
Greatz Daniel.
das ist ne gute Frage setze Loopback auch nur im Notfall ein. Ich würde der Übersicht halber ne separate GPO erstellen für die restricted Groups dort die Benutzerkonfig deaktiviern.
Greatz Daniel.
ok, hab das gerade getestet, also bei mir funktioniert dein tipp mit den delegierungen bei den benutzerrichtlinien super, bei den computerrichtlinien leider nicht, ich werd morgen das mal mit einer eigenen gpo versuchen. meld mich dann..
danke auf jeden fall für deine unterstützung!
lg
danke auf jeden fall für deine unterstützung!
lg
nein.. ich checks einfach nicht... bin offenbar zu blöd.. ganz kurz nochmal..
wie schaffe ichs, das für bestimmte user (in dem fall lokale administratoren), die computerrichtlinien die über gpo eingestellt sind, nicht ziehen?
*verzweifeltbin*
wie schaffe ichs, das für bestimmte user (in dem fall lokale administratoren), die computerrichtlinien die über gpo eingestellt sind, nicht ziehen?
*verzweifeltbin*
so bin jetzt fertig mit dem herum probieren und testen.. leider geht das nicht, computerrichtlinien für spezielle user zu deaktivieren, macht aba nix, muss ich halt damit leben.. dennoch
DANKE!
DANKE!
hallo,
nicht verzweifeln...
wie schon geschrieben bei anmeldung mit einem lokalen User Account werden nur die in den GPO definierten Computersettings abgearbeitet.
Deswegen habe ich dir ja vorgeschlagen, dich mit einem Domain User anzumelden und diesen über eine AD Gruppe zu einem lokalen Admin zu machen. (deinen Admin Account zur AD Gruppe un diese dann in die lokalen Gruppe Administratoren auf dem TS aufnehmen)
Die AD Gruppe dann auf deny in der Loop Back Policy. Das ist auf jeden Fall der richtige Weg.
Loop Back ist ja nichts anderes als:
lade mir die hier definierten User Settings für die Maschine auch wenn die GPO nicht direkt auf dem jeweilgen User hängt.
hab hier noch was gefunden
http://social.technet.microsoft.com/Forums/de/gruppenrichtliniende/thre ...
Antwort von Ingo Schneider...
Hast du das Loop Back auch auf "ersetzen" gesetzt ?
Gruesse Daniel.
nicht verzweifeln...
wie schon geschrieben bei anmeldung mit einem lokalen User Account werden nur die in den GPO definierten Computersettings abgearbeitet.
Deswegen habe ich dir ja vorgeschlagen, dich mit einem Domain User anzumelden und diesen über eine AD Gruppe zu einem lokalen Admin zu machen. (deinen Admin Account zur AD Gruppe un diese dann in die lokalen Gruppe Administratoren auf dem TS aufnehmen)
Die AD Gruppe dann auf deny in der Loop Back Policy. Das ist auf jeden Fall der richtige Weg.
Loop Back ist ja nichts anderes als:
lade mir die hier definierten User Settings für die Maschine auch wenn die GPO nicht direkt auf dem jeweilgen User hängt.
hab hier noch was gefunden
http://social.technet.microsoft.com/Forums/de/gruppenrichtliniende/thre ...
Antwort von Ingo Schneider...
Hast du das Loop Back auch auf "ersetzen" gesetzt ?
Gruesse Daniel.
hey daniel,
ok ich verstehe was du meinst, ich habs folgendermaßen gemacht.
einen domänen user erstellt, und diesen über gpo in die lokale administratoren gruppe der TS reingschoben.
anschließend hab ich dann bei der computergruppenrichtlinie, diesen domänen user auf deny gesetzt. aber nicht bei der loopback gpo sondern bei der, bei der ich nicht will das sie für diesen user gilt.
versteh ich da was falsch? ein loopback ist auf ersetzen ja.
ist das denn richtig, der loopback modus ist dafür da, das alle user einstellungen die ein user per gpo zugeordnet bekommt, durch die aktuellen ersetzt werden nicht?
danke und lg
ok ich verstehe was du meinst, ich habs folgendermaßen gemacht.
einen domänen user erstellt, und diesen über gpo in die lokale administratoren gruppe der TS reingschoben.
anschließend hab ich dann bei der computergruppenrichtlinie, diesen domänen user auf deny gesetzt. aber nicht bei der loopback gpo sondern bei der, bei der ich nicht will das sie für diesen user gilt.
versteh ich da was falsch? ein loopback ist auf ersetzen ja.
ist das denn richtig, der loopback modus ist dafür da, das alle user einstellungen die ein user per gpo zugeordnet bekommt, durch die aktuellen ersetzt werden nicht?
danke und lg
Hi,
also das Loopback machst du natürlich nur, wenn du willst, dass User Settings Maschinen spezifisch angewendet werden. Ist erstmal verwirrend wenn man das zum 1. Mal macht, aber effektiv.
Heißt du machst eine Loopback GPO und verlinkst diese auf deine TS-OU und möchtest damit bewirken, dass die User die sich da anmelden, andere Usersettings auf den TS haben als auf ihren Arbeits-PC's. Nun kennt der TS aber keine User Settings. Daher steht auch in der Loopback in der Computerkonfig "Hallo ich bin eine Loopback schau doch mal im UserTeil nach..."
Damit die Loopback Richtlinie aber nicht für Admins gilt kannst du die Delegierung auf Admins deny setzen oder z.b. die AD Gruppe die alle "normalen User" beinahltet bei dem 1. Reiter unter Sicherheitsfilter eintragen. Als default ist hier Authenticated Users eingetragen = Summer aller USer in der AD, die sich in irgendeiner Weise auth.
Näheres zur Loopback Verabreitung:
http://support.microsoft.com/kb/231287/DE
so long daniel.
p.s. ich habe bei einem Kunden die Anforderung gehabt das die User bei Anmeldung an ihren Desktops alle Pfade wie Eigene Dateien, Dekstop, Favoriten usw. auf einen Fileserver umgebogen bekommen und bei Anmeldung an den Poollaptops das Ganze auf eine 2. lokale Partition geschrieben wird.
also das Loopback machst du natürlich nur, wenn du willst, dass User Settings Maschinen spezifisch angewendet werden. Ist erstmal verwirrend wenn man das zum 1. Mal macht, aber effektiv.
Heißt du machst eine Loopback GPO und verlinkst diese auf deine TS-OU und möchtest damit bewirken, dass die User die sich da anmelden, andere Usersettings auf den TS haben als auf ihren Arbeits-PC's. Nun kennt der TS aber keine User Settings. Daher steht auch in der Loopback in der Computerkonfig "Hallo ich bin eine Loopback schau doch mal im UserTeil nach..."
Damit die Loopback Richtlinie aber nicht für Admins gilt kannst du die Delegierung auf Admins deny setzen oder z.b. die AD Gruppe die alle "normalen User" beinahltet bei dem 1. Reiter unter Sicherheitsfilter eintragen. Als default ist hier Authenticated Users eingetragen = Summer aller USer in der AD, die sich in irgendeiner Weise auth.
Näheres zur Loopback Verabreitung:
http://support.microsoft.com/kb/231287/DE
so long daniel.
p.s. ich habe bei einem Kunden die Anforderung gehabt das die User bei Anmeldung an ihren Desktops alle Pfade wie Eigene Dateien, Dekstop, Favoriten usw. auf einen Fileserver umgebogen bekommen und bei Anmeldung an den Poollaptops das Ganze auf eine 2. lokale Partition geschrieben wird.
hi daniel,
ok alles klar.. das mit dem loopback versteh ich jetzt. allerdings die computerrichtlinien werden bei mir für diesen domänen user der lokaler admin ist trotzdem übernommen.
genau gehts um die einstellung der roaming profiles, ich hab per gpo eingestellt dass, jeder user der sich auf den ts anmeldet einen bestimmten pfad für sein servergespeichertes profil nimmt (ich möchte das nicht einzeln über die benutzerkonto einstellungen machen), naja und dieser user, als lokaler admin sollte halt kein roamingprofile verwendet.. irgendwie haut das nicht hin, obwohl ich den einen user überall auf deny gesetzt habe..
ich denke aber das, dass was ich möchte wirklich nicht möglich ist...
lg
ok alles klar.. das mit dem loopback versteh ich jetzt. allerdings die computerrichtlinien werden bei mir für diesen domänen user der lokaler admin ist trotzdem übernommen.
genau gehts um die einstellung der roaming profiles, ich hab per gpo eingestellt dass, jeder user der sich auf den ts anmeldet einen bestimmten pfad für sein servergespeichertes profil nimmt (ich möchte das nicht einzeln über die benutzerkonto einstellungen machen), naja und dieser user, als lokaler admin sollte halt kein roamingprofile verwendet.. irgendwie haut das nicht hin, obwohl ich den einen user überall auf deny gesetzt habe..
ich denke aber das, dass was ich möchte wirklich nicht möglich ist...
lg
dann kann ich abschliessend nur sagen:
1. lösch das roaming profile bei deinem Admin User raus hab ich auch irgendwann aufgegeben weil ich mal n 2 GB Profile hatte und dieses nicht auf jedem Server kopieren wollte
2. leg dir einen lokalen Administrator Account an und melde dich mit dem an - je nach dem was du damit machen willst auf dem System sinnvoll.
3. ruf doch mal bei Microsoft an und frage ob die ein Loopback für Maschinen Settings implementieren können
was man evtl. noch probieren könnte wäre eine Maschinen GPO schreiben mit local Profile only und dann bei sicherheitsfiltering den Admin Account - ohne zu testen würde ich aber sagen das er die auch für die normalen user abarbeitet da eben Computerkonfig...
so jetzt ist mein latein am ende ich mach Feierabend ^^
bye Daniel.
1. lösch das roaming profile bei deinem Admin User raus hab ich auch irgendwann aufgegeben weil ich mal n 2 GB Profile hatte und dieses nicht auf jedem Server kopieren wollte
2. leg dir einen lokalen Administrator Account an und melde dich mit dem an - je nach dem was du damit machen willst auf dem System sinnvoll.
3. ruf doch mal bei Microsoft an und frage ob die ein Loopback für Maschinen Settings implementieren können
was man evtl. noch probieren könnte wäre eine Maschinen GPO schreiben mit local Profile only und dann bei sicherheitsfiltering den Admin Account - ohne zu testen würde ich aber sagen das er die auch für die normalen user abarbeitet da eben Computerkonfig...
so jetzt ist mein latein am ende ich mach Feierabend ^^
bye Daniel.
