mesaou
Goto Top

Gruppenrichtlinien in WindowsServer Domäne

Ich habe zu Testzwecken einen 2008R2 Testserver zum DC gemacht und in die Domäne einen anderen Rechner (Win8) aufgenommen. Jetzt möchte ich in der Domäne bestimmten Benutzern (unabhängig vom benutzten Rechner) das Recht verwehren Wechseldatenträger zu benutzen. Naiv wie ich bin dachte ich mir: "Das geht doch sicher einfach mit Gruppenrichtlinien!" Aber entweder bin ich zu blöd dafür, die Optiion ist zu gut für mich versteckt oder es geht einfach nicht.

Ich habe bisher in meiner Domäne eine neue OU und in dieser dann eine Sicherheitsgruppe erstellt und diese dann dem TestUser zugewiesen. Über die Grupperichtlinienverwaltung habe ich ein Gruppenrichtlinienobjekt erstellt und verknüpft. In diesem GPO habe ich unter Benutzerkonfiguration -> Richtlinien -> Admininstrative Vorlagen -> System -> Wechselmedienzugriff "Alle Wechselmedienklassen: jeglichen zugriff verweigern" aktiviert. Leider kann der TestUser immernoch auf USB-Sticks zugreifen.
Schiebe ich den Computer in die OU und ändere in der GPO die Einstellung auf Computerkonfiguration, funktioniert alles wie erwartet. Nur ist das nicht die Lösung die ich brauche.

Kennt jemand das Problem, und vielleicht sogar eine Lösung?

Grüße,
Mesaou

Content-Key: 289325

Url: https://administrator.de/contentid/289325

Ausgedruckt am: 19.03.2024 um 03:03 Uhr

Mitglied: samet22
samet22 25.11.2015 aktualisiert um 14:33:41 Uhr
Goto Top
Hallo,

hast du die Gruppenrichtlinie beim Client schon "geladen"?...

cmd öffnen und "gpupdate /force" eingeben

... sorry hab den letzten satz nicht gelesen... In welcher OU ist dein Rechner wo es nicht funktioniert?...
Mitglied: Mesaou
Mesaou 25.11.2015 um 14:41:14 Uhr
Goto Top
ja "gpupdate /force" hab ich nach jeder Änderung sowohl auf dem Client als auch auf dem Server durchgeführt (nur so zur Sicherheit auf beiden Seiten). Beim Ändern der GPO zur Benutzerkonfiguration habe ich den Rechner wieder zu "Computers" zurückgeschoben.
Mitglied: d4shoerncheN
d4shoerncheN 25.11.2015 um 16:11:55 Uhr
Goto Top
Moin,

was sagt denn rsop.msc? Oder ein "gpresult /H"?

Gruß
Toni
Mitglied: Chonta
Chonta 25.11.2015 um 16:37:50 Uhr
Goto Top
Hallo,

ist der Benutzer auch in der OU auf die die GPO angewendet wird drin?
Wird die GPO auch nur auf die spezielle Gruppe angewendet?

Gruß

Chonta
Mitglied: Mesaou
Mesaou 25.11.2015 aktualisiert um 16:57:07 Uhr
Goto Top
Nach was soll ich in der rsop.msc suchen? "gpresult /H" sagt dass es diesen Befehl nicht gibt.
Der Benutzer ist in der Gruppe die in der OU liegt. Der Benutzer selber liegt unter User. Ich ahbe allerdings auch schon probiert den Benutzer in die OU selbst zu schieben ... ohne Erfolg.

Ich habe schon probiert ob es einen Unterschied macht die Gruppe in der sich der TestUser ja befindet in der Sicherheitsfilterung einzutragen, war nicht der Fall.
Mitglied: Chonta
Lösung Chonta 25.11.2015 aktualisiert um 16:59:59 Uhr
Goto Top
Der Benutzer muss aber zwangsläuft an einem Ort sein wo die GPO greift, also in der OU auf die die GPO angewendet wird.
Ansonstn muss die GPO auf Dominebene angewendet werden.

gpresult /R und schauen ob die GPO vom Benutzer gezogen wird.

Gruß

Chonta
Mitglied: Mesaou
Mesaou 25.11.2015 um 17:01:12 Uhr
Goto Top
Ich bin mir zwar relativ sicher, dass ich diese Einrichtung vorher schonmal hatte ... mag mich aber täuschen ... jetzt funktioniert es auf jedenfall. Danke euch
Mitglied: d4shoerncheN
d4shoerncheN 26.11.2015 um 09:47:30 Uhr
Goto Top
Moin,

Zitat von @Mesaou:

"gpresult /H" sagt dass es diesen Befehl nicht gibt.

okay. Ich wusste nicht, dass du den Befehl nicht kennst. Bei dem Parameter /H musst du danach noch einen Pfad angeben, wohin er die Datei speichern soll. Oder z. B. "gpresult /H gpReport.html". Dann erstellt er dir eine .html Datei in dem Pfad, wo du dich mit deiner Eingabeaufforderung gerade befindest.

In dem HTML-Report steht auch welche Richtlinien er zieht und welche er nicht ziehen konnte, weil es dort zu Fehlern gekommen ist und beschreibt auch, warum.

Gruß
Toni
Mitglied: Chonta
Chonta 26.11.2015 um 11:21:58 Uhr
Goto Top
Hallo,

cool Danke wieder was gelernt face-smile

Gruß

Chonta
Mitglied: 26228
26228 12.04.2016 um 09:29:52 Uhr
Goto Top
Oft scheitert das Greifen einer GPO daran, das die Sicherheitsgruppe in die OU gepackt wird, aber der User noch im Standard-Container liegt. Und auf dem Standard-Container greifen eben die GPO's auf Domainebene. Also immer die Gruppe UND den User aus dem Container in die OU verschieben.