gelöst Sicherheitsfilterung bei Gruppenrichtlinien
Hi zusammen
Ich möchte eine Gruppenrichtlinie erstellen, die für alle Authentifizierten Benutzer gilt, mit Ausnahme einer Gruppe. Ich habe gedacht, dass man unter Delegierung die Ausnahme eintragen kann (Gruppe hinzufügen und in den Rechten den Punkt "Gruppenrichtlinie übernehmen" auf "verweigern" setzen). Leider wird diese Einstellung ignoriert und die Richtlinie wird trotzdem übernommen.
Wie ist das korrekte Vorgehen, um für eine Gruppenrichtlinie eine Ausnahme zu definieren. Wenn dies nur per WMI-Filter geht, wäre ich um ein Beispiel dankbar.
Besten Dank für eure Tipps und viele Grüsse
Ich möchte eine Gruppenrichtlinie erstellen, die für alle Authentifizierten Benutzer gilt, mit Ausnahme einer Gruppe. Ich habe gedacht, dass man unter Delegierung die Ausnahme eintragen kann (Gruppe hinzufügen und in den Rechten den Punkt "Gruppenrichtlinie übernehmen" auf "verweigern" setzen). Leider wird diese Einstellung ignoriert und die Richtlinie wird trotzdem übernommen.
Wie ist das korrekte Vorgehen, um für eine Gruppenrichtlinie eine Ausnahme zu definieren. Wenn dies nur per WMI-Filter geht, wäre ich um ein Beispiel dankbar.
Besten Dank für eure Tipps und viele Grüsse
6 Antworten
- LÖSUNG Logan000 schreibt am 21.12.2010 um 15:30:56 Uhr
- LÖSUNG 44838 schreibt am 21.12.2010 um 15:48:56 Uhr
- LÖSUNG Mad-Eye schreibt am 21.12.2010 um 21:28:08 Uhr
- LÖSUNG 44838 schreibt am 22.12.2010 um 08:07:06 Uhr
- LÖSUNG Logan000 schreibt am 22.12.2010 um 09:02:46 Uhr
- LÖSUNG 44838 schreibt am 22.12.2010 um 09:23:56 Uhr
- LÖSUNG Logan000 schreibt am 22.12.2010 um 09:02:46 Uhr
- LÖSUNG 44838 schreibt am 22.12.2010 um 08:07:06 Uhr
- LÖSUNG Mad-Eye schreibt am 21.12.2010 um 21:28:08 Uhr
- LÖSUNG 44838 schreibt am 21.12.2010 um 15:48:56 Uhr
LÖSUNG 21.12.2010 um 15:30 Uhr
Moin Moin
Ein Vorweg:
Mit dem "Verweigern" Kram kommt man erst, dann wenn es nicht mehr anders geht. Als allerletztes Mittel.
Um welche Einstellung geht es genau? Benutzer- oder Computerkonfiguration?
Hast du gpupdate /force am client ausgeführt?
Gruß L.
Ein Vorweg:
Mit dem "Verweigern" Kram kommt man erst, dann wenn es nicht mehr anders geht. Als allerletztes Mittel.
Leider wird diese Einstellung ignoriert und die Richtlinie wird trotzdem übernommen.
Woher weist du das die Richtlinie nicht angewendet wurde? Hast Du ein Richtlinienergebniss eingeholt?Um welche Einstellung geht es genau? Benutzer- oder Computerkonfiguration?
Hast du gpupdate /force am client ausgeführt?
Gruß L.
LÖSUNG 21.12.2010 um 15:48 Uhr
Hallo
Es geht jeweils um eine Computerkonfiguration.
a) Einmal sollen jeweils die Energieoptionen angepasst werden (jedoch gibt es Rechner die immer laufen müssen, sprich davon ausgenommen sein sollen)
b) Unter Windows 7 sollen UAC Meldungen bei den normalen Benutzern nicht erscheinen (Für mein Konto jedoch schon) : Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Standardbenutzer: automatisch ablehnen
Wenn ich als Ziel "Authentifizerte Benutzer" anwähle und dann eine Ausnahme definiere, wird die Ausname ignoriert. Jeweils getestet durch an/abmelden bzw neustart
Gruss
Yalandor
Es geht jeweils um eine Computerkonfiguration.
a) Einmal sollen jeweils die Energieoptionen angepasst werden (jedoch gibt es Rechner die immer laufen müssen, sprich davon ausgenommen sein sollen)
b) Unter Windows 7 sollen UAC Meldungen bei den normalen Benutzern nicht erscheinen (Für mein Konto jedoch schon) : Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Standardbenutzer: automatisch ablehnen
Wenn ich als Ziel "Authentifizerte Benutzer" anwähle und dann eine Ausnahme definiere, wird die Ausname ignoriert. Jeweils getestet durch an/abmelden bzw neustart
Gruss
Yalandor
LÖSUNG 21.12.2010 um 21:28 Uhr
Abend Yalandor,
vielleicht könntest du mal deine OUs überarbeiten damit du die entsprechenden Objekte dann aus der GPO "filterst". Und Prophylaktisch: nie vergessen in der Default-Policy nie mehr ändern als nötig.
Gruß
Mad-Eye
vielleicht könntest du mal deine OUs überarbeiten damit du die entsprechenden Objekte dann aus der GPO "filterst". Und Prophylaktisch: nie vergessen in der Default-Policy nie mehr ändern als nötig.
Gruß
Mad-Eye
LÖSUNG 22.12.2010 um 08:07 Uhr
Morgen
Ja auf diesen Punkt bin ich gestern beim lesen der Dokumenation dann auch gekommen. Dies werde ich baldmöglichst (nächstes Jahr) in Angriff nehmen.
Aber es erstaunt mich trotzdem, dass ein "Gruppenrichtlinie übernehmen" auf "verweigern" ignoriert wird, wenn der Benutzer durch eine andere Gruppe betroffen ist. Für was wäre diese Option überhaupt gedacht?
mfg
Yalandor
Ja auf diesen Punkt bin ich gestern beim lesen der Dokumenation dann auch gekommen. Dies werde ich baldmöglichst (nächstes Jahr) in Angriff nehmen.
Aber es erstaunt mich trotzdem, dass ein "Gruppenrichtlinie übernehmen" auf "verweigern" ignoriert wird, wenn der Benutzer durch eine andere Gruppe betroffen ist. Für was wäre diese Option überhaupt gedacht?
mfg
Yalandor
LÖSUNG 22.12.2010 um 09:02 Uhr
Moin Moin
Ich denke das Problem ist folgendes:
>... wenn der Benutzer durch eine andere Gruppe betroffen ist.
Der Punkt ist das Computereinstellungen nie auf Benutzerobjekte angewendet bzw. auch nicht verweigert werden.
Wenn du eine Gruppe von Benutzern angelegt hast und für diese die Übernahme der eine GPO mit Computereinstellungen verweigerst, passiert nichts.
Du müstest Computerkonten in diese Gruppe packen.
Gruß L.
Ich denke das Problem ist folgendes:
>... wenn der Benutzer durch eine andere Gruppe betroffen ist.
Der Punkt ist das Computereinstellungen nie auf Benutzerobjekte angewendet bzw. auch nicht verweigert werden.
Wenn du eine Gruppe von Benutzern angelegt hast und für diese die Übernahme der eine GPO mit Computereinstellungen verweigerst, passiert nichts.
Du müstest Computerkonten in diese Gruppe packen.
Gruß L.
LÖSUNG 22.12.2010 um 09:23 Uhr
Danke, nun habe ichs begriffen. Danke euch beiden für die Tipps.
Gruss
Yalandor
Gruss
Yalandor
Ähnliche Inhalte
Neue Wissensbeiträge
Heiß diskutierte Inhalte
