3
2 Gruppenrichtlinen auf die gleichen Beztzer anwenden
Hallo Kollegen,
in meiner AD habe ich eine OU die sich Terminalserver nennt. Für die Terminalserver gilt eine Gruppenrichtlinie. In der sind eigentlich alle Kleinigkeiten abgehandelt.
Nun will ich für eine Reihe von Benutzern eine eigen OU erstellen und eine weitere Gruppenrichtlinie anwenden lassen. Ich beschreibe in der neuen Gruppenrichtlinie lediglich den Zugang über Proxy ins Internet. Mehr nicht. Irgendwie bringe ich es nicht gebacken, dass die alte Richtlinie der TS Gültigkeit hat und die neue Richtlinie mit der einen Einstellung zusätzlich angewendet wird.
Kann mir jemand helfen?
P.S. Warum ich das so mache? Es gibt in meinem Netz eine Sicherheitslücke. Ich habe Benutzern die Verknüpfung Internet Explorer genommen, die nicht surfen sollen. Leider müssen die Benutzer sich aber über ein Zeiterfassungsprogramm an und abmelden können. Dieses Programm läuft leider nur über den Aufruf im Internet Explorer. Die Benutzer können somit auf das Zeiterfassungsprogramm gehen und die Adresse abändern. Bei den Benutzern gehe ich her, und leite diese auf den Proxy. Nun dürfe die nur noch freigeschaltete Seiten aufrufen.
in meiner AD habe ich eine OU die sich Terminalserver nennt. Für die Terminalserver gilt eine Gruppenrichtlinie. In der sind eigentlich alle Kleinigkeiten abgehandelt.
Nun will ich für eine Reihe von Benutzern eine eigen OU erstellen und eine weitere Gruppenrichtlinie anwenden lassen. Ich beschreibe in der neuen Gruppenrichtlinie lediglich den Zugang über Proxy ins Internet. Mehr nicht. Irgendwie bringe ich es nicht gebacken, dass die alte Richtlinie der TS Gültigkeit hat und die neue Richtlinie mit der einen Einstellung zusätzlich angewendet wird.
Kann mir jemand helfen?
P.S. Warum ich das so mache? Es gibt in meinem Netz eine Sicherheitslücke. Ich habe Benutzern die Verknüpfung Internet Explorer genommen, die nicht surfen sollen. Leider müssen die Benutzer sich aber über ein Zeiterfassungsprogramm an und abmelden können. Dieses Programm läuft leider nur über den Aufruf im Internet Explorer. Die Benutzer können somit auf das Zeiterfassungsprogramm gehen und die Adresse abändern. Bei den Benutzern gehe ich her, und leite diese auf den Proxy. Nun dürfe die nur noch freigeschaltete Seiten aufrufen.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 55205
Url: https://administrator.de/contentid/55205
Printed on: May 7, 2024 at 10:05 o'clock
3 Comments
Latest comment
Welche Funktionsebene hat deine Domäne und welche Betriebssysteme nutzt du denn?
Verwendest du die gpmc (GroupPolicyManagementConsole) oder direkt den GPO Editor? Wie wertest du die Ergebnisse deiner Richtlinien aus, oder machst du das vieleicht garnicht?
Hast du vieleicht aus versehen die GPO in der oberen Ebene erzwungen? Ist die neue, auf die untergeordnete ou angewendete GPO überhaupt zugewiesen? Stimmen die Rechte, also darf der User/Computer die Richtlinie überhaupt anwenden?
So pauschal kann man leider nicht sagen wo da genau das Problem liegt.
OU Terminalserver (TS-GPolicy)
|-no-IE_user1
|
|-OU Internetnutzer (IE-GPolicy)
| |
| |-IE-User
Schau die deine GPO Struktur noch einmal genu an, prüfe die Auswirkungen deiner Einstellungen sowie die Rechte und evt. erzwungene GPOs. Mehr kann man dazu aus der Ferne leider nicht sagen.
Verwendest du die gpmc (GroupPolicyManagementConsole) oder direkt den GPO Editor? Wie wertest du die Ergebnisse deiner Richtlinien aus, oder machst du das vieleicht garnicht?
Hast du vieleicht aus versehen die GPO in der oberen Ebene erzwungen? Ist die neue, auf die untergeordnete ou angewendete GPO überhaupt zugewiesen? Stimmen die Rechte, also darf der User/Computer die Richtlinie überhaupt anwenden?
So pauschal kann man leider nicht sagen wo da genau das Problem liegt.
OU Terminalserver (TS-GPolicy)
|-no-IE_user1
|
|-OU Internetnutzer (IE-GPolicy)
| |
| |-IE-User
Schau die deine GPO Struktur noch einmal genu an, prüfe die Auswirkungen deiner Einstellungen sowie die Rechte und evt. erzwungene GPOs. Mehr kann man dazu aus der Ferne leider nicht sagen.
Als Domainserver verwende ich Win2000 Server, als Terminalserver verwende ich Win2003 Server.
In verwalte die Richtlinen in der Active Directory. Dort unter der einzelnen OU unter Grupperichtlinen.
Ich habe auf der 2. Ebene der AD 2 OU´s, zum einen die OU Terminalserver, zum anderen die OU Internet. Die Rechtline im Ordner Terminalserver funktionieren auch super. Nur die Richtlinen im Ordner Internet funktionieren nicht. In der Richtline Internet steht lediglich der Eintrag Proxy.
Die Berechtigungen habe ich kontolliert. Alle Domain-Benutzer verwenden danach die Richtline. Es ist gleich aufgebaut wie die Richtline Terminalserver.
In verwalte die Richtlinen in der Active Directory. Dort unter der einzelnen OU unter Grupperichtlinen.
Ich habe auf der 2. Ebene der AD 2 OU´s, zum einen die OU Terminalserver, zum anderen die OU Internet. Die Rechtline im Ordner Terminalserver funktionieren auch super. Nur die Richtlinen im Ordner Internet funktionieren nicht. In der Richtline Internet steht lediglich der Eintrag Proxy.
Die Berechtigungen habe ich kontolliert. Alle Domain-Benutzer verwenden danach die Richtline. Es ist gleich aufgebaut wie die Richtline Terminalserver.
win2k DC, win2k3 TS ... ui. Also wenn die Gruppenrichtlinienergebnisse alle passen kannst du nur noch einmal versuchen die GPO zu erzwingen. Das Problem könnte auch durch die verstärkte Sicherheitskonfiguration des IE auf nem Win2k3 Server oder durch eine zu alte .adm Vorlage verursacht werden.
Versuch am besten noch einmal die GPO neu anzulegen, zu verknüpfen und zu erzwingen. Wenn das nicht funktioniert, konfiguriere die Lokale Sicherheitsrichtlinie auf dem TS und mach dort die nötigen Einstellungen.
Wenn das auch nicht funktioniert kannst du immernoch ein alternatives Userprofil verwenden in dem du die IE Settings voreinstellst (und den zugriff auf diese per GPO verhinderst) und es für alle User auf dem TS verwendest.
Aso, wo konfigurierst du diese Einstellungen überhaupt für welche Objekte unterhalb der OU?
Versuch mal Testweise ob wenn du zb. die Hilfe im IE-Menu deaktivierst und dann ein gpupdate /force am TS startest er die neuen Einstellungen überhaupt übernimmt und was passiert wenn du das in der TS GPO änderst.
Eigentlich muss das mit den GPO´s funktionieren, es sei denn, Einstellungen sind an der falschen stelle gesetzt worden (user-settings auf eine OU mit Computern und ProComputer config nicht aktiviert), die GPO ist nicht verknüpft, sie wurde nicht aktiviert oder der User hat keine Rechte zum übernehmen der Richtlinie.
Ohne genau zu wissen wo du was in welchen OU´s abgelegt hast, welche GPO´s wo verknüpft sind und was in diesen verflixten GPO´s konfiguriert wurde kann man nur raten warum er das nicht übernimmt.
Versuch am besten noch einmal die GPO neu anzulegen, zu verknüpfen und zu erzwingen. Wenn das nicht funktioniert, konfiguriere die Lokale Sicherheitsrichtlinie auf dem TS und mach dort die nötigen Einstellungen.
Wenn das auch nicht funktioniert kannst du immernoch ein alternatives Userprofil verwenden in dem du die IE Settings voreinstellst (und den zugriff auf diese per GPO verhinderst) und es für alle User auf dem TS verwendest.
Aso, wo konfigurierst du diese Einstellungen überhaupt für welche Objekte unterhalb der OU?
Versuch mal Testweise ob wenn du zb. die Hilfe im IE-Menu deaktivierst und dann ein gpupdate /force am TS startest er die neuen Einstellungen überhaupt übernimmt und was passiert wenn du das in der TS GPO änderst.
Eigentlich muss das mit den GPO´s funktionieren, es sei denn, Einstellungen sind an der falschen stelle gesetzt worden (user-settings auf eine OU mit Computern und ProComputer config nicht aktiviert), die GPO ist nicht verknüpft, sie wurde nicht aktiviert oder der User hat keine Rechte zum übernehmen der Richtlinie.
Ohne genau zu wissen wo du was in welchen OU´s abgelegt hast, welche GPO´s wo verknüpft sind und was in diesen verflixten GPO´s konfiguriert wurde kann man nur raten warum er das nicht übernimmt.
