Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Computerrichtlinie abhängig vom Benutzer anwenden

Frage Microsoft Windows Server

Mitglied: Delaro

Delaro (Level 1) - Jetzt verbinden

12.10.2009 um 16:54 Uhr, 8151 Aufrufe, 10 Kommentare

Schön guten Tag an alle, hoffe mein erster Post behandelt nicht ein Thema was es schon gab. Hab vorher brav gesucht

Zum Problem:

Ich teste schon seit einigen Stunden mit einer Testdomäne herum, Clients XP und Server W2003. Nun habe ich dort mehrere Abteilung in meiner fiktiven Firma, und hab das entsprechend in dem AD abgebildet.

- Finance
- User
- PCs
- GL
- USer
- PCs
- Akquise
- User
- PCs

Ich habe die Domäne und die Gruppenrichtlinie soweit eingerichtet mit allem was ich für nötig halte, und es klappt auch alles, abgesehen von einem Problem.

Und zwar wollte ich aus fiktiven sicherheitsgründen die Kopien der servergespeicherten Profile entfernen lassen, allerdings nur die Profile der anderen Gruppen. D.h. wenn sich jemand aus der Gruppe GL an einem Rechner von Finance anmeldet soll das Profil nach der Anmeldung entfernt werden. Wenn aber sich jemand aus der selben Gruppe, also Finance sich an einem Rechner der Gruppe Finance anmeldet, soll es nicht gelöscht werden.
Das hat den Hintergrund, dass die Geschäftführung u.U. vertrauliche Daten in dem Profil liegen haben, die dann lokal auf einem Rechner liegen auf den sie nicht gehören. Würde ich die Richtlinie nun für alle aktivieren, würde unnötiger Traffic enstehen, da jeden morgen jeder sein gesamtes Profil kopieren würde.

So wie es aussieht ist mein Vorhaben im AD nicht machbar, da die Richtlinie welche die Profile bei Abmeldung löscht, eine Computerrichtlinie ist. Somit kann man nicht definieren, dass sie bei allen PCs einer OU, ABER nur bei bestimmten Benutzer/Benutzergruppen angewendet werden soll.
Ich hab das versucht zu lösen, in dem ich per Sicherheitsfilterung nur die Gruppen ausgewählt hab auf die die Richtlinie angewendet werden soll, und hab die "Authentifizierten Benutzer" rausgenommen. Dann greift die Richtlnie aber überhaupt nicht mehr, da der Computer an sich auch Mitglied der Authentifizierten Benutzer ist, ergo darf er sie nicht mehr lesen.
Und einen Ansatz bei einem ähnlichen Problem, nämlich mit Hilfe der Loopback-Verarbeitung klappt auch nicht, da die Richtlinie eine Computerrichtlinie ist.

Ein Zusatz noch die Richtlinie welche ich erstellt habe, habe ich mit die OU Finance verknüpft. In der Sicherheitsfilterung standen nur GL und Akquise.
GPRESULT auf dem Client gibt nur "verweigert (Ursache unbekannt)" aus..

Weiß jemand weiter??

Danke im vorraus..
Mitglied: tikayevent
12.10.2009 um 17:08 Uhr
Versuch doch einfach das ganze mit KiXtart nachzubauen.
Bitte warten ..
Mitglied: bastla
12.10.2009 um 17:19 Uhr
Hallo Delaro und willkommen im Forum!

Ich hab das versucht zu lösen, in dem ich per Sicherheitsfilterung nur die Gruppen ausgewählt hab auf die die Richtlinie angewendet werden soll, und hab die "Authentifizierten Benutzer" rausgenommen. Dann greift die Richtlnie aber überhaupt nicht mehr, da der Computer an sich auch Mitglied der Authentifizierten Benutzer ist, ergo darf er sie nicht mehr lesen.
Nur als Ansatz: Du kannst auch Computerkonten zu Gruppen zusammenfassen ...

Grüße
bastla
Bitte warten ..
Mitglied: manuel-r
12.10.2009 um 19:49 Uhr
Nur mal so für mich; evtl. hab ich was überlesen oder falsch verstanden: Reden wir von (Sicherheits-)Gruppen oder von OUs?
Bitte warten ..
Mitglied: jhinrichs
13.10.2009 um 07:56 Uhr
Hallo,
schau mal unter http://www.gruppenrichtlinien.de und dann dort unter "loopback"
Bitte warten ..
Mitglied: Logan000
13.10.2009 um 09:06 Uhr
Moin Moin

Wie jhinrichs schon schreibt. Um Computereinstellungen per GPO Benutzerdefiniert einzusetzen benutzt man den Loobackverarbeitungsmodus.
Und einen Ansatz bei einem ähnlichen Problem, nämlich mit Hilfe der Loopback-Verarbeitung klappt auch nicht, da die Richtlinie eine Computerrichtlinie ist.
Natürlich ist das eine Computerrichtlinie. Das klappt schon. Du läst diese GPO mit der Loobback Eintellung und deinen gesonderten Benutzereinstellungen auf eine Gruppe los in der sich nur die Computer und User befinden für die diese Einstellung greifen soll.

Plan B wäre das speichern im lokalen Profil zu unterbinden.
- Eigene Dateien Umleiten auf ein Serververz.
- Laufwerk C ausblenden
Dadurch werden die Profile auch nicht so groß.

Gruß L.
Bitte warten ..
Mitglied: Delaro
13.10.2009 um 15:30 Uhr
Also entweder übersehe ich was, oder das mit der Loopbackverarbeitung funktioniert auch nicht, da die LBV meinem Verständnis nach nur dazu führt, dass nicht nur der Benutzerteil der GPO aus der OU ausgeführt wird in der User sich befindet, sondern auch der Benutzerteil der GPO aus der OU in der der PC sich befindet auf den die LBV angewendet wird. Und an der Stelle liegt mein Problem, die Richtlinie \"Zwischengespeicherte Kopien von servergespeicherten Profilen löschen\" ist eine Computerrichtlinie, und wird nicht ausgeführt weil nur der Benutzerteil gelesen wird.
Und so steht es auch auf gruppenrichtlinien.de beschrieben:

Ab diesem Zeitpunkt ändert sich der Ablauf und die Übernahme:
1. Der Computer aus der OU \"Terminal Server\" liest den Anteil Computerkonfiguration der Richtlinie \"Loopbackverarbeitungsmodus aktiviert\"
2. Der Computer aus der OU \"Terminal Server\" liest den Anteil Computerkonfiguration der Richtlinie \"TerminalServer Einschränkungen\"
3. Der Benutzer aus der OU \"Meine Firma\" liest den Anteil Benutzerkonfiguration der Richtlinie \"Meine Std. Firmenvorgaben\"
4. Der Benutzer aus der OU \"Meine Firma\" liest den Anteil Benutzerkonfiguration der Richtlinie \"TerminalServer Einschränkungen\"
<<

Bezogen auf das Beispiel von Gruppenrichtlinien.de würde sich meine Richtlinie \"Zwischengespeicherte Kopien von servergespeicherten Profilen löschen\" nämlich in der Richtlinie \"TerminalServer Einschränkungen\" befinden, allerdings im Computerteil, welche ja nicht ausgeführt wird. Das trifft nur dann zu, wenn ich die Richtlinien auf Sicherheitsgruppen beschränke. Lasse ich die Authentifizierten Benutzer stehen, dann wird die Richtlinie auf den Computer angewendet, also auf alle Benutzer was ich ja nicht will.
Beim Terminalserver klappt das, da die Einschränkungen die dort gemacht werden, wie kein Herunterfahren Button, alle im Benutzerteil der GPO stehen.

Zumindest siehts sehr danach aus, da ich langsam alle Kombinationen ausprobiert hab.
Bitte warten ..
Mitglied: manuel-r
13.10.2009 um 15:55 Uhr
Ich glaub, so langsam blicke ich durch.
Unter w2k3 hast du wohl nur die Möglichkeit bspw. die Rechner der GL in eine eigene OU zu packen und dieser OU ein GPO zuzuweisen, bei dem "Zwischengespeicherte Profile löschen" aktiviert ist.
Alternativ kannst du die Übernahme des GPO auch filtern. Dazu klickst du im Gruppenrichtlinien-Editor im Navigationsbereich links mit der rechten Maustaste auf den obersten Punkt des Baums (Name des GPO) und wählst "Eigenschaften". In diesem Dialog dann auf die Registerkarte "Sicherheit". Dort setzt du dann für deine Gruppe GL die Option "Gruppenrichtlinie übernehmen" auf zulassen. Für alle anderen Gruppen auf verweigern.
Bitte warten ..
Mitglied: Delaro
13.10.2009 um 16:36 Uhr
Danke für den Tipp.
Auch das hab ich schon ausprobiert, nur über die GPMC in der Sicherheitsfilterung.
Dann wird aber der Computerteil meines GPO nicht ausgeführt, und die Profile werden nicht gelöscht.
Bitte warten ..
Mitglied: manuel-r
13.10.2009 um 16:46 Uhr
*kopfkratz*
Ich fasse nochmal zusammen. Du hast verschiedene globale Gruppen. Bei einigen dieser Gruppen möchtest du per GPO erreichen, dass die lokal zwischengespeicherten Profile gelöscht werden, bei den anderen dürfen sie bleiben. Richtig soweit?
Es sollte dann eigentlich damit funktionieren, dass du den Gruppen bei denen gelöscht werden soll "anwenden erlaubst" und bei den anderen "anwenden verweigerst". Das gilt natürlich für ALLES was in diesem GPO eingestellt ist. Deshalb solltest du in dieses GPO auch nur diese eine Einstellung einbauen. Alle anderen Vorgaben definierst du in einem oder mehreren anderen GPOs. Außerdem musst du bei den Sicherheitseinstellung auch beachten, ob es evtl. zu Konflikten bzw. Verwirrung kommen kann, weil ein User in einer Gruppe Mitglied ist, die "erlauben" hat und in einer, die "verweigern" hat. Dann geht verweigern vor. Von Haus aus ist bspw. "authentifizierte Benutzer" erlaubt und da ist nun mal jeder authentifizierte Benutzer Mitglied.
Ich müsste mich schwer irren, wenn das so nicht hin hauen würde.

PS:
Wenn du es Quick&Dirty haben willst entziehst du den Gruppen, die das GPO nicht anwenden sollen die Leserechte auf dem Ordner des GPO unterhalb von <server>\sysvol\<domäne>\policies Ich würde das aber nicht unbedingt machen wollen, wenn ich nicht muss.
Bitte warten ..
Mitglied: Logan000
15.10.2009 um 09:22 Uhr
Moin Moin

Delaro hat recht. Das klappt so nicht. Was mich doch sehr ärgert, da ich gegenteiliges behautet habe.
Mit dem LBV kann man für einen Benutzer unterschiedliche Benutzereinstellungen pro Computer realisieren. Das ist natürlich zuerstmal für TS gedacht.
Delaro Problem ist aber, das er eine Computereinstellung abhängig vom Benutzer setzen möchte. Daher scheidet der LBV als lösungsansatz aus.
Auch Einschränkungen bzw. Verweigern der Übernahme von GPOs bringen hier nicht die Lösung.

Daher bleiben aus meiner sicht nur 2 Möglichgkeiten:
- Per Skript bei Abmeldung das Profil löschen. Die kann man dann auch per GPO für einzelne Benutzerlaufen lassen.
- Das speichern im Profil unterbinden (siehe mein Post vom 13.)

Viel Erfolg

Gruß L
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Server
Windows Server 2012 R2 Benutzerkonto für Zugriff auf AD Benutzer (1)

Frage von JulianOhm zum Thema Windows Server ...

Windows Tools
Automatischer FTP-Upload ohne angemeldeten Benutzer (5)

Frage von SarekHL zum Thema Windows Tools ...

Server
gelöst Auf Server aufschalten abhängig von Kundenabfrage (7)

Frage von Todybear zum Thema Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...