Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Computerrichtlinie abhängig vom Benutzer anwenden

Frage Microsoft Windows Server

Mitglied: Delaro

Delaro (Level 1) - Jetzt verbinden

12.10.2009 um 16:54 Uhr, 8532 Aufrufe, 10 Kommentare

Schön guten Tag an alle, hoffe mein erster Post behandelt nicht ein Thema was es schon gab. Hab vorher brav gesucht

Zum Problem:

Ich teste schon seit einigen Stunden mit einer Testdomäne herum, Clients XP und Server W2003. Nun habe ich dort mehrere Abteilung in meiner fiktiven Firma, und hab das entsprechend in dem AD abgebildet.

- Finance
- User
- PCs
- GL
- USer
- PCs
- Akquise
- User
- PCs

Ich habe die Domäne und die Gruppenrichtlinie soweit eingerichtet mit allem was ich für nötig halte, und es klappt auch alles, abgesehen von einem Problem.

Und zwar wollte ich aus fiktiven sicherheitsgründen die Kopien der servergespeicherten Profile entfernen lassen, allerdings nur die Profile der anderen Gruppen. D.h. wenn sich jemand aus der Gruppe GL an einem Rechner von Finance anmeldet soll das Profil nach der Anmeldung entfernt werden. Wenn aber sich jemand aus der selben Gruppe, also Finance sich an einem Rechner der Gruppe Finance anmeldet, soll es nicht gelöscht werden.
Das hat den Hintergrund, dass die Geschäftführung u.U. vertrauliche Daten in dem Profil liegen haben, die dann lokal auf einem Rechner liegen auf den sie nicht gehören. Würde ich die Richtlinie nun für alle aktivieren, würde unnötiger Traffic enstehen, da jeden morgen jeder sein gesamtes Profil kopieren würde.

So wie es aussieht ist mein Vorhaben im AD nicht machbar, da die Richtlinie welche die Profile bei Abmeldung löscht, eine Computerrichtlinie ist. Somit kann man nicht definieren, dass sie bei allen PCs einer OU, ABER nur bei bestimmten Benutzer/Benutzergruppen angewendet werden soll.
Ich hab das versucht zu lösen, in dem ich per Sicherheitsfilterung nur die Gruppen ausgewählt hab auf die die Richtlinie angewendet werden soll, und hab die "Authentifizierten Benutzer" rausgenommen. Dann greift die Richtlnie aber überhaupt nicht mehr, da der Computer an sich auch Mitglied der Authentifizierten Benutzer ist, ergo darf er sie nicht mehr lesen.
Und einen Ansatz bei einem ähnlichen Problem, nämlich mit Hilfe der Loopback-Verarbeitung klappt auch nicht, da die Richtlinie eine Computerrichtlinie ist.

Ein Zusatz noch die Richtlinie welche ich erstellt habe, habe ich mit die OU Finance verknüpft. In der Sicherheitsfilterung standen nur GL und Akquise.
GPRESULT auf dem Client gibt nur "verweigert (Ursache unbekannt)" aus..

Weiß jemand weiter??

Danke im vorraus..
Mitglied: tikayevent
12.10.2009 um 17:08 Uhr
Versuch doch einfach das ganze mit KiXtart nachzubauen.
Bitte warten ..
Mitglied: bastla
12.10.2009 um 17:19 Uhr
Hallo Delaro und willkommen im Forum!

Ich hab das versucht zu lösen, in dem ich per Sicherheitsfilterung nur die Gruppen ausgewählt hab auf die die Richtlinie angewendet werden soll, und hab die "Authentifizierten Benutzer" rausgenommen. Dann greift die Richtlnie aber überhaupt nicht mehr, da der Computer an sich auch Mitglied der Authentifizierten Benutzer ist, ergo darf er sie nicht mehr lesen.
Nur als Ansatz: Du kannst auch Computerkonten zu Gruppen zusammenfassen ...

Grüße
bastla
Bitte warten ..
Mitglied: manuel-r
12.10.2009 um 19:49 Uhr
Nur mal so für mich; evtl. hab ich was überlesen oder falsch verstanden: Reden wir von (Sicherheits-)Gruppen oder von OUs?
Bitte warten ..
Mitglied: jhinrichs
13.10.2009 um 07:56 Uhr
Hallo,
schau mal unter http://www.gruppenrichtlinien.de und dann dort unter "loopback"
Bitte warten ..
Mitglied: Logan000
13.10.2009 um 09:06 Uhr
Moin Moin

Wie jhinrichs schon schreibt. Um Computereinstellungen per GPO Benutzerdefiniert einzusetzen benutzt man den Loobackverarbeitungsmodus.
Und einen Ansatz bei einem ähnlichen Problem, nämlich mit Hilfe der Loopback-Verarbeitung klappt auch nicht, da die Richtlinie eine Computerrichtlinie ist.
Natürlich ist das eine Computerrichtlinie. Das klappt schon. Du läst diese GPO mit der Loobback Eintellung und deinen gesonderten Benutzereinstellungen auf eine Gruppe los in der sich nur die Computer und User befinden für die diese Einstellung greifen soll.

Plan B wäre das speichern im lokalen Profil zu unterbinden.
- Eigene Dateien Umleiten auf ein Serververz.
- Laufwerk C ausblenden
Dadurch werden die Profile auch nicht so groß.

Gruß L.
Bitte warten ..
Mitglied: Delaro
13.10.2009 um 15:30 Uhr
Also entweder übersehe ich was, oder das mit der Loopbackverarbeitung funktioniert auch nicht, da die LBV meinem Verständnis nach nur dazu führt, dass nicht nur der Benutzerteil der GPO aus der OU ausgeführt wird in der User sich befindet, sondern auch der Benutzerteil der GPO aus der OU in der der PC sich befindet auf den die LBV angewendet wird. Und an der Stelle liegt mein Problem, die Richtlinie \"Zwischengespeicherte Kopien von servergespeicherten Profilen löschen\" ist eine Computerrichtlinie, und wird nicht ausgeführt weil nur der Benutzerteil gelesen wird.
Und so steht es auch auf gruppenrichtlinien.de beschrieben:

Ab diesem Zeitpunkt ändert sich der Ablauf und die Übernahme:
1. Der Computer aus der OU \"Terminal Server\" liest den Anteil Computerkonfiguration der Richtlinie \"Loopbackverarbeitungsmodus aktiviert\"
2. Der Computer aus der OU \"Terminal Server\" liest den Anteil Computerkonfiguration der Richtlinie \"TerminalServer Einschränkungen\"
3. Der Benutzer aus der OU \"Meine Firma\" liest den Anteil Benutzerkonfiguration der Richtlinie \"Meine Std. Firmenvorgaben\"
4. Der Benutzer aus der OU \"Meine Firma\" liest den Anteil Benutzerkonfiguration der Richtlinie \"TerminalServer Einschränkungen\"
<<

Bezogen auf das Beispiel von Gruppenrichtlinien.de würde sich meine Richtlinie \"Zwischengespeicherte Kopien von servergespeicherten Profilen löschen\" nämlich in der Richtlinie \"TerminalServer Einschränkungen\" befinden, allerdings im Computerteil, welche ja nicht ausgeführt wird. Das trifft nur dann zu, wenn ich die Richtlinien auf Sicherheitsgruppen beschränke. Lasse ich die Authentifizierten Benutzer stehen, dann wird die Richtlinie auf den Computer angewendet, also auf alle Benutzer was ich ja nicht will.
Beim Terminalserver klappt das, da die Einschränkungen die dort gemacht werden, wie kein Herunterfahren Button, alle im Benutzerteil der GPO stehen.

Zumindest siehts sehr danach aus, da ich langsam alle Kombinationen ausprobiert hab.
Bitte warten ..
Mitglied: manuel-r
13.10.2009 um 15:55 Uhr
Ich glaub, so langsam blicke ich durch.
Unter w2k3 hast du wohl nur die Möglichkeit bspw. die Rechner der GL in eine eigene OU zu packen und dieser OU ein GPO zuzuweisen, bei dem "Zwischengespeicherte Profile löschen" aktiviert ist.
Alternativ kannst du die Übernahme des GPO auch filtern. Dazu klickst du im Gruppenrichtlinien-Editor im Navigationsbereich links mit der rechten Maustaste auf den obersten Punkt des Baums (Name des GPO) und wählst "Eigenschaften". In diesem Dialog dann auf die Registerkarte "Sicherheit". Dort setzt du dann für deine Gruppe GL die Option "Gruppenrichtlinie übernehmen" auf zulassen. Für alle anderen Gruppen auf verweigern.
Bitte warten ..
Mitglied: Delaro
13.10.2009 um 16:36 Uhr
Danke für den Tipp.
Auch das hab ich schon ausprobiert, nur über die GPMC in der Sicherheitsfilterung.
Dann wird aber der Computerteil meines GPO nicht ausgeführt, und die Profile werden nicht gelöscht.
Bitte warten ..
Mitglied: manuel-r
13.10.2009 um 16:46 Uhr
*kopfkratz*
Ich fasse nochmal zusammen. Du hast verschiedene globale Gruppen. Bei einigen dieser Gruppen möchtest du per GPO erreichen, dass die lokal zwischengespeicherten Profile gelöscht werden, bei den anderen dürfen sie bleiben. Richtig soweit?
Es sollte dann eigentlich damit funktionieren, dass du den Gruppen bei denen gelöscht werden soll "anwenden erlaubst" und bei den anderen "anwenden verweigerst". Das gilt natürlich für ALLES was in diesem GPO eingestellt ist. Deshalb solltest du in dieses GPO auch nur diese eine Einstellung einbauen. Alle anderen Vorgaben definierst du in einem oder mehreren anderen GPOs. Außerdem musst du bei den Sicherheitseinstellung auch beachten, ob es evtl. zu Konflikten bzw. Verwirrung kommen kann, weil ein User in einer Gruppe Mitglied ist, die "erlauben" hat und in einer, die "verweigern" hat. Dann geht verweigern vor. Von Haus aus ist bspw. "authentifizierte Benutzer" erlaubt und da ist nun mal jeder authentifizierte Benutzer Mitglied.
Ich müsste mich schwer irren, wenn das so nicht hin hauen würde.

PS:
Wenn du es Quick&Dirty haben willst entziehst du den Gruppen, die das GPO nicht anwenden sollen die Leserechte auf dem Ordner des GPO unterhalb von <server>\sysvol\<domäne>\policies Ich würde das aber nicht unbedingt machen wollen, wenn ich nicht muss.
Bitte warten ..
Mitglied: Logan000
15.10.2009 um 09:22 Uhr
Moin Moin

Delaro hat recht. Das klappt so nicht. Was mich doch sehr ärgert, da ich gegenteiliges behautet habe.
Mit dem LBV kann man für einen Benutzer unterschiedliche Benutzereinstellungen pro Computer realisieren. Das ist natürlich zuerstmal für TS gedacht.
Delaro Problem ist aber, das er eine Computereinstellung abhängig vom Benutzer setzen möchte. Daher scheidet der LBV als lösungsansatz aus.
Auch Einschränkungen bzw. Verweigern der Übernahme von GPOs bringen hier nicht die Lösung.

Daher bleiben aus meiner sicht nur 2 Möglichgkeiten:
- Per Skript bei Abmeldung das Profil löschen. Die kann man dann auch per GPO für einzelne Benutzerlaufen lassen.
- Das speichern im Profil unterbinden (siehe mein Post vom 13.)

Viel Erfolg

Gruß L
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung
Computerrichtlinien auf Benutzer anwenden (2)

Frage von heinz2017 zum Thema Windows Userverwaltung ...

Windows Server
Startskript Computerrichtlinie wird nicht ausgeführt (4)

Frage von admtom zum Thema Windows Server ...

Entwicklung
gelöst Mockup - Tool für Anwender (2)

Frage von ernown zum Thema Entwicklung ...

Installation
Verknüpfung erstellen bei Anwendern (4)

Frage von jan999 zum Thema Installation ...

Neue Wissensbeiträge
Windows Update

Novemberpatches und Nadeldrucker bereiten Kopfschmerzen

(14)

Tipp von MettGurke zum Thema Windows Update ...

Windows 10

Abhilfe für Abstürze von CDPUsersvc auf Win10 1607 und 2016 1607

(7)

Tipp von DerWoWusste zum Thema Windows 10 ...

RedHat, CentOS, Fedora

Fedora 27 ist verfügbar

Information von Frank zum Thema RedHat, CentOS, Fedora ...

Heiß diskutierte Inhalte
Linux Desktop
Bildschirmauflösung unter Linux festlegen (12)

Frage von itebob zum Thema Linux Desktop ...

Windows Userverwaltung
gelöst Administrator hat alle Rechte verloren (10)

Frage von mrdead zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
Gebäude mit WLAN ausstatten (9)

Frage von udobec zum Thema LAN, WAN, Wireless ...

Windows Server
Kennwort vergessen bei Hyper vserver 2012r (9)

Frage von jensgebken zum Thema Windows Server ...