Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Frage zu Gruppenrichtlinien und Loopback?

Frage Microsoft Windows Server

Mitglied: AlbertMinrich

AlbertMinrich (Level 2) - Jetzt verbinden

01.11.2010, aktualisiert 18.10.2012, 5672 Aufrufe, 10 Kommentare

Hallo,

wenn in irgendeiner für einen Computer gültigen GPO der Loopbackmodus aktiviert ist, ziehen sich die User bei Anmeldung an diesem Computer die Einstellungen aus dem Bereich Benutzerkonfiguration aus allen für den Computer gültigen GPO´s (im Zusammenführenmodus natürlich auch noch aus den für den User gültigen GPO´s). Stimmt doch, oder? Ist es auch möglich, das auf die GPO zu beschränken, in der der Loopbackmodus aktiviert ist?

Beispiel
PC1 ist in der OU Buchhaltung (in der OU sind keine Benutzer)
An der OU Buchhaltung hängen die GPO´s GPO1 und GPO2.
In beiden GPO´s sind Computer- und Benutzereinstellungen konfiguriert.
Nur in GPO1 ist der Loopbackmodus aktiviert.
Jetzt sollen nur die Benutzereinstellungen aus GPO1 für PC1 greifen, nicht die aus GPO2.
Ist das möglich?

Danke
Martin
Mitglied: CaptainChaos
01.11.2010 um 13:10 Uhr
Als erstes würde ich die Computer- und Benutzereinstellungen trennen (macht das ganze einfacher und übersichtlicher). Dann kannst du die Gruppe "Authentifizierte Benutzer" von der Sicherheitsfilterung entfernen und die gewünschte Objekte für die, die Richtlinien greifen sollen hinzufügen.
Bitte warten ..
Mitglied: Logan000
01.11.2010 um 14:11 Uhr
Moin Moin

Jetzt sollen nur die Benutzereinstellungen aus GPO1 für PC1 greifen, nicht die aus GPO2.
Ist das möglich?
Nein, so nicht.
Beim Loopback werden die Einstellungen in GPO2 nur bei PC1 durch GPO1 überschrieben bzw. zusammengeführt (je nach Konfigurationseinstellung)!

PC1 ist in der OU Buchhaltung (in der OU sind keine Benutzer)
Wenn sich keine Benutzerkonten "unterhalb" der GPO befinden werden auch keine Benutzereinstellungen übernommen (unabhängig vom Lookpback).

Dem Rat von CaptainChaos (cooler Nick übrigens) Computer- und Benutzereinstellungen (möglichst) zu trennen möchte ich mich hiermit anschliessen.

Gruß L.
Bitte warten ..
Mitglied: AlbertMinrich
01.11.2010 um 14:19 Uhr
Zitat von CaptainChaos:
Als erstes würde ich die Computer- und Benutzereinstellungen trennen (macht das ganze einfacher und übersichtlicher).
Dann kannst du die Gruppe "Authentifizierte Benutzer" von der Sicherheitsfilterung entfernen und die gewünschte
Objekte für die, die Richtlinien greifen sollen hinzufügen.

Danke. Ich halte es auch für sinnvoll, Benutzer- und Computerfonfiguration zu trennen. Aber das war ja nicht die Frage.
Die lautete: Ist es möglich, den Loopbackmodus auf die GPO zu beschränken, in der er aktiviert wurde?

Gruß
Martin
Bitte warten ..
Mitglied: AlbertMinrich
01.11.2010 um 14:23 Uhr
Zitat von Logan000:
> PC1 ist in der OU Buchhaltung (in der OU sind keine Benutzer)
Wenn sich keine Benutzerkonten "unterhalb" der GPO befinden werden auch keine Benutzereinstellungen übernommen
(unabhängig vom Lookpback).

Also entweder bin ich jetzt total verwirrt oder du hast grade einen Denkfehler
Genau dafür ist der Loopbackmodus doch da. Dass Benutzerkonfigurationen aus einer GPO übernommen werden, die eigentlich nur für Computer greift.
Bitte warten ..
Mitglied: Logan000
01.11.2010, aktualisiert 18.10.2012
Moin

Zitat von AlbertMinrich:
Zitat von Logan000:
PC1 ist in der OU Buchhaltung (in der OU sind keine Benutzer)
Wenn sich keine Benutzerkonten "unterhalb" der GPO befinden werden auch keine Benutzereinstellungen übernommen
(unabhängig vom Lookpback).

Also entweder bin ich jetzt total verwirrt oder du hast grade einen Denkfehler
Genau dafür ist der Loopbackmodus doch da. Dass Benutzerkonfigurationen aus einer GPO übernommen werden, die eigentlich
nur für Computer greift.
Sorry. Du hast Recht: der Denkfehler liegt bei mir

Aber jetzt verstehe ich Dein Problem nicht mehr, denn die Benutzereinstellungen aus GPO2 werden für Benutzer auf PC1 niemals angewendet (es sei
denn die GPO ist noch mit anderen OUs, die auch Benutzer enthalten verknüpft).

Zu http://www.administrator.de/forum/mit-wmi-die-dom%c3%a4nen-gruppen-ausl ...
Lass uns das Thema hier fortsetzen. Das Antworten über 2 Beiträge verwirrt mich endgültig.

Gruß L.
Bitte warten ..
Mitglied: AlbertMinrich
01.11.2010 um 15:51 Uhr
Zitat von Logan000:
Moin

> Zitat von AlbertMinrich:
> ----
>> Zitat von Logan000:
>>> PC1 ist in der OU Buchhaltung (in der OU sind keine Benutzer)
>> Wenn sich keine Benutzerkonten "unterhalb" der GPO befinden werden auch keine Benutzereinstellungen
übernommen
>> (unabhängig vom Lookpback).
>
> Also entweder bin ich jetzt total verwirrt oder du hast grade einen Denkfehler
> Genau dafür ist der Loopbackmodus doch da. Dass Benutzerkonfigurationen aus einer GPO übernommen werden, die
eigentlich
> nur für Computer greift.
Sorry. Du hast Recht: der Denkfehler liegt bei mir

Aber jetzt verstehe ich Dein Problem nicht mehr, denn die Benutzereinstellungen aus GPO2 werden für Benutzer auf PC1 niemals
angewendet

Das dachte ich ja ursprünglich auch mal, aber wenn man sich die Anleitung von gruppenrichtlinien.de (http://www.gruppenrichtlinien.de/index.html?/Grundlagen/Loopback_Verarb ...) mal anschaut:

"Jetzt aktiviert man den Loopbackverarbeitungsmodus auf einer beliebigen Richtlinie, die auf den Computer wirkt.
Sie kann als eigene Richtlinie integriert werden und gilt dann für alle Richtlinien, die das Computerobjekt übernimmt"

Beachte "...auf einer beliebigen Richtlinie..." und "...gilt dann für alle Richtlinien, die das Computerobjekt übernimmt".
Also werden auch die Benutzerkonfigurationen aus GPO2 übernommen. Ist auch so, hab ich ausprobiert. Und genau das würde ich gerne verhindern.

Gruß
Martin
Bitte warten ..
Mitglied: Logan000
02.11.2010 um 08:06 Uhr
Moin Moin

Zitat von AlbertMinrich:
Beachte "...auf einer beliebigen Richtlinie..." und "...gilt dann für alle Richtlinien, die das Computerobjekt übernimmt".
Also werden auch die Benutzerkonfigurationen aus GPO2 übernommen. Ist auch so, hab ich ausprobiert. Und genau das würde ich gerne verhindern.
Stimmt, aber auch nur wegen dem Loopback. Die Benutzereinstellungen dürften auf keinen anderen PC übernommen werden.

Also könntest du z.b. die GPO mit einer anderen OU verknüpfen in der deine Benutzer sind.
Oder du wendest die GPOs nur auf bestimmte Gruppen von Computern bzw. Benutzern an.
z.B. GPO1 nur auf PC1 (oder halt eine Gruppe die nur PC1 enthält) und GPO2 auf eine Gruppe AllUsers oder so in der alle Benutzer sind.

Gruß L.
Bitte warten ..
Mitglied: AlbertMinrich
02.11.2010 um 09:31 Uhr
Zitat von Logan000:
Moin Moin

> Zitat von AlbertMinrich:
> ----
> Beachte "...auf einer beliebigen Richtlinie..." und "...gilt dann für alle Richtlinien, die das
Computerobjekt übernimmt".
> Also werden auch die Benutzerkonfigurationen aus GPO2 übernommen. Ist auch so, hab ich ausprobiert. Und genau das
würde ich gerne verhindern.
Stimmt, aber auch nur wegen dem Loopback. Die Benutzereinstellungen dürften auf keinen anderen PC übernommen werden.

Also könntest du z.b. die GPO mit einer anderen OU verknüpfen in der deine Benutzer sind.
Oder du wendest die GPOs nur auf bestimmte Gruppen von Computern bzw. Benutzern an.
z.B. GPO1 nur auf PC1 (oder halt eine Gruppe die nur PC1 enthält) und GPO2 auf eine Gruppe AllUsers oder so in der alle
Benutzer sind.

Ich glaub, jetzt reden wir aneinander vorbei. Mir geht´s um folgendes. Ich hab z.B. diese OU-Struktur
-OU1
---OU2
-----OU3
-------OU4

In der OU4 ist PC1. In keiner der OU´s sind User enthalten (ist jetzt ein blödes Beispiel, aber nur mal, damit es klar wird)
An der OU1, OU2 und OU3 hängen GPO´s, die (auch) Benutzerkonfigurationen beinhalten. Loopbackmodus ist bisher nicht aktiviert. Wenn sich jetzt ein Benutzer an PC1 anmeldet, werden die ganzen Benutzerkonfigurationen nicht abgearbeitet, einfach weil kein User davon betroffen ist.
Jetzt erstelle ich eine neue GPO, hänge sie an OU4, aktiviere in dieser neuen GPO den Loopbackmodus, konfiguriere einige Benutzereinstellungen und hätte gerne, dass nur die Benutzereinstellungen aus dieser neuen GPO bei Anmeldung an PC1 greifen.
Dem ist aber nicht so, es greifen auch alle Benutzerkonfigurationen aus den GPO´s, die an OU1, OU2 und OU3 hängen.

Und die Frage wäre halt, ob man das verhindern kann.

Gruß
Martin
Bitte warten ..
Mitglied: Logan000
02.11.2010 um 09:45 Uhr
Moin

Möglichkeit 1: Andere OU Stuktur
z.B. So
- OU1
--- OU2
OU3
- OU4

Möglichkeit 2:
OU Stuktur bleibt wie sie ist, aber bei OU 4 die Vererbung deaktivieren.

Gruß L.
Bitte warten ..
Mitglied: AlbertMinrich
02.11.2010 um 10:33 Uhr
Zitat von Logan000:
Moin

Möglichkeit 1: Andere OU Stuktur
z.B. So
- OU1
--- OU2
OU3
- OU4

Möglichkeit 2:
OU Stuktur bleibt wie sie ist, aber bei OU 4 die Vererbung deaktivieren.

Ja, OK. Das ist klar. Das heisst, die Antwort auf meine Frage ist nein, es geht nicht.
Dann markiere ich den Beitrag mal als gelöst.

Danke für deine Unterstützung
Gruß
Martin
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Server
gelöst Gruppenrichtlinien-Vorlage Office 2013 auf einem DC 2003 (5)

Frage von bluepython zum Thema Windows Server ...

LAN, WAN, Wireless
gelöst HP Switches - Frage zu Spanning Tree bzw. Loop Back Protection (12)

Frage von chfran zum Thema LAN, WAN, Wireless ...

Hyper-V
Grundsatz Frage Anbindung Hyper V Hosts ans Netzwerk (7)

Frage von Eifeladmin zum Thema Hyper-V ...

Windows Netzwerk
gelöst Frage zu den Netzwerkfreigaben mit Bild (8)

Frage von M.Marz zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (29)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...