Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Microsoft Windows 7

GPO Computerrichtlinie soll NICHT für lokale Benutzer gelten

Mitglied: ribrob

ribrob (Level 1) - Jetzt verbinden

27.11.2013, aktualisiert 15:48 Uhr, 3662 Aufrufe, 5 Kommentare

Hallo,

folgendes Problem habe ich:

- wir haben eine GPO Computer, in der der "Pfad des servergespeicherten Profils für alle Benutzer" festgelegt wird (Comp. > Admin. Vorlagen > System > Benutzerprofile)
- der Pfad liegt logischerweise im Netzwerk
- ich möchte mich mit einem lokal angelegten Nutzer anmelden, doch dies scheitert aufgrund der GPO

Nun habe ich der GPO im Sicherheitsfilter die Gruppen Domänencomputer UND Domänenbenutzer hinzugefügt, sodass die GPO nur für diese Personen gilt. Doch leider greift die GPO weiterhin für den lokalen Nutzer.
Somit kann sich der lokale Nutzer nicht anmelden, da er den Pfad im Netzwerk ja nicht finden kann, er ihn aber auch nicht verwenden soll (Außer wenn ich "Benutzer mit temporären Profilen nicht anmelden" deaktiviere. Aber dann meldet er sich eben nur mit teporären Profil, und nicht mit dem lokalen Default-Profil an)... Bei der versuchten Anmeldung erscheint "benutzerprofildienst kann nicht geladen werden" und ich gelange wieder zum Anmeldebildschirm.

Habe ich es halbwegs verständlich erklärt?

VG robbery
Mitglied: Onitnarat
28.11.2013 um 10:25 Uhr
Hallo robbery,
ja, verständlich erklärt und auch schon selbst beantwortet

Wenn Du die Einstellung im Bereich Computerkonfiguration setzt und dann die Gruppe der Domänencomputer im Sicherheitsfilter einträgst, dann greift diese Einstellung natürlich auch auf ALLEN DomänenCOMPUTERN, egal wer sich dort anmeldet!

Warum definiert Ihr den Pfad der servergespeicherten Profile nicht in jedem einzelnen Domänenbenutzerkonto?

Gruß
Marcus
Bitte warten ..
Mitglied: ribrob
28.11.2013, aktualisiert um 10:41 Uhr
OK, deine Verdeutlichung klingt natürlich logisch Insofern greift die GPO dann eben auch auf lokale Benutzerkonten...

Und zu deiner Frage:
Auf diese Frage habe ich ehrlich gesagt schon gewartet So ist ja auch der eigentliche Weg. Doch bei uns ist es so gewachsen, da wir unsere Profile noch nie über die Windowsdomäne verwaltet haben und somit nun bei der Umstellung auf Windows7 diesen Weg gewählt haben.

Fällt dir womöglich trotzdem eine Möglichkeit ein, wie ich die GPO nur für Domänenbenutzer eingrenze und es eben nicht für lokale Benutzer greift?
Laut meiner Logik müsste die Abgrenzung ja durch das Hinzufügen der Gruppe Domänenbenutzer im Sicherheitsfilter erreicht werden, aber tut es leider nicht...
Bitte warten ..
Mitglied: Onitnarat
28.11.2013 um 10:58 Uhr
Nein, deine Logik hat einen Fehler:

Computereinstellungen greifen immer nur auf COMPUTERN!
Benutzereinstellungen greifen immer nur für BENUTZER!

Beispiel:
Du aktivierst unter "BENUTZERkonfiguration/Administrative Vorlagen/System/Gruppenrichtlinien" die Richtlinie "Group Policy slow link detection", fügst aber bei der Sicherheitsfilterung nur die DomänenCOMPUTER hinzu, wird die Richtlinie nicht und nirgends greifen!

Genau so verhält es sich wenn Du unter "COMPUTERkonfiguration/Administrative Vorlagen/System/Gruppenrichtlinien" die gleiche Richtlinie aktivierst, aber in der Sicherheitsfilterung nur die DomänenBENUTZER stehen hast.

Darum stehen ja in einer neuerstellten Policy auch die authentifizierten Benutzer drin, das sind sowohl BENUTZER- wie auch COMPUTERkonten.

Ergo:
BENUTZEReinstellungen betreffen BENUTZERkonten, egal auf welchem COMPUTER sie sich anmelden.
COMPUTEReinstellungen betreffen COMPUTERkonten, egal WER sich dort anmeldet.

Ausnahmen gibt es hier natürlich auch, aber generell stimmt die obige Aussage!

Lies Dich mal hier ein, vielleicht bringt Dich das weiter: http://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loo ...

Gruß
Marcus
Bitte warten ..
Mitglied: ribrob
28.11.2013, aktualisiert um 15:20 Uhr
Der Link frischt das Wissen zu GPOs auf jeden Fall auf - dankeschön!

Ich habe in der GPO, in welcher nur Comp.-konfigurationen gesetzt sind, noch den Loopbackverarbeitungsmodus aktiviert. Und auth. Benutzer als Sicherheitsfilter.
Doch die Gpo greift trotzdem nicht für lokale Nutzer -.-

Aber genau das soll er eben nicht, sondern nur für Domänenbenutzer greifen... Wenn ich also recht darüber nachdenke, trifft Loopback für meinen Fall leider nicht zu. Oder habe ich ein Verständnisproblem?!? Denn die GPO mit aktivierter Loopback greift zwar für Domänenbenutzer, was ohne Loopback ja gar nicht greift (also Sicherheitsfilter nur Dom.-benutzer und nichts anderes), aber greift eben immer noch für lokale Benutzer (was aber nun mal nicht sein soll)

Es muss doch eine Einstellungsmöglichkeit geben, womit die Computer-GPO nicht für lokale Nutzer greift?!?!
Bitte warten ..
Mitglied: Onitnarat
29.11.2013 um 10:54 Uhr
Es muss doch eine Einstellungsmöglichkeit geben, womit die Computer-GPO nicht für lokale Nutzer greift?!?!

Das gibt es eben nicht...die Computersettings haben nichts mit dem angemeldeten bzw. anmeldenden Benutzer zu tun...klassische Sackgasse würde ich sagen.
Bitte warten ..
Ähnliche Inhalte
Windows Server
Lokaler Benutzer über GPO verteilen
Frage von staybbWindows Server4 Kommentare

Hallo, ich möchte auf einem Server 2012 mit AD DS Dienst und GPO-Richtlinien, eine neue GPO erstellen, welche einen ...

Windows Userverwaltung
Computerrichtlinien auf Benutzer anwenden
Frage von heinz2017Windows Userverwaltung2 Kommentare

Hallo, Benutzerkonfigurationen werden ausschließlich auf Benutzer innerhalb einer OU angewendet und Computerkonfigurationen nur auf Computer innerhalb einer OU? Somit ...

Windows Server
2008 R2: Computerrichtlinien einem Benutzer zuweisen
gelöst Frage von HummermanWindows Server23 Kommentare

Hallo, ich habe aktuell ein Problem mit den Gruppenrichtlinien unter Windows Server 2008 R2. Ich habe den Anwendungsfall, dass ...

Windows Server
RDP Remotedrucker per GPO (Computerrichtlinie) für bestimmte Computer Benutzer ?
Frage von scout71Windows Server1 Kommentar

Hallo Forum, auf unserem Terminalserver habe ich in der Terminalserver Konfiguration die Windowsdrucker (Umleitung) aktiviert (Haken bei Deaktiviert entfernt) ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 1 TagLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 2 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 2 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 2 TagenSicherheit10 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Batch & Shell
Meltdown Microsoft Prüf Script - .zip Datei leider leer
gelöst Frage von MasterBlaster88Batch & Shell13 Kommentare

Hallo zusammen, ich patche gerade unsere Windows Server bzgl. der Meltdown Lücke. Patch vorhanden, Reg Keys gesetzt Um das ...

Batch & Shell
Shell-Skript - Syntax error: Unterminated quoted string
Frage von newit1Batch & Shell13 Kommentare

Hallo Ich schreibe ein Skript das eine CSV-Datei in eine mySQL Datenbank schieben soll. Bekomme nach start des Skrips ...

E-Mail
Erfahrungen mit hMailServer gesucht
Frage von it-fraggleE-Mail10 Kommentare

Hallo, meine neue Stelle möchte einen eigenen Mailserver. Ich als Linuxkind war direkt geistig mit Postfix dabei. Leider wollen ...

Entwicklung
VBS: alle PDF-Dateien in einem Ordner gleichzeitig öffnen
gelöst Frage von JuweeeEntwicklung9 Kommentare

Hallo, ich habe in deiner Ordnerstruktur (.\Tagesberichte\xx.18\) mehrere dynamische PDF-Formulare (mit LCD erstellt). Die Berichtsformulare sind im Layout alle ...