Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

GPO Computerrichtlinie soll NICHT für lokale Benutzer gelten

Frage Microsoft Windows 7

Mitglied: ribrob

ribrob (Level 1) - Jetzt verbinden

27.11.2013, aktualisiert 15:48 Uhr, 3271 Aufrufe, 5 Kommentare

Hallo,

folgendes Problem habe ich:

- wir haben eine GPO Computer, in der der "Pfad des servergespeicherten Profils für alle Benutzer" festgelegt wird (Comp. > Admin. Vorlagen > System > Benutzerprofile)
- der Pfad liegt logischerweise im Netzwerk
- ich möchte mich mit einem lokal angelegten Nutzer anmelden, doch dies scheitert aufgrund der GPO

Nun habe ich der GPO im Sicherheitsfilter die Gruppen Domänencomputer UND Domänenbenutzer hinzugefügt, sodass die GPO nur für diese Personen gilt. Doch leider greift die GPO weiterhin für den lokalen Nutzer.
Somit kann sich der lokale Nutzer nicht anmelden, da er den Pfad im Netzwerk ja nicht finden kann, er ihn aber auch nicht verwenden soll (Außer wenn ich "Benutzer mit temporären Profilen nicht anmelden" deaktiviere. Aber dann meldet er sich eben nur mit teporären Profil, und nicht mit dem lokalen Default-Profil an)... Bei der versuchten Anmeldung erscheint "benutzerprofildienst kann nicht geladen werden" und ich gelange wieder zum Anmeldebildschirm.

Habe ich es halbwegs verständlich erklärt?

VG robbery
Mitglied: Onitnarat
28.11.2013 um 10:25 Uhr
Hallo robbery,
ja, verständlich erklärt und auch schon selbst beantwortet

Wenn Du die Einstellung im Bereich Computerkonfiguration setzt und dann die Gruppe der Domänencomputer im Sicherheitsfilter einträgst, dann greift diese Einstellung natürlich auch auf ALLEN DomänenCOMPUTERN, egal wer sich dort anmeldet!

Warum definiert Ihr den Pfad der servergespeicherten Profile nicht in jedem einzelnen Domänenbenutzerkonto?

Gruß
Marcus
Bitte warten ..
Mitglied: ribrob
28.11.2013, aktualisiert um 10:41 Uhr
OK, deine Verdeutlichung klingt natürlich logisch Insofern greift die GPO dann eben auch auf lokale Benutzerkonten...

Und zu deiner Frage:
Auf diese Frage habe ich ehrlich gesagt schon gewartet So ist ja auch der eigentliche Weg. Doch bei uns ist es so gewachsen, da wir unsere Profile noch nie über die Windowsdomäne verwaltet haben und somit nun bei der Umstellung auf Windows7 diesen Weg gewählt haben.

Fällt dir womöglich trotzdem eine Möglichkeit ein, wie ich die GPO nur für Domänenbenutzer eingrenze und es eben nicht für lokale Benutzer greift?
Laut meiner Logik müsste die Abgrenzung ja durch das Hinzufügen der Gruppe Domänenbenutzer im Sicherheitsfilter erreicht werden, aber tut es leider nicht...
Bitte warten ..
Mitglied: Onitnarat
28.11.2013 um 10:58 Uhr
Nein, deine Logik hat einen Fehler:

Computereinstellungen greifen immer nur auf COMPUTERN!
Benutzereinstellungen greifen immer nur für BENUTZER!

Beispiel:
Du aktivierst unter "BENUTZERkonfiguration/Administrative Vorlagen/System/Gruppenrichtlinien" die Richtlinie "Group Policy slow link detection", fügst aber bei der Sicherheitsfilterung nur die DomänenCOMPUTER hinzu, wird die Richtlinie nicht und nirgends greifen!

Genau so verhält es sich wenn Du unter "COMPUTERkonfiguration/Administrative Vorlagen/System/Gruppenrichtlinien" die gleiche Richtlinie aktivierst, aber in der Sicherheitsfilterung nur die DomänenBENUTZER stehen hast.

Darum stehen ja in einer neuerstellten Policy auch die authentifizierten Benutzer drin, das sind sowohl BENUTZER- wie auch COMPUTERkonten.

Ergo:
BENUTZEReinstellungen betreffen BENUTZERkonten, egal auf welchem COMPUTER sie sich anmelden.
COMPUTEReinstellungen betreffen COMPUTERkonten, egal WER sich dort anmeldet.

Ausnahmen gibt es hier natürlich auch, aber generell stimmt die obige Aussage!

Lies Dich mal hier ein, vielleicht bringt Dich das weiter: http://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loo ...

Gruß
Marcus
Bitte warten ..
Mitglied: ribrob
28.11.2013, aktualisiert um 15:20 Uhr
Der Link frischt das Wissen zu GPOs auf jeden Fall auf - dankeschön!

Ich habe in der GPO, in welcher nur Comp.-konfigurationen gesetzt sind, noch den Loopbackverarbeitungsmodus aktiviert. Und auth. Benutzer als Sicherheitsfilter.
Doch die Gpo greift trotzdem nicht für lokale Nutzer -.-

Aber genau das soll er eben nicht, sondern nur für Domänenbenutzer greifen... Wenn ich also recht darüber nachdenke, trifft Loopback für meinen Fall leider nicht zu. Oder habe ich ein Verständnisproblem?!? Denn die GPO mit aktivierter Loopback greift zwar für Domänenbenutzer, was ohne Loopback ja gar nicht greift (also Sicherheitsfilter nur Dom.-benutzer und nichts anderes), aber greift eben immer noch für lokale Benutzer (was aber nun mal nicht sein soll)

Es muss doch eine Einstellungsmöglichkeit geben, womit die Computer-GPO nicht für lokale Nutzer greift?!?!
Bitte warten ..
Mitglied: Onitnarat
29.11.2013 um 10:54 Uhr
Es muss doch eine Einstellungsmöglichkeit geben, womit die Computer-GPO nicht für lokale Nutzer greift?!?!

Das gibt es eben nicht...die Computersettings haben nichts mit dem angemeldeten bzw. anmeldenden Benutzer zu tun...klassische Sackgasse würde ich sagen.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...