Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Per GPO Logoff als default bei Server

Frage Microsoft Windows Server

Mitglied: stingray79ch

stingray79ch (Level 1) - Jetzt verbinden

04.02.2014 um 12:33 Uhr, 1500 Aufrufe, 8 Kommentare

Hallo Zusammen

Ich möchte auf unseren Servern es so einstellen, dass wenn sich die Admins Anmelden, dass als Standard nicht Herunterfahren im Startmenü kommt, sondern das "Abmelden" im Start Menü kommt.

Ich habe die GPO erstellt unter: Benutzerkonfiguration - Richtlinien - Administrative Vorlagen - Startmenü und Taskleiste - Ein-/Aus-Schalter im Startmenü ändern

angepasst. Nun ist dies eine Benutzerkonfiguration , ich möchte aber diese Einstellung nur auf der OU anwenden wo die Server drin stehen. Die Admins sollen diese GPO nur auf dem Server erhalten nicht aber, wenn Sie sich an einem PC Anmelden.

Wie kann ich dies bewerkstelligen?

Besten dank schon im Voraus für eure Hilfe.

LG
Stingray79CH

Mitglied: colinardo
04.02.2014, aktualisiert um 13:10 Uhr
Hallo stingray79ch,
dafür gibt es den Loopbackverarbeitungsmodus - Loopback Processing Mode der Richtlinien.
Computerkonfiguration > Administrative Vorlagen > System > Gruppenrichtlinien > Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie
Grüße Uwe
Bitte warten ..
Mitglied: MasterBlaster88
04.02.2014 um 15:03 Uhr
Sicher bin ich mir nicht aber...

mach doch eine OU nur für die Server und eine in der die PCs drinne sind.
und dann machste die Gruppenrichtlinie auf die Server-OU. Dann haste das Problem doch nicht oder?
Bitte warten ..
Mitglied: DerWoWusste
04.02.2014 um 16:36 Uhr
Hi.

Weiterer Weg: erstelle am Server eine MLGPO, die nur an die Admins gerichtet ist.
Bitte warten ..
Mitglied: emeriks
04.02.2014 um 18:31 Uhr
Also MLGPO in Domänenumgebung würde ich nicht wählen.
Wie colinardo schon schreibt: Loopback-Modus.

Du musst für die Server(!) eine GPO schreiben, die für diese den Loopback-Modus aktiviert:
- entweder "ersetzen", dann gelten für den Benutzer bei Anmeldung an diese Server nur GPOs, die er über den Pfad des Computer-Objekts erbt.
- oder "zusammenführen", dann gelten bei Anmeldung an diese Server alle GPO, welche der Benutzer über den Pfad seines eigenen Objekts erbt als auch jene, welche er über den Pfad des Computer-Objekts erbt

Also wenn Du für die Server den Loopback-Modus aktiviert hast (gpupdate nicht vergessen, oder booten), dann kannst Du an der OU mit den Servern(!) GPO mit Benutzereinstellungen hängen, die für die Admins(!) gelten sollen.

Pass aber bitte auf, wenn Du den Loopback-Modus das erste Mal benutzt. Teste das erstmal mit nur einem Computer. Egal ob Server oder Workstation. Besonders dann, wenn die Admins servergespeicherte Profile haben. Man kann sich da viel versauen.

E.
Bitte warten ..
Mitglied: DerWoWusste
04.02.2014, aktualisiert um 19:46 Uhr
emeriks, moin.
Gib mal kurz an, welche Nachteil Du siehst. Überlege bitte, dass Loopback für alle GPOs auf dem TS zieht - evtl. keineswegs wünschenswert. Deshalb mein Vorschlag.
Bitte warten ..
Mitglied: emeriks
04.02.2014 um 18:59 Uhr
Mahlzeit!
MLGPO sind nur "aufgebohrte" Local Policies. Der einzige Vorteil, den ich gegenüber den einfachen Local Policies sehe, ist die Tatsache, dass es nicht nur eine für alle Benutzer des Computers gibt sondern je eine für Admins und Nicht-Admins.
Und soweit ich weiß, kann man da nicht alles einstellen, was man mit Domänen-GPO einstellen kann.

Ich weiß nun nicht, von wieviel Servern wir hier überhaupt reden, aber wenn ich bei uns auf jedem einzelnen Server solche Policies, welche nur auf diesen Servern gelten sollen, pflegen müsste, dann könnte ich einpacken. Warum sollte ich das auf jedem Server einzeln machen, wenn ich es doch zentral erledigen kann?

Aber Dein Hinweis für "alle GPO's" ist richtig.

@stingray79ch
Wenn Du das mit dem Loopback machst, und sicher gehen willst, dass Benutzer bei Anmeldung an diesen Servern nur GPO bekommen, die explizit für Anmeldung an diesen Servern gedacht sind, dann musst Du sicherstellen, dass keine unerwünschten GPO's "von oben" geerbt werden. Höchstwahrscheinlich musst Du dann an der OU mit den Servern die GPO-Vererbung ausschalten.

E.
Bitte warten ..
Mitglied: DerWoWusste
04.02.2014, aktualisiert um 19:45 Uhr
Wenn ich davon ausgehe, dass man die Richtlinien, die man für Benutzer der Domäne einstellt, auch am TS gelten lassen will, dann ist es doch undenkbar, Loopback zu verwenden, denn dann müsste man diese gewünschten, aber nun blockierten Richtlinien ja ALLE am Server nachbauen, DAS macht nun wirklich weit mehr Arbeit.

MLGPO ist angebracht hier, ohne jeden Zweifel.
Und soweit ich weiß, kann man da nicht alles einstellen, was man mit Domänen-GPO einstellen kann
Fast alles. Eben wie bei gpedit.msc üblich. Keine Softwareverteilungspolicy, keine Druckerverteilung und ein paar andere Dinge, die hier definitive keine Rolle spielen.
sondern je eine für Admins und Nicht-Admins
Es geht darüber hinaus, man kann einzelne Nutzer und auch Gruppen als Empfänger einsetzen.

Nebenbei: Sollte man wirklich in die Verlegenheit kommen, dass auf mehreren (Hunderten?) Servern per MLGPO regeln zu müssen, kann man das auch deployen: http://www.verboon.info/tag/gpopack-wsf/
Bitte warten ..
Mitglied: emeriks
04.02.2014 um 20:13 Uhr
Letzten Endes wohl Geschmackssache und Frage des Konzepts.
Im konkreten Fall geht es wohl nicht speziell um TS, vermute ich.

Aber auch wenn TS:
Wir trennen bei uns strikt zwischen GPO für PC und solchen für TS.
Eine GPO, die dann doch mal für beide Umgebungen gelten sollte, liegt dann in der Hoheit der TS-Admins und wird eben zweimal (oder mehrmals) verlinkt. Dieselbe GPO. Wo ist da das Problem?
Und das funktioniert tatsächlich auch bei hunderten von TS ohne großen Aufwand. Wir haben ein paar hundert davon, in mehreren Gruppen für verschiedene Kunden. Es gibt GPO für alle TS (die Benutzer von denen) und welche nur für bestimmte TS. Und die Benutzer haben GPO nur für Anmeldung am Computer. Und dann noch die GPO's für Admins. Die Server werden dann entsprechend hirachisch in OUs gelegt und die GPO's verlinkt. Geht prima.

Bei uns wird jeder Admin gelyncht, der ohne Not lokale Sonderlocken strickt.

E.

Edit:
Fairerweise sei gesagt: Local Policies haben den Vorteil, dass die Verarbeitung schneller ist, als bei Domänen GPO. Wenn es bei der Anmeldung auf Sekunden ankommt, dann könnte das - punktuell - ein Ansatz sein.
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Windows Server
gelöst GPO greift unter win server 2008, unter win7 nicht (5)

Frage von sayohh zum Thema Windows Server ...

Windows Server
gelöst Server 2008 R2: Aufgabe für Windows 10 per GPO zur Verfügung stellen (1)

Frage von honeybee zum Thema Windows Server ...

Windows Netzwerk
Lokale Anmeldung an Server zulassen trotz GPO mit lokalem Benutzer (2)

Frage von jochenmuell zum Thema Windows Netzwerk ...

Windows Server
gelöst GPO Audit Policy nur in Default Domain Policy konfigurierbar? (12)

Frage von tombola22 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Netzwerk
Windows 10 RDP geht nicht (16)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...