Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Per GPO Logoff als default bei Server

Frage Microsoft Windows Server

Mitglied: stingray79ch

stingray79ch (Level 1) - Jetzt verbinden

04.02.2014 um 12:33 Uhr, 1550 Aufrufe, 8 Kommentare

Hallo Zusammen

Ich möchte auf unseren Servern es so einstellen, dass wenn sich die Admins Anmelden, dass als Standard nicht Herunterfahren im Startmenü kommt, sondern das "Abmelden" im Start Menü kommt.

Ich habe die GPO erstellt unter: Benutzerkonfiguration - Richtlinien - Administrative Vorlagen - Startmenü und Taskleiste - Ein-/Aus-Schalter im Startmenü ändern

angepasst. Nun ist dies eine Benutzerkonfiguration , ich möchte aber diese Einstellung nur auf der OU anwenden wo die Server drin stehen. Die Admins sollen diese GPO nur auf dem Server erhalten nicht aber, wenn Sie sich an einem PC Anmelden.

Wie kann ich dies bewerkstelligen?

Besten dank schon im Voraus für eure Hilfe.

LG
Stingray79CH

Mitglied: colinardo
04.02.2014, aktualisiert um 13:10 Uhr
Hallo stingray79ch,
dafür gibt es den Loopbackverarbeitungsmodus - Loopback Processing Mode der Richtlinien.
Computerkonfiguration > Administrative Vorlagen > System > Gruppenrichtlinien > Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie
Grüße Uwe
Bitte warten ..
Mitglied: MasterBlaster88
04.02.2014 um 15:03 Uhr
Sicher bin ich mir nicht aber...

mach doch eine OU nur für die Server und eine in der die PCs drinne sind.
und dann machste die Gruppenrichtlinie auf die Server-OU. Dann haste das Problem doch nicht oder?
Bitte warten ..
Mitglied: DerWoWusste
04.02.2014 um 16:36 Uhr
Hi.

Weiterer Weg: erstelle am Server eine MLGPO, die nur an die Admins gerichtet ist.
Bitte warten ..
Mitglied: emeriks
04.02.2014 um 18:31 Uhr
Also MLGPO in Domänenumgebung würde ich nicht wählen.
Wie colinardo schon schreibt: Loopback-Modus.

Du musst für die Server(!) eine GPO schreiben, die für diese den Loopback-Modus aktiviert:
- entweder "ersetzen", dann gelten für den Benutzer bei Anmeldung an diese Server nur GPOs, die er über den Pfad des Computer-Objekts erbt.
- oder "zusammenführen", dann gelten bei Anmeldung an diese Server alle GPO, welche der Benutzer über den Pfad seines eigenen Objekts erbt als auch jene, welche er über den Pfad des Computer-Objekts erbt

Also wenn Du für die Server den Loopback-Modus aktiviert hast (gpupdate nicht vergessen, oder booten), dann kannst Du an der OU mit den Servern(!) GPO mit Benutzereinstellungen hängen, die für die Admins(!) gelten sollen.

Pass aber bitte auf, wenn Du den Loopback-Modus das erste Mal benutzt. Teste das erstmal mit nur einem Computer. Egal ob Server oder Workstation. Besonders dann, wenn die Admins servergespeicherte Profile haben. Man kann sich da viel versauen.

E.
Bitte warten ..
Mitglied: DerWoWusste
04.02.2014, aktualisiert um 19:46 Uhr
emeriks, moin.
Gib mal kurz an, welche Nachteil Du siehst. Überlege bitte, dass Loopback für alle GPOs auf dem TS zieht - evtl. keineswegs wünschenswert. Deshalb mein Vorschlag.
Bitte warten ..
Mitglied: emeriks
04.02.2014 um 18:59 Uhr
Mahlzeit!
MLGPO sind nur "aufgebohrte" Local Policies. Der einzige Vorteil, den ich gegenüber den einfachen Local Policies sehe, ist die Tatsache, dass es nicht nur eine für alle Benutzer des Computers gibt sondern je eine für Admins und Nicht-Admins.
Und soweit ich weiß, kann man da nicht alles einstellen, was man mit Domänen-GPO einstellen kann.

Ich weiß nun nicht, von wieviel Servern wir hier überhaupt reden, aber wenn ich bei uns auf jedem einzelnen Server solche Policies, welche nur auf diesen Servern gelten sollen, pflegen müsste, dann könnte ich einpacken. Warum sollte ich das auf jedem Server einzeln machen, wenn ich es doch zentral erledigen kann?

Aber Dein Hinweis für "alle GPO's" ist richtig.

@stingray79ch
Wenn Du das mit dem Loopback machst, und sicher gehen willst, dass Benutzer bei Anmeldung an diesen Servern nur GPO bekommen, die explizit für Anmeldung an diesen Servern gedacht sind, dann musst Du sicherstellen, dass keine unerwünschten GPO's "von oben" geerbt werden. Höchstwahrscheinlich musst Du dann an der OU mit den Servern die GPO-Vererbung ausschalten.

E.
Bitte warten ..
Mitglied: DerWoWusste
04.02.2014, aktualisiert um 19:45 Uhr
Wenn ich davon ausgehe, dass man die Richtlinien, die man für Benutzer der Domäne einstellt, auch am TS gelten lassen will, dann ist es doch undenkbar, Loopback zu verwenden, denn dann müsste man diese gewünschten, aber nun blockierten Richtlinien ja ALLE am Server nachbauen, DAS macht nun wirklich weit mehr Arbeit.

MLGPO ist angebracht hier, ohne jeden Zweifel.
Und soweit ich weiß, kann man da nicht alles einstellen, was man mit Domänen-GPO einstellen kann
Fast alles. Eben wie bei gpedit.msc üblich. Keine Softwareverteilungspolicy, keine Druckerverteilung und ein paar andere Dinge, die hier definitive keine Rolle spielen.
sondern je eine für Admins und Nicht-Admins
Es geht darüber hinaus, man kann einzelne Nutzer und auch Gruppen als Empfänger einsetzen.

Nebenbei: Sollte man wirklich in die Verlegenheit kommen, dass auf mehreren (Hunderten?) Servern per MLGPO regeln zu müssen, kann man das auch deployen: http://www.verboon.info/tag/gpopack-wsf/
Bitte warten ..
Mitglied: emeriks
04.02.2014 um 20:13 Uhr
Letzten Endes wohl Geschmackssache und Frage des Konzepts.
Im konkreten Fall geht es wohl nicht speziell um TS, vermute ich.

Aber auch wenn TS:
Wir trennen bei uns strikt zwischen GPO für PC und solchen für TS.
Eine GPO, die dann doch mal für beide Umgebungen gelten sollte, liegt dann in der Hoheit der TS-Admins und wird eben zweimal (oder mehrmals) verlinkt. Dieselbe GPO. Wo ist da das Problem?
Und das funktioniert tatsächlich auch bei hunderten von TS ohne großen Aufwand. Wir haben ein paar hundert davon, in mehreren Gruppen für verschiedene Kunden. Es gibt GPO für alle TS (die Benutzer von denen) und welche nur für bestimmte TS. Und die Benutzer haben GPO nur für Anmeldung am Computer. Und dann noch die GPO's für Admins. Die Server werden dann entsprechend hirachisch in OUs gelegt und die GPO's verlinkt. Geht prima.

Bei uns wird jeder Admin gelyncht, der ohne Not lokale Sonderlocken strickt.

E.

Edit:
Fairerweise sei gesagt: Local Policies haben den Vorteil, dass die Verarbeitung schneller ist, als bei Domänen GPO. Wenn es bei der Anmeldung auf Sekunden ankommt, dann könnte das - punktuell - ein Ansatz sein.
Bitte warten ..
Ähnliche Inhalte
Windows Server
Default Domain Policy GPO
Frage von M.MarzWindows Server4 Kommentare

Hallo zusammen, im W2012 R2 ist diese o. g. Gruppenrichtlinie ganz oben aufgelistet. Bedeutet es, dass jede GPO die ...

Windows Server
Empfehlungen für eine Default GPO W2K!2
gelöst Frage von winlinWindows Server5 Kommentare

Hallo, gibt es irgendwo einen brauchbaren Link wo es Empfehlungen gibt, was in einer default GPO für einen Windows ...

Windows Server
GPO Kennwortrichtlinie wird ignoriert trotz default domain policy
gelöst Frage von GladiusWindows Server7 Kommentare

Hallo liebe Administratoren, nach meinen vergeblichen Recherchebemühungen erhoffe ich mir hier Hilfe zu finden. In der Firma, in welcher ...

Windows Server
Aktualisierung von Printing-Defaults - Verteilung per COMPUTER GPO
Frage von fabio84Windows Server1 Kommentar

Hallo Admins, unsere Printer werden per Computer GPO verteilet. Grundsätzlich ist per Printing Default S/W vorkonfiguriert. Jetzt soll von ...

Neue Wissensbeiträge
Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 6 StundenBatch & Shell7 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 8 StundenHumor (lol)6 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 23 StundenMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 1 TagSicherheit1 Kommentar

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Heiß diskutierte Inhalte
Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server17 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...

Windows 10
Bitlocker nach Verschlüsselung nicht mehr aufrufbar!
gelöst Frage von alexlazaWindows 1013 Kommentare

Hallo, ich besitze ein HP ZBook 17 G4 mit einem Windows 10 Pro Betriebssystem. Bei diesem Problem handelt sich, ...

Batch & Shell
Neuste Datei via PowerShell kopieren
gelöst Frage von kaiuwe28Batch & Shell11 Kommentare

Hallo zusammen, ich hatte mir mit Hilfe der Suche im Forum einen kleinen Code von colinardo rausgesucht und versucht ...