Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

GPO bei W2k8 R2 Server, Einstellungen sollten nicht für Administratoren gelten

Frage Microsoft

Mitglied: mastaghandi

mastaghandi (Level 1) - Jetzt verbinden

17.05.2011 um 12:47 Uhr, 11042 Aufrufe, 22 Kommentare

hi profis!

ich habe ein problem mit den gpos im windows server 2008 r2.

ich habe ein komplett neues AD aufgebaut, gpo und alles funktioniert super.

jetzt bin ich gerade dabei einige xenapp server zu installieren, hab dafür eine eigene OU gemacht, und den ersten xenapp server da mal rein verschoben. hab anschließend eine gpo mit dem loopbackmodus auf diesen container gelegt. alles gut soweit.

jetzt hab ich dann einige einstellungen für den xenapp server gemacht (zB ordnerumleitung vom desktop), und jetzt hab ich das problem, das diese umleitung natürlich auch bei den administratoren (egal ob lokal oder domänen admins) zieht.

gibts eine möglichkeit das irgendwie zu verhindern, das diese gpos für administratoren nicht ziehen?

ich hab kurz gelesen das es die möglichkeit gibt, die user, bei denen die gpos nicht ziehen sollten, lokal den zugriff auf system32\group.... zu verweigern, ich kann mir nicht helfen das klingt irgendwie nicht wirklich nach einer schönen lösung.. gibts da noch eine andere?

danke schonmal für eure unterstützung!

lg
Mitglied: DerWoWusste
17.05.2011 um 13:25 Uhr
Seit Vista geht folgendes: http://technet.microsoft.com/de-de/library/cc766291(WS.10).aspx - "Multiple local group polcy objects"
Bitte warten ..
Mitglied: danielmuc
17.05.2011 um 13:27 Uhr
Hallo Ghandi,

schau doch mal in der GPMC in deiner GPO unter Sicherheitsfilterung nach und setze dort die Sicherheitsfilterung auf Admins deny oder nehme explizit die User Gruppen rein die du benötigst. Authenticated Users vorher natrülich rausnehmen.

Dann wird die LoopBack Policy auch wirklich nur für die berechtigten User abgearbeitet.

Ich arbeite auch ganz gern mit WMI Filtern wenn bestimmte Policies nicht auf z.b. Notebooks angewendet werden sollen. WMI sollte man aber mit bedacht einsetzen, da sich hier die Abarbeitung des RSOPS etwas verlängert.

Greatz Daniel.
Bitte warten ..
Mitglied: mastaghandi
17.05.2011 um 13:49 Uhr
hi DerWoWusste!

danke für deinen tipp, ich hab mir das jetzt mal durchgelesen, korrigiere mich bitte wenn ich falsch liege, aber wenn ich das richtig verstanden hab, müsste ich alle richtlinien die ich über die domain gpo austeile, für die lokalen administratoren wieder deaktivieren über diese local gpos..

und dann hab ich noch gelesen...

Domain member computers
Stand-alone computers benefit the most from Multiple Local Group Policy objects, wherein managing each computer is local. Domain-based computers apply Local Group Policy first and then domain-based policy. Windows Vista continues to use the "Last Writer Wins" method for conflict resolution. Therefore, policy settings originating from domain Group Policy overwrite any conflicting policy settings found in any Local Group Policy to include administrative, non-administrative, and user specific Local Group Policy. Domain administrators can disable processing Local Group Policy objects on clients running Windows Vista by enabling the "Turn off Local Group Policy objects processing" policy setting in a domain Group Policy object. You can find this setting under Computer Configuration\Administrative Templates\System\Group Policy


und wenn ich das jetzt richtig verstehe, überschreiben mir die domain gpos die lokalen gpos.. oder versteh ich da jetzt irgendwie etwas falsch?

danke und lg
Bitte warten ..
Mitglied: danielmuc
17.05.2011 um 14:05 Uhr
Hi @ll,

Multiple local group polcy objects sind wirklich ein intressantes Feature für nicht AD Umgebungen.

Da wir hier aber ueber zentral verwaltete Clients mittels GPO's sprechen möchtet ihr nicht wirklich mit lokalen Policys rumbasteln oder ?

Auch NTFS Rechte verändern in System32 - so ein rumgebastel - ich würde mich in professionellen Umgebungen immer so nah wie möglich an die Herrsteller "best practices" halten, weil die Infrastrukturen mittlerweile so komplex sind, das man selbst als Erfahrener Admin nicht alle Nebeneffekte 100% einshen kann.

Gruss Daniel.
Bitte warten ..
Mitglied: mastaghandi
17.05.2011 um 14:07 Uhr
hi daniel,

die idee gfallt ma sehr gut, jetzt hab ich nur ein problem, wofür ich offenbar noch zu blöd bin.. wie genau setzt ich da ein "deny" rein?

also wenn ich bestimmte benutzer da auf deny setzen könnt, wär das super!

danke ung lg
Bitte warten ..
Mitglied: danielmuc
17.05.2011 um 14:11 Uhr
HI,

oh sorry hab mich vertan. Hier die richtige Anleitung:

Sicherheitsfilterung:

hier alle Leute rein, welche die GPO erhalten sollen

alternative:

Sicherheitsfilterung auf authenticated Users belassen und die Admins unter

"Delegierung" aufnehmen (wenn nicht schon drin) dann bei "erweitert" die Rechte für Lesen und Übernehmen auf Verweigern setzen.

Daniel
Bitte warten ..
Mitglied: mastaghandi
17.05.2011 um 14:39 Uhr
hey daniel,

ok soweit ist mir alles klar..

ich würds mit der deligierung machen, da ich nämich einen domänen benutzer als lokalen admin per gpo zuweise, muss ich speziell diesen einen user eben aus den gpos rausnehmen.. allerdings find ich die möglichkeit nicht, die rechte auf "verweigern" zu setzen..

ich hab den user unter deligierung mit berechtigungen "lesen" hinzugefügt.. und dann.. wohin?

danke!
Bitte warten ..
Mitglied: danielmuc
17.05.2011 um 14:52 Uhr
HI,

bei Delegierung bleiben und auf erweitert gehen.
Deinen User auswählen - lesen verweigern, gpo übernehmen verweigern - anhaken, übernehmen und fertig.

Arbeite noch unter GPMC 2003er Server geht aber unter 2008 genauso, kann sein dass da der ein oder andere schalter wo anders platziert ist.

Daniel.
Bitte warten ..
Mitglied: mastaghandi
17.05.2011 um 15:49 Uhr
hey,

ja endlich, habs gfunden, ganz unten rechts wars.. DANKE.. das hat super funktioniert..

jetzt hab ich allerdings ein weiteres problem in diesem zusammenhang, wie schaff ich es jetzt, das computerrichtlinien (zB die des servergespeicherten profils..) nicht für einen user gelten, in dem fall eben für die lokalen administratoren..

denn dass funktioniert offenbar nicht mit der domänen user verweigerung..
Bitte warten ..
Mitglied: danielmuc
17.05.2011 um 16:01 Uhr
Hi,

also o.g. GPO-Settings mit User Einstellungen funktionieren nur mit Domain Usern.

Ich verstehe die Frage nicht ??? Was hast du vor

Daniel.
Bitte warten ..
Mitglied: mastaghandi
17.05.2011 um 16:08 Uhr
ok, ich habs auch etwas "blöd" erklärt.. folgendes...

ich hab einige terminal server, die in einem eigenen container sind, auf diesen container laufen einige gpos (ordnerumleitung, servergespeicherte profile... usw)

jetzt hab ich einen domänen user erstellt, der auf diesen servern über gpo, in die lokale administrationsgruppe hinzugefügt wird, dieser user soll sozusagen die wartung der server übernehmen, ich möchte nicht den domänen admin dafür verwenden.
naja und jetzt möcht ich halt das die lokale administratoren gruppe auf den servern, keine, auch die computerrichtlinien nicht zugeordnet bekommt, weil zB die desktop umleitung soll nur für die user gelten die sich über ica darauf anmelden..

weist du was ich mein?
Bitte warten ..
Mitglied: danielmuc
17.05.2011 um 16:20 Uhr
jepp verstehe

hmmm würde ich so lösen:

erstelle eine Globale Gruppe in der AD z.b. Terminal-Server-Localadmins und nimm da den User auf.

Anschliessend die Globale Gruppe in die lokale Admin Gruppe aufnehmen (1) und das "Verweigern" nicht auf den einzelnen User delegieren sondern auf die Globale AD-Gruppe setzen.

(1) kannst du entweder manuell machen oder auch via GPO unter resdricted Groups bzw. eingeschränkte Gruppen.

Daniel.
Bitte warten ..
Mitglied: mastaghandi
17.05.2011 um 16:23 Uhr
ok, aber die computerrichtlinien die über gpo dann zugewiesen werden, die ziehen dann trotzdem oder? das betrifft ja nur die benutzerrichtlinien, kann das sein?
Bitte warten ..
Mitglied: danielmuc
17.05.2011 um 16:28 Uhr
Hi,

das ist ne gute Frage setze Loopback auch nur im Notfall ein. Ich würde der Übersicht halber ne separate GPO erstellen für die restricted Groups dort die Benutzerkonfig deaktiviern.

Greatz Daniel.
Bitte warten ..
Mitglied: mastaghandi
17.05.2011 um 19:27 Uhr
ok, hab das gerade getestet, also bei mir funktioniert dein tipp mit den delegierungen bei den benutzerrichtlinien super, bei den computerrichtlinien leider nicht, ich werd morgen das mal mit einer eigenen gpo versuchen. meld mich dann..

danke auf jeden fall für deine unterstützung!

lg
Bitte warten ..
Mitglied: mastaghandi
18.05.2011 um 08:01 Uhr
nein.. ich checks einfach nicht... bin offenbar zu blöd.. ganz kurz nochmal..

wie schaffe ichs, das für bestimmte user (in dem fall lokale administratoren), die computerrichtlinien die über gpo eingestellt sind, nicht ziehen?

*verzweifeltbin*
Bitte warten ..
Mitglied: mastaghandi
18.05.2011 um 14:03 Uhr
so bin jetzt fertig mit dem herum probieren und testen.. leider geht das nicht, computerrichtlinien für spezielle user zu deaktivieren, macht aba nix, muss ich halt damit leben.. dennoch
DANKE!
Bitte warten ..
Mitglied: danielmuc
18.05.2011 um 14:20 Uhr
hallo,

nicht verzweifeln...

wie schon geschrieben bei anmeldung mit einem lokalen User Account werden nur die in den GPO definierten Computersettings abgearbeitet.

Deswegen habe ich dir ja vorgeschlagen, dich mit einem Domain User anzumelden und diesen über eine AD Gruppe zu einem lokalen Admin zu machen. (deinen Admin Account zur AD Gruppe un diese dann in die lokalen Gruppe Administratoren auf dem TS aufnehmen)

Die AD Gruppe dann auf deny in der Loop Back Policy. Das ist auf jeden Fall der richtige Weg.

Loop Back ist ja nichts anderes als:

lade mir die hier definierten User Settings für die Maschine auch wenn die GPO nicht direkt auf dem jeweilgen User hängt.

hab hier noch was gefunden

http://social.technet.microsoft.com/Forums/de/gruppenrichtliniende/thre ...

Antwort von Ingo Schneider...

Hast du das Loop Back auch auf "ersetzen" gesetzt ?


Gruesse Daniel.
Bitte warten ..
Mitglied: mastaghandi
18.05.2011 um 15:28 Uhr
hey daniel,

ok ich verstehe was du meinst, ich habs folgendermaßen gemacht.

einen domänen user erstellt, und diesen über gpo in die lokale administratoren gruppe der TS reingschoben.

anschließend hab ich dann bei der computergruppenrichtlinie, diesen domänen user auf deny gesetzt. aber nicht bei der loopback gpo sondern bei der, bei der ich nicht will das sie für diesen user gilt.

versteh ich da was falsch? ein loopback ist auf ersetzen ja.

ist das denn richtig, der loopback modus ist dafür da, das alle user einstellungen die ein user per gpo zugeordnet bekommt, durch die aktuellen ersetzt werden nicht?

danke und lg
Bitte warten ..
Mitglied: danielmuc
18.05.2011 um 15:46 Uhr
Hi,

also das Loopback machst du natürlich nur, wenn du willst, dass User Settings Maschinen spezifisch angewendet werden. Ist erstmal verwirrend wenn man das zum 1. Mal macht, aber effektiv.

Heißt du machst eine Loopback GPO und verlinkst diese auf deine TS-OU und möchtest damit bewirken, dass die User die sich da anmelden, andere Usersettings auf den TS haben als auf ihren Arbeits-PC's. Nun kennt der TS aber keine User Settings. Daher steht auch in der Loopback in der Computerkonfig "Hallo ich bin eine Loopback schau doch mal im UserTeil nach..."

Damit die Loopback Richtlinie aber nicht für Admins gilt kannst du die Delegierung auf Admins deny setzen oder z.b. die AD Gruppe die alle "normalen User" beinahltet bei dem 1. Reiter unter Sicherheitsfilter eintragen. Als default ist hier Authenticated Users eingetragen = Summer aller USer in der AD, die sich in irgendeiner Weise auth.

Näheres zur Loopback Verabreitung:

http://support.microsoft.com/kb/231287/DE

so long daniel.


p.s. ich habe bei einem Kunden die Anforderung gehabt das die User bei Anmeldung an ihren Desktops alle Pfade wie Eigene Dateien, Dekstop, Favoriten usw. auf einen Fileserver umgebogen bekommen und bei Anmeldung an den Poollaptops das Ganze auf eine 2. lokale Partition geschrieben wird.
Bitte warten ..
Mitglied: mastaghandi
18.05.2011 um 17:14 Uhr
hi daniel,

ok alles klar.. das mit dem loopback versteh ich jetzt. allerdings die computerrichtlinien werden bei mir für diesen domänen user der lokaler admin ist trotzdem übernommen.

genau gehts um die einstellung der roaming profiles, ich hab per gpo eingestellt dass, jeder user der sich auf den ts anmeldet einen bestimmten pfad für sein servergespeichertes profil nimmt (ich möchte das nicht einzeln über die benutzerkonto einstellungen machen), naja und dieser user, als lokaler admin sollte halt kein roamingprofile verwendet.. irgendwie haut das nicht hin, obwohl ich den einen user überall auf deny gesetzt habe..

ich denke aber das, dass was ich möchte wirklich nicht möglich ist...

lg
Bitte warten ..
Mitglied: danielmuc
18.05.2011 um 18:21 Uhr
dann kann ich abschliessend nur sagen:

1. lösch das roaming profile bei deinem Admin User raus hab ich auch irgendwann aufgegeben weil ich mal n 2 GB Profile hatte und dieses nicht auf jedem Server kopieren wollte
2. leg dir einen lokalen Administrator Account an und melde dich mit dem an - je nach dem was du damit machen willst auf dem System sinnvoll.
3. ruf doch mal bei Microsoft an und frage ob die ein Loopback für Maschinen Settings implementieren können

was man evtl. noch probieren könnte wäre eine Maschinen GPO schreiben mit local Profile only und dann bei sicherheitsfiltering den Admin Account - ohne zu testen würde ich aber sagen das er die auch für die normalen user abarbeitet da eben Computerkonfig...

so jetzt ist mein latein am ende ich mach Feierabend ^^

bye Daniel.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Batch & Shell
gelöst Powershell + dhcp auf einem 2012 R2 Server (5)

Frage von pixel0815 zum Thema Batch & Shell ...

Windows Userverwaltung
Ordnerumleitung auf Serverfreigabe per GPO (Server 2008 R2 und Windows 7) (6)

Frage von TheM-Man zum Thema Windows Userverwaltung ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...