13
Gruppenrichtlinie - Was gilt bei wiedersprüchlichen Einstellungen?
Hallo zusammen!
In einer Domäne (Win2008R2) existiert eine GPO, die Einstellungen für den EInsatz des Proxy-Server vorgibt.
Die Rechner einer OU soll bewusst keinen Proxy nutzen, dafür aber andere GPOs anwenden, die übergeordnet vererbt werden.
Wie kann ich nun speziell nur die Settings zum Proxy-Server außer Kraft setzen und dabei alle anderen GPOs weiterhin nutzbar machen?
Reicht es, wenn ich eine GPO an die OU hänge, die den Proxy deaktiviert?
Besten Dank für Eure Hilfe.
Grüße
HamSpirit
In einer Domäne (Win2008R2) existiert eine GPO, die Einstellungen für den EInsatz des Proxy-Server vorgibt.
Die Rechner einer OU soll bewusst keinen Proxy nutzen, dafür aber andere GPOs anwenden, die übergeordnet vererbt werden.
Wie kann ich nun speziell nur die Settings zum Proxy-Server außer Kraft setzen und dabei alle anderen GPOs weiterhin nutzbar machen?
Reicht es, wenn ich eine GPO an die OU hänge, die den Proxy deaktiviert?
Besten Dank für Eure Hilfe.
Grüße
HamSpirit
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 163549
Url: https://administrator.de/contentid/163549
Printed on: April 19, 2024 at 11:04 o'clock
13 Comments
Latest comment
Moin hamspirit,
dass müßte m. E. funktionieren, wenn Du eine neue GPO baust, die nur die Einstellung der Proxy-Konfiguration zurücksetzt.
Diese (neue) GPO mit der OU verknüpfen und in der Rangfolge nach oben setzen.
Eine sehr gute Seite mit Erklärungen und Beispielen findest Du übrigens hier
Grüße
Markus
dass müßte m. E. funktionieren, wenn Du eine neue GPO baust, die nur die Einstellung der Proxy-Konfiguration zurücksetzt.
Diese (neue) GPO mit der OU verknüpfen und in der Rangfolge nach oben setzen.
Eine sehr gute Seite mit Erklärungen und Beispielen findest Du übrigens hier
Grüße
Markus
Hallo,
GPOs werden doch vererbt, du kannst also die Vererbung ausschalten und andere Einstellungen vornehmen.
Viele Grüße
Xearo
GPOs werden doch vererbt, du kannst also die Vererbung ausschalten und andere Einstellungen vornehmen.
Viele Grüße
Xearo
Zitat von @LordXearo:
GPOs werden doch vererbt, du kannst also die Vererbung ausschalten und andere Einstellungen vornehmen.
GPOs werden doch vererbt, du kannst also die Vererbung ausschalten und andere Einstellungen vornehmen.
Der Umkehrschluß wäre doch aber, dass ich alle anderen GPOs dann wieder neu an diese OU verknüpfen muss.
Denn es gibt in der Domäne nicht nur diese eine GPO zum Setzen des Proxy, sondern noch etliche mehr.
Ich möchte nur erreichen, dass die Clients in der OU (anderer Standort mit eigenem Webzugang) keinen Proxy nutzen. Alles andere soll völlig unverändert bleiben.
Ich hab diese Einstellungen gefunden "Disable changing proxy settings" unter "Windows Components/Internet Explorer".
Die Frage ist nur, ob diese Einstellungen nicht nur verhindern, dass der User manuell Änderungen vornimmt.
Mein Ziel war ja das Deaktivieren der Settings, die durch eine GPO weiter oben veranlasst werden.
Die Frage ist nur, ob diese Einstellungen nicht nur verhindern, dass der User manuell Änderungen vornimmt.
Mein Ziel war ja das Deaktivieren der Settings, die durch eine GPO weiter oben veranlasst werden.
Steht doch exakt erklärt im Gruppenrichtlinieneditor, was die Einstellung tut.
In Deinem Fall:
"Mit dieser Einstellung wird festgelegt, dass die Verbindung mit dem Internet mithilfe der angegebenen Proxyservereinstellungen hergestellt wird. Ein Proxyserver dient als Mittler zwischen dem internen Netzwerk (Intranet) und dem Internet und ruft Dateien von Remotewebservern ab.
Wenn Sie diese Richtlinieneinstellung aktivieren, können die Benutzer keine Proxyeinstellungen konfigurieren. Mit dem Gruppenrichtlinien-Editor können Sie Ihre aktuellen Proxyeinstellungen von Ihrem Computer importieren. Verwenden Sie dazu "Internet Explorer-Wartung" unter "Administrative Vorlagen".
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können die Benutzer Proxyeinstellungen selbst konfigurieren."
In Deinem Fall:
"Mit dieser Einstellung wird festgelegt, dass die Verbindung mit dem Internet mithilfe der angegebenen Proxyservereinstellungen hergestellt wird. Ein Proxyserver dient als Mittler zwischen dem internen Netzwerk (Intranet) und dem Internet und ruft Dateien von Remotewebservern ab.
Wenn Sie diese Richtlinieneinstellung aktivieren, können die Benutzer keine Proxyeinstellungen konfigurieren. Mit dem Gruppenrichtlinien-Editor können Sie Ihre aktuellen Proxyeinstellungen von Ihrem Computer importieren. Verwenden Sie dazu "Internet Explorer-Wartung" unter "Administrative Vorlagen".
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können die Benutzer Proxyeinstellungen selbst konfigurieren."
Zitat von @Razalduria:
Steht doch exakt erklärt im Gruppenrichtlinieneditor, was die Einstellung tut.
In Deinem Fall:
"Mit dieser Einstellung wird festgelegt, dass die Verbindung mit dem Internet mithilfe der angegebenen
Proxyservereinstellungen hergestellt wird. Ein Proxyserver dient als Mittler zwischen dem internen Netzwerk (Intranet) und dem
Internet und ruft Dateien von Remotewebservern ab.
Wenn Sie diese Richtlinieneinstellung aktivieren, können die Benutzer keine Proxyeinstellungen konfigurieren. Mit dem
Gruppenrichtlinien-Editor können Sie Ihre aktuellen Proxyeinstellungen von Ihrem Computer importieren. Verwenden Sie dazu
"Internet Explorer-Wartung" unter "Administrative Vorlagen".
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können die Benutzer Proxyeinstellungen selbst
konfigurieren."
Steht doch exakt erklärt im Gruppenrichtlinieneditor, was die Einstellung tut.
In Deinem Fall:
"Mit dieser Einstellung wird festgelegt, dass die Verbindung mit dem Internet mithilfe der angegebenen
Proxyservereinstellungen hergestellt wird. Ein Proxyserver dient als Mittler zwischen dem internen Netzwerk (Intranet) und dem
Internet und ruft Dateien von Remotewebservern ab.
Wenn Sie diese Richtlinieneinstellung aktivieren, können die Benutzer keine Proxyeinstellungen konfigurieren. Mit dem
Gruppenrichtlinien-Editor können Sie Ihre aktuellen Proxyeinstellungen von Ihrem Computer importieren. Verwenden Sie dazu
"Internet Explorer-Wartung" unter "Administrative Vorlagen".
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können die Benutzer Proxyeinstellungen selbst
konfigurieren."
Danke für Dein Posting, Razalduria.
Aber ich bin da noch nicht so ganz sicher.
Eine GPO sehr weit oben vergibt Proxy-Einstellungen. User einer OU in der Hirachie weiter unten sollen ohne Proxy ins Netz. Setzt das "Disable changing proxy settings" nun die Einstellungen der oberen GPO außer Kraft oder verhindert es nur, dass die User manuell Änderungen an dem Proxy-Settings machen können. Ich komme mit der Formulierung in Deinem Posting nicht so ganz zurecht.
Danke vorab,
Zur Hierarchie: http://msdn.microsoft.com/en-us/library/aa374155(v=vs.85).aspx
Zitat von @DerWoWusste:
Zur Hierarchie: http://msdn.microsoft.com/en-us/library/aa374155(v=vs.85).aspx
Zur Hierarchie: http://msdn.microsoft.com/en-us/library/aa374155(v=vs.85).aspx
Danke. Aber das war mir schon bekannt.
Es geht hier im Speziellen um Proxy-Einstellungen --> "Disable Proxy from global Proxy-GPO".
Was ist "speziell" an diesen Einstellungen? Die Hierarchie legt fest, welche Einstellungen gelten: die aus der GPO, die nach Hierarchieordnung zuletzt angewendet wurde.
Im Zweifel kannst Du jederzeit eine neue GPO mit nur dieser einen gewünschten Einstellung nur auf diese spezielle Gruppe von Rechnern anwenden und diese auf "enforced" (Kontextmenü der GPO aufrufe) setzen.
Im Zweifel kannst Du jederzeit eine neue GPO mit nur dieser einen gewünschten Einstellung nur auf diese spezielle Gruppe von Rechnern anwenden und diese auf "enforced" (Kontextmenü der GPO aufrufe) setzen.
Zitat von @DerWoWusste:
Was ist "speziell" an diesen Einstellungen? Die Hierarchie legt fest, welche Einstellungen gelten: die aus der GPO, die
nach Hierarchieordnung zuletzt angewendet wurde.
Im Zweifel kannst Du jederzeit eine neue GPO mit nur dieser einen gewünschten Einstellung nur auf diese spezielle Gruppe von
Rechnern anwenden und diese auf "enforced" (Kontextmenü der GPO aufrufe) setzen.
Was ist "speziell" an diesen Einstellungen? Die Hierarchie legt fest, welche Einstellungen gelten: die aus der GPO, die
nach Hierarchieordnung zuletzt angewendet wurde.
Im Zweifel kannst Du jederzeit eine neue GPO mit nur dieser einen gewünschten Einstellung nur auf diese spezielle Gruppe von
Rechnern anwenden und diese auf "enforced" (Kontextmenü der GPO aufrufe) setzen.
Auch für den Fall, dass ich mich wiederhole.
Es geht hier darum, dass eine GPO im Root einen Proxy-Server verteilt. Dieser soll in einer bestimmten OU und darunter nicht mehr aktiv sein.
Du kannst in der GPO aber nur einen Proxy aktivierung und diesen angeben oder aber mann deaktiviert die Option. Ich muss aber sicherstellen, dass in der entsprechenden OU die Verwendung eines Proxy-Servers deaktiviert ist.
Wenn oben also einer gesetzt wird, wir stelle ich sicher, dass der in der unten stehenden OU nicht ankommt. Und zwar nur diese eine Einstellung nicht. Die sonstigen GPOs sollen weiter aktiv sein und bleiben.
Das alles hat nichts mit der Hierarchie zu tun. Die kenne ich zur Genüge. Es geht hier um das Deaktivieren vorhandener Proxy-Einstellungen.
Hallo HamSpirit,
Grüße
Markus
Es geht hier um das Deaktivieren vorhandener Proxy-Einstellungen.
Reicht es denn nicht, eine GPO zu erstellen, die dann ungültige Werte setzt und die Änderung durch den Benutzer verhinderst?Grüße
Markus
Zitat von @BigWim:
Hallo HamSpirit,
> Es geht hier um das Deaktivieren vorhandener Proxy-Einstellungen.
Reicht es denn nicht, eine GPO zu erstellen, die dann ungültige Werte setzt und die Änderung durch den Benutzer
verhinderst?
Grüße
Markus
Hallo HamSpirit,
> Es geht hier um das Deaktivieren vorhandener Proxy-Einstellungen.
Reicht es denn nicht, eine GPO zu erstellen, die dann ungültige Werte setzt und die Änderung durch den Benutzer
verhinderst?
Grüße
Markus
Ungültige Werte? Das wird kaum funktionieren. Denn der PC würde dann ja versuchen den Rechner mit dem ungültigen Namen zu erreichen.
In dem Standort hat man keinen Proxyserver und daher muss der aus der Config raus, damit die dort ins Netz kommen.
Moin hamspirit,
Grüße
Markus
In dem Standort hat man keinen Proxyserver und daher muss der aus der Config raus, damit die dort ins Netz kommen.
Wie wäre es denn mit der Idee, dass Du eine Gruppe in der AD schaffst, in der die Rechner Mitglieder sind, die die Einstellung nicht bekommen sollen. Diese neue Gruppe in der bestehenden GPO in der Sicherheitsfilterung (habe nur die deutsche Version) hinzufügen mit dem Entzug der Leserechte für diese Einstellung.Grüße
Markus
