Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Gruppenrichtlinie mit Sicherheitsfilterung funktioniert nicht wie gewollt.

Frage Microsoft Windows Server

Mitglied: milhouse

milhouse (Level 1) - Jetzt verbinden

09.07.2010 um 14:43 Uhr, 11737 Aufrufe, 13 Kommentare

Hallo zusammen,

ich habe ein Problem mit einer Gruppenrichtlinie. Für unser E-Mail-Programm muss ich zwei Registryschlüssel auf den Notebooks der User mit Mailzugriff ändern.
Es gibt
- eine OU mit allen Notebooks,
- eine OU mit allen Benutzern und
- eine globale Sicherheitsgruppe mit allen "Mailnutzern".

Nun hat nicht jeder Mailnutzer ein Notebook, manche Mailnutzer haben sowohl PC als auch Notebook und nicht jedes Notebook hat das Mailprogramm installiert. Daher dürfte die Richtline nur auf Notebooks angewendet werden, an denen sich Benutzer der Gruppe "Mailnutzer" anmelden.

Mein erster Gedanke: Eine Richtline "Mail mobil" mit Computerkonfigurationseinstellungen auf die OU "Notebooks" verknüpfen und als Sicherheitsfilterung die Sicherheitsgruppe "Mailnutzer" eintragen. Dies funktioniert scheinbar nicht, da in der Filterung Benutzer sind und nicht die entsprechenden Computer. Füge ich ein Notebook manuell zur Sicherheitsfilterung hinzu, arbeitet (auf diesem Gerät) alles wie gewünscht. Nehme ich das Notebook heraus, wird die Richtline nicht angewendet. gpresult meldet als Grund "unbekannte Ursache" und der Gruppenrichtlinenergebnis-Assistent "Zugriff nicht möglich".

Ich habe auch mal die Loopbackverarbeitung vorher aktiviert – aber ebenfalls ohne Erfolg. Wie kann ich denn das skizzierte Ziel am saubersten erreichen? Bin ich auf dem richtigen Weg oder komplett falsch?


Wünsche ein schönes Wochenende.
Mitglied: creyzee
09.07.2010 um 18:32 Uhr
Hallo,

der Ansatz ist schon richtig. Genau dafür brauchst du den Loopbackverarbeitungsmodus. Mache folgendes:
1) erstelle eine GPO "Mail Mobil" und konfiguriere dort in den Computereinstellungen den LBVM und in den BENUTZEREINSTELLUNGEN die notwendigen regedits.
2) Verlinke die GPO auf die OU der Computer
3) erstelle eine neue Sicherheitsgruppe für die Notebooks
4) füge der Sicherheitsfilterung der GPO die Gruppe Notebooks UND die Gruppe der User hinzu

Was passiert?
1) ein Computer wird gestartet
2) ist er in der Gruppe Notebooks, dann wird die GPO angewendet, aber nur der Computerteil! Dort wird dann der LBVM aktiviert
3) ein Benutzer meldet sich an einem Notebook an
4) da der LBVM auf dem Notebook aktiviert ist wird die GPO noch einmal geladen. Wenn nun der User Mitglied der Gruppe Mail ist, dann werden die Benutzer-Einstellungen (!!!) auf den Benutzer angewendet

Viele Grüße vom creyzee
Bitte warten ..
Mitglied: DerWoWusste
09.07.2010 um 22:33 Uhr
Hi.
Sollte einfach lösbar sein. Gib an, welche Regkeys (HKLM oder Userzweige).
Bitte warten ..
Mitglied: milhouse
15.07.2010 um 08:39 Uhr
Es sind Regkeys aus dem Userzweig.

Ich habe es jetzt wie folgt gelöst:

- GPO "Mail mobil" mit Benutzereinstellungen zu den Regkeys angelegt und als Sicherheitsfilterung die Sicherheitsgruppe "Mailnutzer" eintragen. Angewendte habe ich die GPO auf die OU "Notebooks".
- GPO "LBVM" mit Loopbackverarbeitung (Sicherheitsfilterung "Authentifiziert Benutzer"/gab es schon für Windows-Terminalserver) ebenfalls auf die OU "Notebooks" angewendet.

So benötige ich keine neue Sicherheitsgruppe für die Notebooks. Die bereits bestehende OU "Notebooks" und die vorhandene Sicherheitsgruppe "Mailuser" reichen aus.

Viele Grüße
Bitte warten ..
Mitglied: creyzee
15.07.2010 um 09:53 Uhr
Hallo,

das mit der Gruppe Notebooks war ja auch nur ne Variante, wenn du aus anderen Gründen die Computer nicht in Desktops und Notebooks trennen kannst. So gehts natürlich auch.

Viele Grüße vom creyzee
Bitte warten ..
Mitglied: milhouse
22.07.2010 um 12:29 Uhr
Noch eine wieterführende Frage:

Soweit funktioniert alles. Nur werden jetzt durch die Loopbackverarbeitung die Richtlinien, die sich auf den Benutzer beziehen, nicht mehr angewendet.
Ich habe mit dem Modellierungsassistent des GPMCs drei Tests gemacht [ohne LBVM, mit LBVM (ersetzen) und LBMV (zusammenführen)] mit folgenden Ergebnissen:

- ohne LBVM
alle anderen Benutzer-GPOs werden angewendet, "Mail mobil" wird nicht angewendet
- mit LBVM (ersetzen)
"Mail mobil" wird wie gewünscht angewendet, alle anderen vorherigen Benutzer-GPOs werden werder angezeigt noch angewendet
- mit LBVM (zusammenführen)
alles wird angewendet, teilweise (default domain policy) doppelt

Ich verstehe nicht ganz, warum die ursprünglichen Benutzer-GPOs ignoriert werden? Kann mir das jemand erklären. Und ist es der richtige Weg, den LBVM auf "zusammenführen" zu stellen, oder gibt es einen eleganteren Weg?

Ich hoffe es ist einigermaßen verständlich. Vielleicht kann ich noch Screenshots zum besseren Verständnis anfügen.
Bitte warten ..
Mitglied: creyzee
22.07.2010 um 13:05 Uhr
Hallo,

ich arbeite auch mit "zusammenführen", weil ich Konfigurationen nicht doppelt pflegen mag. Schau dir mal folgende Seite an, da stehen einige interessante Hinweise zum LBVM: http://www.gruppenrichtlinien.de/index.html?/Grundlagen/Loopback_Verarb ...

Der Nachteil des Zusammenführens ist halt eine aufwändigere Fehlersuche. Aber da hilft uns zum einen die allseits beliebte aktuelle Dokumentation, eine gute Planung und RSOP

Viele Grüße, creyzee
Bitte warten ..
Mitglied: milhouse
22.07.2010 um 13:20 Uhr
Die Seite habe ich natürlich auch schon durchgelesen. Aber es wird m.E. nicht richtig erklärt, warum die GPOs nicht angewendet werden. Eigentlich wird sogar von der Option zusammenführen abgeraten.
Ich frage mich halt, warum sich bestimmte Richtlinieneinstellungen nicht durchsetzen.
Bitte warten ..
Mitglied: creyzee
22.07.2010 um 13:36 Uhr
Hallo,

liegt es vielleicht an dem: "...Der Loopbackverarbeitungsmodus kennt 2 Konfigurationseinstellungen: Zusammenführen (Merge) und Ersetzen (Replace). Im ersten Fall werden alle vorhandenen Benutzerrichtlinien des Benutzerobjekts mit denen des Computerobjekts zusammengeführt, wobei die Einstellungen aus der Benutzerkonfiguration der Computerrichtlinie, die Einstellungen des Benutzerobjekts überschreiben können, wenn sie sich widersprechen..." ??

Eine andere Einschränkung ist mir nicht bekannt. Wenn du magst, dann kannst mir ja mal die 3 Ergebnisse deiner Tests via PN mailen, dann schau ich es mir mal an.

Bis denne, creyzee
Bitte warten ..
Mitglied: creyzee
22.07.2010 um 15:24 Uhr
Hallo,

ich habe mir die Ergebnisse mal angeschaut und möchte (natürlich anonymisiert) meine Vermutung dazu äußern

Ohne Loopback werden folgende Benutzer-GPOs angewendet:
- Default Domain Policy (DDP)
- Benutzer
- Drucker
- Proxy

Beim replace werden die Benutzer-GPOs natürlich nicht angewendet, weil sie durch die BenutzerMobil ersetzt werden (bis auf die DDP). Das ist ja auch so gewollt beim replace.

Beim merge werden alle wie bei "ohneLoopback" angewendet, aber durch den Loopback passiert ja folgendes:
1) ein Computer wird gestartet
2) ist er in der Gruppe Notebooks, dann wird die GPO angewendet, aber nur der Computerteil! Dort wird dann der LBVM aktiviert
3) ein Benutzer meldet sich an einem Notebook an -> es werden die normalen Benutzer-GPOs des Users geladen (DDP, Benutzer, Drucker, Proxy)
4) da der LBVM auf dem Notebook aktiviert ist wird die Benutzer-GPO noch einmal geladen. Dabei nimmt der Rechner IMMER die DDP nocheinmal mit...

Ich gehe mal von folgendem aus:
- du hast in der DDP Einstellungen konfiguriert, die für alle Rechner gelten (vielleicht sind dort auch Standards gesetzt)
- NACH der DDP wird die Benutzer+Drucker+Proxy abgearbeitet. Dort werden wahrscheinlich etliche Einstellungen der DDP überschrieben
- Durch den Loopback wird dann aber noch einmal die DDP geladen. Und dann werden wahrscheinlich einige deiner Konfigs aus Benutzer+Drucker+Proxy wieder mit Defaults? aus der DDP überschrieben!

Vergleiche mal deine eigenen GPOs für nicht-mobile Anwender mit der Konfiguration der DDP. Überall, wo du Einstellungen in der DDP findest, die konfiguriert sind, werden deine eigenen GPOs wohl nicht funzen.

Erstelle mal für einen User auf einem mobilen PC jeweils ein RSOP einmal mit merge und einmal ohne loopback. Da sieht man schnell die Unterschiede.

Gib dann mal bitte Bescheid,

creyzee
Bitte warten ..
Mitglied: milhouse
22.07.2010 um 15:51 Uhr
Die Einstellungen in der DDP sind überschaubar. Für die Computerkonfiguration nur "Windows-Einstellungen > Sicherheitseinstellungen" und für die Benutzerkonfiguration nur "Windows-Einstellungen > Remoteinstallationsdienste". Die DDP sollte m.E. nichts überschreiben.

In den GPOs "Mail" (von Dir "Benutzer" genannt), "Drucker" und "Proxy" werden immer nur sehr wenige Einstellungen vorgenommen. Die GPOs "Mail" und "Drucker" führen bpsw. je nur ein Skript aus. Die GPO "Proxy" bindet nur eine PAC-Datei ein.
Wenn ich mehrere Logon-Skripte durch unterschiedliche Benutzer-GPOs konfiguriere, müssten doch alle geladen werden?!


Die drei erwähnten Benutzer-GPOs werden ja bei der Option replace gar nicht angezeigt.
Bitte warten ..
Mitglied: creyzee
22.07.2010 um 16:13 Uhr
Zitat von milhouse:
Die drei erwähnten Benutzer-GPOs werden ja bei der Option replace gar nicht angezeigt.

Das ist ja auch der Sinn des Replace.

Also hast du in den GPOs eigentlich nur Logon-Scripte drin? Wie hast du denn die Script-Abarbeitung geregelt? Gleichzeitig oder nacheinander? Vielleicht gibts dabei ja ein Problem...

Hast du mal im Eventlog eines betroffenen Clients geschaut, was der Client mitprotokolliert? Da bin ich auch schon öfter fündig geworden...

creyzee
Bitte warten ..
Mitglied: milhouse
22.07.2010 um 17:02 Uhr
Dann habe ich den entscheidenen Satz wohl zu schnell gelesen: "Im Replace Modus, werden alle Benutzereinstellungen des Benutzerobjekts ignoriert und verworfen und es kommen nur die Einstellungen der Benutzerkonfiguration des Computerobjekts zum Einsatz."

Ich habe jetzt eine neue GPO "LBVM merge" erstellt und diese anstelle des replace-LBVMs auf die Notebooks angewendet. Jetzt funktioniert alles wie gewünscht.

Vielen Dank für die Hilfe!
Bitte warten ..
Mitglied: creyzee
23.07.2010 um 08:02 Uhr
Hallo,

freut mich, dass es jetzt funktioniert. Ich wünsch dir was!

Viele Grüße vom creyzee


PS: markiere bitte dieses Thema als gelöst.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Router & Routing
Transparenter Proxy funktioniert nicht? (1)

Frage von mrserious73 zum Thema Router & Routing ...

Linux
LTSP: PXE Boot funktioniert nicht (23)

Frage von Fenris14 zum Thema Linux ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...