131455
Goto Top

Gruppenrichtlinie "Store" für Geschäftleitungsmitglieder zieht nicht. Obwohl verlinkt

Hallo Zusammen,

ich habe eine Policy erstellt für Geschäftsleitungsmitglieder. Nur bei denen soll "Store" von Microsoft erlaubt sein. Diese Policy habe ich auf Computerelemente und Userobjecte verlinkt.
Loggt man nun ein, dann erscheint immer Security Filtering "Denied" . Das Setting ist ein Computerobject. Berechtigt ewrden aber die User bei "authenticated Users"
Würde ich zusätzlich den Laptopname mit eintragen , dann geht es. Es soll aber unabhängig von jeder Hardware bei den GL Mitgliedern gehen. Also habe ich kein Computerobject bei Authenticated Users eingetragen und einen "Loopback" Merge eingerichtet. Auch das hilft nicht weiter.
Was könnte man machen ?

Gruss
Rainer

Content-Key: 327964

Url: https://administrator.de/contentid/327964

Ausgedruckt am: 28.03.2024 um 18:03 Uhr

Mitglied: chgorges
chgorges 30.01.2017 aktualisiert um 15:20:38 Uhr
Goto Top
Plus und Minus ist immer noch Minus, wenn im Baum weiter oben der Store verboten wird, kannst du es unten erlauben, wie du willst. Mehr, als die Vererbung von oben aufzubrechen und der OU Geschäftsleitung alles händisch zuzuweisen, wird dir nicht übrig sein.

Btw. Ist "Authenticated Users" eine Ebene über Benutzer und Computer und steht für beides. Lege alternativ eine OU an, wo alle Geräte der Geschäftsleitung enthalten sind und verlinke diese.
Mitglied: Looser27
Looser27 30.01.2017 um 15:40:53 Uhr
Goto Top
Welche Windows 10 Edition wird eingesetzt?
Nicht alle GPOs funktionieren in der Pro.

Gruß

Looser
Mitglied: 131455
131455 30.01.2017 um 15:55:56 Uhr
Goto Top
Hallo,

die GPO hat Prio1 . Trage ich "Authenticated Users" ein, dann funktioniert es und man sieht diese als Winning GPO.
Sobald aber ein User oder Gruppe eingetragen wird geht es wie oben beschrieben nicht.

Gruss
Rainer
Mitglied: 131455
131455 30.01.2017 um 15:56:19 Uhr
Goto Top
Hallo,

es ist die Enterprise Version.

Gruss
Rainer
Mitglied: Chonta
Chonta 30.01.2017 um 16:33:44 Uhr
Goto Top
Hallo,
trage ich "Authenticated Users" ein, dann funktioniert es
vergessen, dass die GPO im Computermodus laufen und die Computerkonten Lesezugriff auf die GPOs brauchen, damit diese überhaupt abearbeitet werden?
Bei Autehticated Users sind die Computer mit dabei, wenn man auf Gruppen filtert muss den Computerkonten in der erweiterten Ansicht das Leserecht gegeben werden.

Gruß

Chonta
Mitglied: 131455
131455 30.01.2017 aktualisiert um 16:39:13 Uhr
Goto Top
Hallo Chonta,

wie mache ich das ? Trage ich Computer bei Delegation ein ? Wo finde ich diese erweiterte Ansicht ?

Gruss
Rainer
Mitglied: Chonta
Chonta 30.01.2017 um 16:46:11 Uhr
Goto Top
Delegierung > unten Erweitert und dann in der ACL die Domänen-Computer hinzufügen und dafür sorgen, das diese nur lesen können.
Die GPO bleibt natürlich auf der OU mit den Benutzern verlinkt.!

Gruß

Chonta
Mitglied: 131455
131455 30.01.2017 um 17:13:20 Uhr
Goto Top
Hallo,

Ok danke. Da hatte ich mal Autheticated user beim testen eingetragen. Nun habe ich eine kleine Anzahl gl Kisten. Gibt es einen Eintrag wie Domaenenuser fuer Alle User, auch einen Eintrag fuer Alle Computer ? Oder muss ich nun wirklich jeden Computer einzeln eintragen ?

Gruss
Rainer
Mitglied: Chonta
Chonta 30.01.2017 um 17:23:15 Uhr
Goto Top
Du gibst entweder der Gruppe Domänen-Computer oder Authenticated User einfach Leserechte und fertig.
Damit die GPU angwendet wird muss neben lesen auch übernehmen aktiviert sein.
Und wie gesagt in der ACL unter erweitert bei der Delegierung muss das gemacht werden.
Am Filtern nach Gruppen hat sich nichts geändert, aber seid Sommer 2016 werden GPO im Kontext des Computerkontos ausgeführt (jede GPO), und damit die Einstellungen gesetzt werden können müssen die Computer die GPO lesen können.
Für wen die GPO dan wirken und nicht, hat sich nicht geändert (Filtern nach Gruppen, Computer GPO, Benutzer GPO und immer auf Objeckte der OU wo die GPO verlinkt ist, alles immer noch das selbe)

Gruß

Chonta
Mitglied: 131455
131455 30.01.2017 um 17:31:15 Uhr
Goto Top
Ok cool. Teste das morgen gleich . Authenticated war eingetragen mit Read bei Delegation. Ist Computerkonto nicht standardmaessig da ?
Bin nun nicht mehr Office.
Was meinsz du mit uebernehmen ? Wenn ich es auswaehle. Muss ich ja bei Read mit ok bestaetigen das es bei Delegation steht.

Gruss
Rainer
Mitglied: 131455
131455 31.01.2017 um 13:44:57 Uhr
Goto Top
Hallo,

ich habe Computerkonten bei Delegated eingetragen , es geht aber nicht. Gehe ich über Advanced und füge ich es hinzu.
Drücke ich dann bei
gpo-apply
Apply Group Policy, dann trägt sich das bei "Scope" auch mit ein.
Und somit filtert es nicht nach USer.

Gruss
Rainer
Mitglied: Chonta
Chonta 31.01.2017 um 14:00:04 Uhr
Goto Top
Aply bedeutet ja auch Anwenden und nicht nur lesen. Wenn Du der Gruppe Autenticatet User Aplay gibst, dann wenden die auch alles an.

1. Gruppenrichtlinieneditor auf machen
2. Die GPO anklicken
3. Vergewissen das in der Sicherheitsfilterung nur die Gruppen drin sind auf dieman das Teil anwenden will.
4. Oben auf Delegierung klicken
5. unten Rechts auf Erweitert Dann öffnet sich eine ACL.
6. Bei Gruppen-oder Benutzernamen auf Hinzufügen klicken,
7. Die Gruppe der Domänencomputer oder autenticatet user hinzufügen.
8. Verwewissend das die eben hinzugefügte Gruppe NUR LESEN bei Zulassen hat und nix weiter.
9. Auf OK bestätigen und dann fertig
Die ACL die Du gepostet hast hat mal 1000000 mehr als die ACL die ich habe, keine ahnung von wo Du das Teil öffnest.
Apply to und das ganze gedöns habe ich nicht.
Ich arbeite von einem Windows 10 1511 mit RSAT auf einem Server 2012R2

Gruß

Chonta