8
Gruppenrichtlinien - Bildschirmschoner - Unterscheidung zwischen Rechner und Benutzer
Hallo zusammen,
leider komme ich bei einem Problem nicht mehr alleine weiter, daher hoffe ich auf Unterstützung von Euch.
Folgendes Szenario:
- Windows 2003 Server
- Gruppenrichtlinie
Bildschirmschoner soll per folgendermaßen konfiguriert werden:
- Benutzer sollen immer einen Bildschirmschoner aktiv auf "jedem Rechner" haben, bis auf bestimmten 10 Rechnern
- 10 Rechner sollen generell keinen Bildschirmschoner haben, egal welcher User sich anmeldet
- gewisse Benutzer sollen nie einen Bildschirmschoner haben, egal auf welchem Rechner
Vielleicht habt Ihr ja noch einen Tip, ich bin mit meinem Wissen am Ende.
Besten Dank schonmal und viele Grüße
Hellge
- Windows 2003 Server
- Gruppenrichtlinie
Bildschirmschoner soll per folgendermaßen konfiguriert werden:
- Benutzer sollen immer einen Bildschirmschoner aktiv auf "jedem Rechner" haben, bis auf bestimmten 10 Rechnern
- 10 Rechner sollen generell keinen Bildschirmschoner haben, egal welcher User sich anmeldet
- gewisse Benutzer sollen nie einen Bildschirmschoner haben, egal auf welchem Rechner
Vielleicht habt Ihr ja noch einen Tip, ich bin mit meinem Wissen am Ende.
Besten Dank schonmal und viele Grüße
Hellge
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 113337
Url: https://administrator.de/contentid/113337
Printed on: April 16, 2024 at 11:04 o'clock
8 Comments
Latest comment
Erstelle doch eine Gruppe für Benutzer, die immer einen Bildschirmschoner haben sollen.
Die 10 Benutzer, die keinen haben sollen, fügst du nicht der Gruppe hinzu.
In der Gruppenrichtlinien Verwaltungskonsole erstellt du eine Richtlinie, die den Bildschirmschoner deaktiviert.
So kannst du der Gruppe die Berechtigung verweigern, einen Bildschirmschoner zu erstellen oder zu besitzen.
Die 10 Benutzer, die keinen haben sollen, fügst du nicht der Gruppe hinzu.
In der Gruppenrichtlinien Verwaltungskonsole erstellt du eine Richtlinie, die den Bildschirmschoner deaktiviert.
So kannst du der Gruppe die Berechtigung verweigern, einen Bildschirmschoner zu erstellen oder zu besitzen.
Zitat von @ollembyssan:
Erstelle doch eine Gruppe für Benutzer, die immer einen
Bildschirmschoner haben sollen.
Die 10 Benutzer, die keinen haben sollen, fügst du nicht der
Gruppe hinzu.
In der Gruppenrichtlinien Verwaltungskonsole erstellt du eine
Richtlinie, die den Bildschirmschoner deaktiviert.
So kannst du der Gruppe die Berechtigung verweigern, einen
Bildschirmschoner zu erstellen oder zu besitzen.
Erstelle doch eine Gruppe für Benutzer, die immer einen
Bildschirmschoner haben sollen.
Die 10 Benutzer, die keinen haben sollen, fügst du nicht der
Gruppe hinzu.
In der Gruppenrichtlinien Verwaltungskonsole erstellt du eine
Richtlinie, die den Bildschirmschoner deaktiviert.
So kannst du der Gruppe die Berechtigung verweigern, einen
Bildschirmschoner zu erstellen oder zu besitzen.
Hallo ollembyssan,
damit ist aber leider nur die Hälfte gelöst, denn die Benutzer die den Bildschirmschoner per Gruppe bekommen, haben diesen auch ungewollter Weise auf den 10 ausnahme Rechnern, oder täusche ich mich hier?
Beste Grüße
Hellge
Huhu Hellge 
Die Berechtigung wird dem Benutzer zugewießen, nicht dem Client !
Du kannst Benutzern Bildschirmschoner zuweißen (Gruppen), oder auch nicht, allerdings nicht explizit den Clients.
Sagen wir mal du hast 50 Benutzer, die in der OU "Benutzer" existieren.
Davon willst du 10 Benutzern den Zugriff auf den Bildschirmschonern verweigern und deaktivieren, welche sich in der (lokalen) erstellten Gruppe "L_Bildschirmschoner" befinden.
Diesen Benutzern wird der Zugriff auf den Bildschirmschoner an jedem Client verweigert und deaktiviert, egal an welchem Client die Anmeldung stattfindet !
Die Berechtigung wird dem Benutzer zugewießen, nicht dem Client !
Du kannst Benutzern Bildschirmschoner zuweißen (Gruppen), oder auch nicht, allerdings nicht explizit den Clients.
Sagen wir mal du hast 50 Benutzer, die in der OU "Benutzer" existieren.
Davon willst du 10 Benutzern den Zugriff auf den Bildschirmschonern verweigern und deaktivieren, welche sich in der (lokalen) erstellten Gruppe "L_Bildschirmschoner" befinden.
Diesen Benutzern wird der Zugriff auf den Bildschirmschoner an jedem Client verweigert und deaktiviert, egal an welchem Client die Anmeldung stattfindet !
Ich glaube, Ihr versteht sein Problem nicht. Was Du brauchst ist dies: http://support.microsoft.com/kb/231287/de
Loopbackverarbeitung. Zitat:
Loopbackverarbeitung. Zitat:
Gruppenrichtlinien gelten für Benutzer und Computer abhängig davon, wo sich Benutzer- und Computerobjekte im Active Directory befinden. In manchen Fällen kann es nötig sein, auf Benutzer Richtlinien anzuwenden, die ausschließlich auf dem Ort des Computerobjekts basieren. Mithilfe der Gruppenrichtlinien-Loopbackfunktion können Sie Gruppenrichtlinienobjekte (Group Policy Objects, GPOs) anwenden, die sich nur danach richten, an welchem Computer sich ein Benutzer anmeldet.
Hi DerWoWusste,
genau daran habe ich mich auch schon probiert.
Ist es nicht bei der GP so, das der Bildschirmschoner Bestandteil der Benutzereinstellungen ist, und nicht im Computerpolicybereich verwendung findet. Und somit leider dann auch nicht angewendet wird?
Sprich:
- Computerbezogene Policyeinstellungen (oberer Teil in der gpmc)
Folgendes Szenario habe ich bereits durchgetestet:
Reihenfolge in der GPMC zum ausführen:
1. gpo1 (Bildschirmschoner an)
2. gpo2 (Bildschirmschoner aus)
Was mache ich falsch?
Beste Grüße
Hellge
genau daran habe ich mich auch schon probiert.
Ist es nicht bei der GP so, das der Bildschirmschoner Bestandteil der Benutzereinstellungen ist, und nicht im Computerpolicybereich verwendung findet. Und somit leider dann auch nicht angewendet wird?
Sprich:
- Computerbezogene Policyeinstellungen (oberer Teil in der gpmc)
- wird nur auf den Rechnerkonto angewendet
- wird nur auf dem Benutzerkonto angewendet
Folgendes Szenario habe ich bereits durchgetestet:
Reihenfolge in der GPMC zum ausführen:
1. gpo1 (Bildschirmschoner an)
- Angewendet auf die komplette Domain
- ohne loopback
- Sicherheitsfilterung auf Benutzerkonten der Domain hinterlegt / Authentifizierte Benutzer entfernt
2. gpo2 (Bildschirmschoner aus)
- Angewendet auf die komplette Domain
- mit loopback / Ersetzen Modus
- Sicherheitsfilterung auf Computerkonten der Domain hinterlegt / Authentifizierte Benutzer entfernt und eine Gruppe aus der Domain mit den Usern die keinen BS haben sollen hinzugefügt
Was mache ich falsch?
Beste Grüße
Hellge
Zitat von @DerWoWusste:
Ich glaube, Ihr versteht sein Problem nicht. Was Du brauchst ist dies:
http://support.microsoft.com/kb/231287/de
Loopbackverarbeitung. Zitat:
> Gruppenrichtlinien gelten für Benutzer und Computer
abhängig davon, wo sich Benutzer- und Computerobjekte im Active
Directory befinden. In manchen Fällen kann es nötig sein,
auf Benutzer Richtlinien anzuwenden, die ausschließlich auf dem
Ort des Computerobjekts basieren. Mithilfe der
Gruppenrichtlinien-Loopbackfunktion können Sie
Gruppenrichtlinienobjekte (Group Policy Objects, GPOs) anwenden, die
sich nur danach richten, an welchem Computer sich ein Benutzer
anmeldet.
Ich glaube, Ihr versteht sein Problem nicht. Was Du brauchst ist dies:
http://support.microsoft.com/kb/231287/de
Loopbackverarbeitung. Zitat:
> Gruppenrichtlinien gelten für Benutzer und Computer
abhängig davon, wo sich Benutzer- und Computerobjekte im Active
Directory befinden. In manchen Fällen kann es nötig sein,
auf Benutzer Richtlinien anzuwenden, die ausschließlich auf dem
Ort des Computerobjekts basieren. Mithilfe der
Gruppenrichtlinien-Loopbackfunktion können Sie
Gruppenrichtlinienobjekte (Group Policy Objects, GPOs) anwenden, die
sich nur danach richten, an welchem Computer sich ein Benutzer
anmeldet.
Moin Moin
So wie ich das sehe:
muß in diese Gruppe auch jeder PC auf dem diese GPO angewendet werden soll.
Hier ist noch dazu ein gutes HowTo.
Gruß L.
So wie ich das sehe:
2. gpo2 (Bildschirmschoner aus)
Sicherheitsfilterung auf Computerkonten der Domain hinterlegt / Authentifizierte Benutzer entfernt und eine Gruppe aus der Domain mit den Usern die keinen BS haben sollen hinzugefügt
Sicherheitsfilterung auf Computerkonten der Domain hinterlegt / Authentifizierte Benutzer entfernt und eine Gruppe aus der Domain mit den Usern die keinen BS haben sollen hinzugefügt
muß in diese Gruppe auch jeder PC auf dem diese GPO angewendet werden soll.
Hier ist noch dazu ein gutes HowTo.
Gruß L.
Moin,
Du hast vollkommen Recht, so kommst Du nicht weiter. Zitat des englischen Artikels:
Da in der Computerrichtlinie kein BS zu setzen ist, geht das also nicht.
Umweg: Nutze WMI-Filterung oder (einfacher) Goup policy preferences und verteile die Einstellungen als Registryeinträge mit der Filterung, dass sie nur an bestimmten Rechnern angewendet bzw. nicht angewendet werden. Wir machen genau dies, um unterschiedliche Bildschirmschoner an unserern Präsentationsrechnern einzusetzen, ich kann also bestätigen, dass es geht.
Wenn Du GPPs nicht kennst: Du brauchst Clients winxp oder höher, bei 2000 geht das nicht, hier ginge dann das große Skriptgebastel los
- zusätzlich muss die GPP CSE (googeln) installiert werden. Bei Fragen: nur zu, ich komme aber erst spät am Abend wieder dazu.
Du hast vollkommen Recht, so kommst Du nicht weiter. Zitat des englischen Artikels:
This policy directs the system to apply the set of GPOs for the computer to any user who logs on to a computer affected by this policy
(auf deutsch mal wieder oberschlampig übersetzt und missverständlich)Da in der Computerrichtlinie kein BS zu setzen ist, geht das also nicht.
Umweg: Nutze WMI-Filterung oder (einfacher) Goup policy preferences und verteile die Einstellungen als Registryeinträge mit der Filterung, dass sie nur an bestimmten Rechnern angewendet bzw. nicht angewendet werden. Wir machen genau dies, um unterschiedliche Bildschirmschoner an unserern Präsentationsrechnern einzusetzen, ich kann also bestätigen, dass es geht.
Wenn Du GPPs nicht kennst: Du brauchst Clients winxp oder höher, bei 2000 geht das nicht, hier ginge dann das große Skriptgebastel los
- zusätzlich muss die GPP CSE (googeln) installiert werden. Bei Fragen: nur zu, ich komme aber erst spät am Abend wieder dazu.
Moin Moin,
leider kenn ich mich so mal garnicht mit der wmi-filterung aus.
Ich habe es jetzt anders gemacht, und zwar per logonscript eingebunden:
bssaus.reg :
bssein.reg
logon_bss.cmd
So Funktioniert es super.
Besten Dank für die Anregungen und die aufgebracht Zeit
Viele Grüße
Hellge
leider kenn ich mich so mal garnicht mit der wmi-filterung aus.
Ich habe es jetzt anders gemacht, und zwar per logonscript eingebunden:
bssaus.reg :
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Control Panel\Desktop]
"ScreenSaverIsSecure"="0"
"ScreenSaveTimeOut"="600"
"ScreenSaveActive"="0"
"SCRNSAVE.EXE"=- bssein.reg
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Control Panel\Desktop]
"ScreenSaverIsSecure"="1"
"ScreenSaveTimeOut"="600"
"ScreenSaveActive"="1"
"SCRNSAVE.EXE"="C:\\WINDOWS\\system32\\logon.scr" logon_bss.cmd
@echo off
%SYSTEMROOT%\SYSTEM32\dsquery computer -name %computername% | %SYSTEMROOT%\SYSTEM32\dsget computer -memberof | %SYSTEMROOT%\SYSTEM32\FIND "CN=bss_aus,OU=Gruppen,DC=DC,DC=de">NUL
if %ERRORLEVEL% EQU 0 (
%SYSTEMROOT%\regedit.exe /s \\SERVER\NETLOGON\bssaus.reg
goto ENDE)
%SYSTEMROOT%\SYSTEM32\dsquery user -samid %username% | %SYSTEMROOT%\SYSTEM32\dsget user -memberof | %SYSTEMROOT%\SYSTEM32\FIND "CN=bss_aus,OU=Gruppen,DC=DC,DC=de">NUL
if %ERRORLEVEL% EQU 0 (
%SYSTEMROOT%\regedit.exe /s \\SERVER\NETLOGON\bssaus.reg
goto ENDE)
%SYSTEMROOT%\regedit.exe /s \\SERVER\NETLOGON\bssein.reg
:ENDESo Funktioniert es super.
Besten Dank für die Anregungen und die aufgebracht Zeit
Viele Grüße
Hellge