5
Seltsames Guppenrichtlinienverhalten
Hallo!
Brauche eine Lektion in GPO Basiswissen.
Folgende Situation die ich nicht verstehe:
Habe eine GPO (XenApp_IEX10) in einer UO die nur Computerkonten enthält ( all unsere Citrix Server)
In dieser wird die konfiguration für den IEX10 vorgenommen.
Die Policy ist enabled und enforced.
Der Scope liegt auf Authentificated User
Die Benutzer die auf die Citrixserver zugreifen, bekommen Einstellungen für den Internet Explorer 10.
Nun gut, dachte ich mir, da wird es wahrscheinlich noch eine andere GPO geben die eben auf der Benutzer OU sitzt und den Internet Explorer konfiguriert.
Also habe ich den Group Policiy Result Wizard angeworfen.
Und siehe da bei den Applied Policies der Benutzerkonfiguration steht die XenApp_IEX10 GPO dabei.
Mein Verständnis war bisher das eine Richtlinie nur dann angewendet wird,
wenn sich entweder bei einer Computerrichtline ein Computerobjekt in der OU befindet
oder bei einer Benutzerrichtlinie ein Benutzerkonto in der OU ist.
Daher verstehe ich nicht warum die Internet Explorer Einstellung bei mir zieht.
Hoffe dies ist halbwegs verstädlich ausgedrückt. Vllt kann mich jemand belehren.
Brauche eine Lektion in GPO Basiswissen.
Folgende Situation die ich nicht verstehe:
Habe eine GPO (XenApp_IEX10) in einer UO die nur Computerkonten enthält ( all unsere Citrix Server)
In dieser wird die konfiguration für den IEX10 vorgenommen.
Die Policy ist enabled und enforced.
Der Scope liegt auf Authentificated User
Die Benutzer die auf die Citrixserver zugreifen, bekommen Einstellungen für den Internet Explorer 10.
Nun gut, dachte ich mir, da wird es wahrscheinlich noch eine andere GPO geben die eben auf der Benutzer OU sitzt und den Internet Explorer konfiguriert.
Also habe ich den Group Policiy Result Wizard angeworfen.
Und siehe da bei den Applied Policies der Benutzerkonfiguration steht die XenApp_IEX10 GPO dabei.
Mein Verständnis war bisher das eine Richtlinie nur dann angewendet wird,
wenn sich entweder bei einer Computerrichtline ein Computerobjekt in der OU befindet
oder bei einer Benutzerrichtlinie ein Benutzerkonto in der OU ist.
Daher verstehe ich nicht warum die Internet Explorer Einstellung bei mir zieht.
Hoffe dies ist halbwegs verstädlich ausgedrückt. Vllt kann mich jemand belehren.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 245078
Url: https://administrator.de/contentid/245078
Printed on: April 25, 2024 at 05:04 o'clock
5 Comments
Latest comment
Sers,
also wenn das Benutzereinstellungen sind die du vorgenommen hast dann greifen die. Klar. In deinem Fall für alle User die sich auf einem Computer der verlinkten OU anmelden.
Das ist durchaus gewollt so. Wie willst du denn sonst Einstellungen vornehmen die für User nur auf dem RDS greifen sollen? Etwa Applocker Einstellungen, oder zugewiesene Drucker, etc, pp...
Grüße,
Philip
also wenn das Benutzereinstellungen sind die du vorgenommen hast dann greifen die. Klar. In deinem Fall für alle User die sich auf einem Computer der verlinkten OU anmelden.
Das ist durchaus gewollt so. Wie willst du denn sonst Einstellungen vornehmen die für User nur auf dem RDS greifen sollen? Etwa Applocker Einstellungen, oder zugewiesene Drucker, etc, pp...
Grüße,
Philip
Hallo psannz!
Das es funktioniert stelle ich ja auch nicht in Zweifel. Ebensowenig das es Sinn macht.
Es wirderspricht halt MEINEM Wissen über GPO das schlicht besagt:
GPO-Richtlinien ziehen nur für diejenigen Objekte die sich
a.) in der gleichen oder einer darunterliegenden OU befinden (eingeschaltete Verrbung vorausgesetzt) und
b.) der Computerrichtlinienteil zieht nur dann wenn es ein Computerkonto in der OU betrifft.
der Benutzerrichtlinenteil zieht nur dann wenn es ein Benutzerobjekt in der OU betrifft.
also:
anderes Beispiel:
Habe BenutzerOU und ComputerOU und eine GPO Objekt das ich "Laufwerke" nenne.
In der LaufwerkeGPO steht einfach unter Benutzerkonfigurationen drinnen das Laufwerk X auf UNC Pfad Y gemappt wird.
Diese liegen beide in einer FirmaOU.
Wenn ich jetzt bei der ComputerOU (in der sich logischerweise nur Computerkonten befinden) das Laufwerke-GPO eintrage,
dann bekommt keiner meiner Benutzer (die sich alle in der BenutzerOU befinden) das Laufwerk X.
Zumindest der "Result Wizard" meldet unter "Applied User Policy" gar keine Policy und unter "Denied Computer Policy" das das LaufwerkGPO leer oder inaccessible ist (was ja in Ordnung ist da sich ja nur Benutzereinstellungen darin befinden.
Beispiel ENDE
Hoffe mein Verständnissproblem wird so deutlicher.
Das es funktioniert stelle ich ja auch nicht in Zweifel. Ebensowenig das es Sinn macht.
Es wirderspricht halt MEINEM Wissen über GPO das schlicht besagt:
GPO-Richtlinien ziehen nur für diejenigen Objekte die sich
a.) in der gleichen oder einer darunterliegenden OU befinden (eingeschaltete Verrbung vorausgesetzt) und
b.) der Computerrichtlinienteil zieht nur dann wenn es ein Computerkonto in der OU betrifft.
der Benutzerrichtlinenteil zieht nur dann wenn es ein Benutzerobjekt in der OU betrifft.
also:
anderes Beispiel:
Habe BenutzerOU und ComputerOU und eine GPO Objekt das ich "Laufwerke" nenne.
In der LaufwerkeGPO steht einfach unter Benutzerkonfigurationen drinnen das Laufwerk X auf UNC Pfad Y gemappt wird.
Diese liegen beide in einer FirmaOU.
Wenn ich jetzt bei der ComputerOU (in der sich logischerweise nur Computerkonten befinden) das Laufwerke-GPO eintrage,
dann bekommt keiner meiner Benutzer (die sich alle in der BenutzerOU befinden) das Laufwerk X.
Zumindest der "Result Wizard" meldet unter "Applied User Policy" gar keine Policy und unter "Denied Computer Policy" das das LaufwerkGPO leer oder inaccessible ist (was ja in Ordnung ist da sich ja nur Benutzereinstellungen darin befinden.
Beispiel ENDE
Hoffe mein Verständnissproblem wird so deutlicher.
Moin,
Dr. Seltsam und der Loopbackverarbeitungsmodus.
Deutlich genug? ;-p
Dr. Seltsam und der Loopbackverarbeitungsmodus.
Deutlich genug? ;-p
Da war einer schneller
Kleine Leseliste:
MSXFAQ: Loopback und Gruppenrichtlinien
Gruppenrichtlinien.de Loopbackverarbeitungsmodus - Loopback Processing Mode
Argh... Habe es mir durchgelesen. Genau das ist es, danke.
Da die GPO schon länger als ich exisitert, und die EInstellung natürlich nicht in der GPO war um die es ging..... Da hatte ich ja keine Chance.
Vielen herzlichen danke auch dreien, besonders Nr60730
mfg Ametrin
Da die GPO schon länger als ich exisitert, und die EInstellung natürlich nicht in der GPO war um die es ging..... Da hatte ich ja keine Chance.
Vielen herzlichen danke auch dreien, besonders Nr60730
mfg Ametrin
