44838
Dec 21, 2010
4121
6
0
Sicherheitsfilterung bei Gruppenrichtlinien
Hi zusammen
Ich möchte eine Gruppenrichtlinie erstellen, die für alle Authentifizierten Benutzer gilt, mit Ausnahme einer Gruppe. Ich habe gedacht, dass man unter Delegierung die Ausnahme eintragen kann (Gruppe hinzufügen und in den Rechten den Punkt "Gruppenrichtlinie übernehmen" auf "verweigern" setzen). Leider wird diese Einstellung ignoriert und die Richtlinie wird trotzdem übernommen.
Wie ist das korrekte Vorgehen, um für eine Gruppenrichtlinie eine Ausnahme zu definieren. Wenn dies nur per WMI-Filter geht, wäre ich um ein Beispiel dankbar.
Besten Dank für eure Tipps und viele Grüsse
Ich möchte eine Gruppenrichtlinie erstellen, die für alle Authentifizierten Benutzer gilt, mit Ausnahme einer Gruppe. Ich habe gedacht, dass man unter Delegierung die Ausnahme eintragen kann (Gruppe hinzufügen und in den Rechten den Punkt "Gruppenrichtlinie übernehmen" auf "verweigern" setzen). Leider wird diese Einstellung ignoriert und die Richtlinie wird trotzdem übernommen.
Wie ist das korrekte Vorgehen, um für eine Gruppenrichtlinie eine Ausnahme zu definieren. Wenn dies nur per WMI-Filter geht, wäre ich um ein Beispiel dankbar.
Besten Dank für eure Tipps und viele Grüsse
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 157371
Url: https://administrator.de/contentid/157371
Printed on: April 23, 2024 at 10:04 o'clock
6 Comments
Latest comment
Moin Moin
Ein Vorweg:
Mit dem "Verweigern" Kram kommt man erst, dann wenn es nicht mehr anders geht. Als allerletztes Mittel.
Um welche Einstellung geht es genau? Benutzer- oder Computerkonfiguration?
Hast du gpupdate /force am client ausgeführt?
Gruß L.
Ein Vorweg:
Mit dem "Verweigern" Kram kommt man erst, dann wenn es nicht mehr anders geht. Als allerletztes Mittel.
Leider wird diese Einstellung ignoriert und die Richtlinie wird trotzdem übernommen.
Woher weist du das die Richtlinie nicht angewendet wurde? Hast Du ein Richtlinienergebniss eingeholt?Um welche Einstellung geht es genau? Benutzer- oder Computerkonfiguration?
Hast du gpupdate /force am client ausgeführt?
Gruß L.
Hallo
Es geht jeweils um eine Computerkonfiguration.
a) Einmal sollen jeweils die Energieoptionen angepasst werden (jedoch gibt es Rechner die immer laufen müssen, sprich davon ausgenommen sein sollen)
b) Unter Windows 7 sollen UAC Meldungen bei den normalen Benutzern nicht erscheinen (Für mein Konto jedoch schon) : Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Standardbenutzer: automatisch ablehnen
Wenn ich als Ziel "Authentifizerte Benutzer" anwähle und dann eine Ausnahme definiere, wird die Ausname ignoriert. Jeweils getestet durch an/abmelden bzw neustart
Gruss
Yalandor
Es geht jeweils um eine Computerkonfiguration.
a) Einmal sollen jeweils die Energieoptionen angepasst werden (jedoch gibt es Rechner die immer laufen müssen, sprich davon ausgenommen sein sollen)
b) Unter Windows 7 sollen UAC Meldungen bei den normalen Benutzern nicht erscheinen (Für mein Konto jedoch schon) : Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Standardbenutzer: automatisch ablehnen
Wenn ich als Ziel "Authentifizerte Benutzer" anwähle und dann eine Ausnahme definiere, wird die Ausname ignoriert. Jeweils getestet durch an/abmelden bzw neustart
Gruss
Yalandor
Abend Yalandor,
vielleicht könntest du mal deine OUs überarbeiten damit du die entsprechenden Objekte dann aus der GPO "filterst". Und Prophylaktisch: nie vergessen in der Default-Policy nie mehr ändern als nötig.
Gruß
Mad-Eye
vielleicht könntest du mal deine OUs überarbeiten damit du die entsprechenden Objekte dann aus der GPO "filterst". Und Prophylaktisch: nie vergessen in der Default-Policy nie mehr ändern als nötig.
Gruß
Mad-Eye
Morgen
Ja auf diesen Punkt bin ich gestern beim lesen der Dokumenation dann auch gekommen. Dies werde ich baldmöglichst (nächstes Jahr) in Angriff nehmen.
Aber es erstaunt mich trotzdem, dass ein "Gruppenrichtlinie übernehmen" auf "verweigern" ignoriert wird, wenn der Benutzer durch eine andere Gruppe betroffen ist. Für was wäre diese Option überhaupt gedacht?
mfg
Yalandor
Ja auf diesen Punkt bin ich gestern beim lesen der Dokumenation dann auch gekommen. Dies werde ich baldmöglichst (nächstes Jahr) in Angriff nehmen.
Aber es erstaunt mich trotzdem, dass ein "Gruppenrichtlinie übernehmen" auf "verweigern" ignoriert wird, wenn der Benutzer durch eine andere Gruppe betroffen ist. Für was wäre diese Option überhaupt gedacht?
mfg
Yalandor
Moin Moin
Ich denke das Problem ist folgendes:
Wenn du eine Gruppe von Benutzern angelegt hast und für diese die Übernahme der eine GPO mit Computereinstellungen verweigerst, passiert nichts.
Du müstest Computerkonten in diese Gruppe packen.
Gruß L.
Ich denke das Problem ist folgendes:
... wenn der Benutzer durch eine andere Gruppe betroffen ist.
Der Punkt ist das Computereinstellungen nie auf Benutzerobjekte angewendet bzw. auch nicht verweigert werden.Wenn du eine Gruppe von Benutzern angelegt hast und für diese die Übernahme der eine GPO mit Computereinstellungen verweigerst, passiert nichts.
Du müstest Computerkonten in diese Gruppe packen.
Gruß L.
Danke, nun habe ichs begriffen. Danke euch beiden für die Tipps.
Gruss
Yalandor
Gruss
Yalandor
