uselessuser
Goto Top

Zwei Fragen zu den Gruppenrichtlinien

Hallo Leute,

ich beschäftige mich seit kurzem zur Auffrischung mit den Gruppenrichtlinien auf einem Testsystem WinServer 2012 R2 und Win7-Clients.

Dazu hätte ich zwei Fragen:

1. GPOs können über lokale, Standort-, Domänen- und OU-Richtlinien angewendet werden, das ist mir klar. Aber wenn ich jetzt eine Sicherheitsgruppen in eine OU schiebe, wirken sich die GPOs dieser OU nicht auf die Sicherheitsgruppen-Mitglieder aus, ist das richtig? Bei mir hat es jedenfalls nicht funktioniert.

2. Ich dachte, eine GPO-Computerrichtlinie könne mit GPO-Benutzerrichtlinien kombiniert werden, ging bei mir aber nicht. Habe eine OU mit einem Benutzer erstellt, auf den eine Benutzer-GPO angewendet wird. Dann habe ich einen Computer in eine OU verschoben, auf den eine Computer-GPO (Audiorecorder deaktivieren) laut Gruppenrichtlinienmodellierung auch angewendet wird.
Melde ich nun diesen Benutzer auf diesem Computer an, kann er trotzdem den Audiorecorder benutzen, er zieht sich halt nur die Benutzer-GPO. Sehe ich das richtig?

Danke, UselessUser

Content-Key: 306662

Url: https://administrator.de/contentid/306662

Ausgedruckt am: 19.03.2024 um 11:03 Uhr

Mitglied: DerWoWusste
DerWoWusste 09.06.2016 um 13:52:30 Uhr
Goto Top
Hi.

1 richtig, GPOs wirken nicht auf Gruppen. Wohl aber kann man Gruppen zur Sicherheitsfilterung nutzen, also in den Eigenschaften der GPO unter Sicherheit eintragen, wer diese GPO anwenden soll und wer nicht. Damit erreicht man Dein Ziel.
2 stelle mit
gpresult /h %temp%\results.html /f & %temp%\results.html
fest, ob die Einstellung schon wirkt - wenn nicht, führe von einer elevated shell
gpupdate /force
aus und versuche es erneut.
Mitglied: Winary
Winary 09.06.2016 um 13:54:00 Uhr
Goto Top
Zitat von @UselessUser:
Aber wenn ich jetzt eine Sicherheitsgruppen in eine OU schiebe, wirken sich die GPOs dieser OU nicht auf die Sicherheitsgruppen-Mitglieder aus, ist das richtig?

Es gibt zwei Voraussetzungen. Das Objekt, auf das die GPO angewendet werden soll muss in der OU sein, mit der die GPO auch verknüpft ist. Zudem muss das Objekt auch die Rechte Lesen und Gruppenrichtlinie übernehmen besitzen, direkt oder indirekt durch Gruppenmitgliedschaften.

Ich dachte, eine GPO-Computerrichtlinie könne mit GPO-Benutzerrichtlinien kombiniert werden, ging bei mir aber nicht.

Geht schon wenn Computer- und User-Ojekt, die zwei oben genannten Voraussetzungen erfüllen.

Habe eine OU mit einem Benutzer erstellt, auf den eine Benutzer-GPO angewendet wird. Dann habe ich einen Computer in eine OU verschoben, auf den eine Computer-GPO (Audiorecorder deaktivieren) laut Gruppenrichtlinienmodellierung auch angewendet wird.

Hast du in der GPO-Modellierung auch den User explizit mit dem Computer ausgewählt? Gewisse Konstellationen mit OUs und Objekten funktionieren nur wenn der Loopbackverarbeitungsmodus (eine Gruppenrichtlinie) aktiv ist.

Melde ich nun diesen Benutzer auf diesem Computer an, kann er trotzdem den Audiorecorder benutzen, er zieht sich halt nur die Benutzer-GPO. Sehe ich das richtig?

Entweder Rechteproblem, Konstellation haut nicht hin oder Loopbackverarbeitungsmodus notwendig.

Grüße Winary
Mitglied: UselessUser
UselessUser 09.06.2016 um 14:12:23 Uhr
Goto Top
Hallo DerWoWusste und Winary,

danke für die superschnellen Antworten!!

Ich werde zu beiden Fragestellungen anhand eurer Antworten versuchen, das Ziel zu erreichen, gebe euch auf jeden Fall eine Rückmeldung. Jetzt muss ich erst einmal weg.

Grüße, UselessUser
Mitglied: UselessUser
UselessUser 18.06.2016 um 20:21:56 Uhr
Goto Top
So, ich bin heute erst dazu gekommen, hier weiterzumachen und hatte ja eine Rückmeldung versprochen.

Die kann ich erst einmal zu meiner 1. Frage geben:
Nachdem alles nichts fruchtete - ich habe zumindest gpresult und rsop.msc gründlicher kennengelernt -, habe ich mich auf einem Client als Administrator eingeloggt und es mit den lokalen Computerrichtlinien versucht. Siehe da, es funktionierte hier auch nicht richtig! Erst nach einigen Neustarts und dann ließ es sich nicht mehr zurückstellen usw.
Es liegt vermutlich an den Windows 7-Client-Installationen. Beide sind vom gleichen Image in Virtualbox installiert worden, vielleicht hat es auch etwas mit der VM zu tun.
Eine Gegenprobe mit den lokalen Richtlinien auf zwei anderen beliebigen (nicht virtuellen) Windows 7-Rechnern brachte sofort das korrekte Blockieren und Freigeben des Audiorecorders.

Werde bei Gelegenheit einmal testen, ob das vielleicht mit Virtualbox zusammenhängt, kann ich mir aber eigentlich nicht vorstellen.

Zu meiner 2. Frage melde ich mich vielleicht noch einmal,
UselessUser
Mitglied: UselessUser
UselessUser 24.07.2016 um 13:23:44 Uhr
Goto Top
Hallo Leute,

ich melde mich noch einmal, wenn auch ein bisschen spät face-wink

1. ein Problem war ein fehlerhafter DNS-Eintrag bei einem Client
2. wie schon beschrieben, gibt es mit der Audiorecorder-Richtlinie in meiner Konstellation Probleme, aber mit den anderen Richtlinien funktioniert es nun mit dem Loopback-Verarbeitungsmodus
3. habe mir die Sicherheitsfilterung angesehen: ist ein Hilfsmittel, allerdings müssen alle einzelnen Mitglieder einer Sicherheitsgruppe ja trotzdem in einer OU versammelt sein, damit die GPO greifen kann, weil die GPO auf die Sicherheitsgruppe selbst ja nicht verlinkt wirkt. So zeigt es auch keine Wirkung, wenn ich eine solche Gruppe in eine OU verschiebe

Ich bedanke mich nochmals und werde weiterpfriemeln.
UselessUser