Jump to content

AD Gruppenrichtlinien auf interne Clients


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich möchte gerne, dass meine internen Clients die in der Domäne entsprechend geltenden Gruppenrichtlinien übernehmen. Es handelt sich um einen W2kDC und in erster Linie um XP und auch Vista Clients

 

Leider scheinen die was dagegen zu haben :mad:

 

Was bisher geschah:

 

ich habe eine neue OU clients_int angelegt und darin eine neue Gruppenrichtlinie verknüpft. Die fraglichen Clients habe ich in die OU verschoben.

 

In den Sicherheitseinstellungen der Richtlinie habe ich die Benutzer der Clients mit lesen und ünernehmen angelegt Auch einen Testclient habe ich hier so eingestellt.

 

Administratoren und System können lesen/schreiben/erstellen /löschen und admins verweigern übernehmen.

 

Unter Benutzerkonfiuration/administr.Vorlg./Winkomp./Winexpl. habe ich jetzt den Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen in der Richtlinie aktiviert.

 

Die Clients machen mir ne lange Nase. Gpupdate /force änderrt auch nichts daran.

 

Eigentlich habe alles so eingestellt wie bei der Konfiguration den TS, also was die Sicherheitseinstellungen angeht.

 

Wo ist der Fehler ?

 

THX

 

Cebo

Link zu diesem Kommentar

Hallo Cebo

 

Ich gehe mal davon aus, dass der DNS Server stimmt (sonst hättest Du bei dem Logon sceclient errors). Was gibt gpresult aus ? Ist die GPO aufgelistet ?

 

Administratoren und System können lesen/schreiben/erstellen /löschen und admins verweigern übernehmen.

 

Unter Benutzerkonfiuration/administr.Vorlg./Winkomp./Winexpl. habe ich jetzt den Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen in der Richtlinie aktiviert.

 

Sorry ich komme da nit ganz mit ... sind das die permissions wer die GPO erhalten soll ?

 

Gruss,

 

Matthias

Link zu diesem Kommentar

Hi Matthias,

 

ja, der DNS server funzt schon. Laut gpresult ist die Default Domain Policy angewendetes Gruppenrichtlinienobjekt

 

Dann steht da noch: "Folgendes herausgefillterte Gruppenrichtlinien werden nicht angewendet. Richtlinien der lokalen Gruppe Filterung: nicht angewendet (leer)"

 

...

 

Das sind die Einträge in den Sicherheitseinstellungen der Richtlinie.

 

Wir haben diese Einstellungen für die OU WTS verwendet und das klappt gut.

 

Für Administratoren und System ist lesen/schreiben/erstellen /löschen zugelassen. Administratoren wird ausserdem das Übernehmen der Richtlinie verweigert.

 

Für Benutzer ist lesen und ünernehmen zugelassen Auch für einen Testclient ist lesen und ünernehmen zugelassen.

 

THX und Grüsse

 

Cebo

Link zu diesem Kommentar
Was meinst Du mit Clients ? Computerkonten ? Wenn dort tatsächlich Computerkonten in der OU sind und Du in der Benutzerkonfiguration konfigurierst, wundert es mich nicht, dass nichts angewendet wird. Beim Terminalserver klappt es, weil sehr wahrscheinlich Loopbackverarbeitung konfiguriert wurde ...

 

Hi IThome,

 

yes, ich habe die Computerkonten in die neue OU verschoben, genauso wie wir es mit dem TS gemacht haben. Eigentlich habe ich die komplette ou so konfiguriert wie die für den TS, also vor allem auch die Sicherheitseinstellungen, nur ohne loopback . kann man in dem Fall nur die Computerkonfiguration der Richtlinie nutzen ?

 

Wenn ich jetzt in der Richtlinie auch die Loopback aktiviere , wird das klappen?

 

Wenn ichs ohne Loopback mache, muss ich die Computerkonten wieder nach "computers" verschieben ? Wie ordne ich denn dann den Computern die Richtlinie zu ?

 

Grüsse

 

Cebo

Link zu diesem Kommentar

Wenn Du die Richtlinie auf Benutzer anwenden willst, müssen Benutzerkonten in die OU. Das würde dann für jedes dieser Benutzerkonten egal auf welchem Rechner gelten. In der Sicherheitsfilterung des GPOs kannst Du aber die Administratoren ausgrenzen. Wenn Du die Loopbackverarbeitung einschaltest (auf Ersetzen oder Zusammenführen) und zusätzlich Benutzerkonfigurationen in diesem GPO einstellst, dann gilt es für die Benutzer, denen in der Sicherheitsfilterung Lesen und Gruppenrichtlinie übernehmen zugelassen wird und nur auf den Rechnern, die sich in der OU befinden. Melden diese User sich an anderen Rechnern an, gilt diese Richtlinie nicht. Bei der Loopbackverarbeitung werden Gruppenrichtlinien für Benutzer auch angewendet, wenn sich kein Benutzerkonto in der Reichweite der Richtlinie befindet. Es gilt also für die Benutzer, die sich an diesem Rechner anmelden. Du musst in der Sicherheitsfilterung aber auch die Computerkonten berücksichtigen, da sie den Computerkonfigurationsteil lesen müssen. Dafür könntest Du die Authentifizierten Benutzer nehmen (dort sind alle Benutzer und Computer enthalten). Wer diese Richtlinie nicht anwenden soll, kannst Du mit Gruppenrichlinie übernehmen - Verweigern regeln). Ich weiss jetzt nicht genau, was Du vor hast und was noch an Richtlinien eingesetzt wird, kann also nicht sagen, ob Du lieber dieses oder jenes tun solltest ...

Link zu diesem Kommentar
Nein, so war das nicht gemeint. Ohne Loopbackverarbeitung ist das so ... :)

 

ok, jetzt nochma langsam

 

Wenn ich die Richtlinie auf benutzer anwenden will, dann gilt diese auf jedem Rechner, für den keine andere Regel gilt, wie z.B. dem TS mit Loopback.

 

In dem Fall dürfen nicht die Computerkonten sondern es müssen die Benutzerkonten in die OU. ( Müssen die wirklich verschoben werden oder kann ich hier auch mit authentifizierten Benutzern oder einer Gruppe arbeiten? )

 

In der Sicherheitsfilterung kann ich den Administratoren die Übernahme verweigern.

 

Müssen die Benutzer in der Sicherheitsfilterung einzeln erwähnt werden oder kann ich hier den authentifizierten Benutzer nehmen Dann wären aber die Computer wieder mit einbezogen ? Was soll ich hier bei den Benutzern zulassen ?

Wer muss in den Sicherheitseinstellungen noch mit welchen Einstellungen erwähnt werden (System usw.)?

 

 

Edit: Ist es richtig, dass für alle hier eingestellten Benutzereinstellungen die lokalen Einstellungn des PCs überlagert werden, die anderen aber weiterhin gültig bleiben? .................

 

 

Grüsse

 

Cebo

Link zu diesem Kommentar

So, noch mal von vorne ... :)

Normalfall: Konfigurierst Du in der Benutzerkonfiguration, müssen sich Benutzer in Reichweite der Richtlinie befinden. Konfigurierst Du in der Computerkonfiguration, müssen sich Computerkonten in Reichweite der Richtlinie befinden.

Spezialfall Loopback: Möchtest Du, dass Benutzerrichtlinien nur auf bestimmten Computern wirken (z.B. nur dann, wenn sich jemand dort anmeldet. Diese Richtlinien sollen nicht gelten, wenn sich der Client an einem anderen Rechner anmeldet), dann konfigurierst Du Loopbackverarbeitung. Das entsprechende Computerkonto wird in den Loopbackmodus versetzt (den man auf Ersetzen und Zusammenführen konfigurieren kann), was bedeutet, dass alle Benutzerrichtlinien!, in dessen Reichweite sich dieses Computerkonto befindet, angewendet werden, wenn sich ein User dort anmeldet (bei Default Sicherheitsfilterung).

Hier mal ein kleines Beispiel

http://www.mcseboard.de/post8-631731.html

Ist die Loopbackrichtlinie auf Ersetzen gestellt, werden die üblicherweise angewendeten Benutzerrichtlinien durch die ersetzt, die im Loopbackmodus gültig sind. Wenn also User A in OU A ist und dort eine Benutzerrichtlinie gilt und Computer B in OU B ist, Loopbackverarbeitung auf Ersetzen steht und in dieser OU auch Benutzerrichtlinien gelten, dann bekommt User A bei Anmeldung an Computer B die Richtlinien, die in OU B gültig sind (und nur die). Meldet er sich an einem anderen Rechner als Computer B an, gelten die Richtlinien aus OU A (oder auch andere, in dessen Reichweite sich das Benutzerobjekt befindet)

Wen Du in die Sicherheitsfilterung konfigurierst, bleibt ganz Dir überlassen. Du musst nur wissen, in welchem Bereich Du konfigurieren willst (Benutzer- oder Computerkonfiguration) und wer die Richtlinie übernehmen soll. Vielleicht ein Beispiel: Du hast alle Computer und Benutzer in den Standardcontainern, in die Du keine Richtlinien linken kannst. Jetzt möchtest Du gewissen Computern und gewissen Benutzern Richtlinien aufs Auge drücken. Also konfigurierst Du zwei GPOs, eins mit Computereinstellungen und eins mit Benutzereinstellungen. Authentifizierte Benutzer ohne weitere Filterung kannst Du nicht nehmen, da dort alle enthalten sind. Also legst Du eine Gruppe für die einzuschränkenden Computerkonten an und eine für die Benutzer. Aus beiden Richtlinien nimmst Du die Authentifizierten Benutzer heraus und fügst entweder die Computer- oder Benutzergruppe ein (je nachdem, ob Du in der Computer- oder Benutzerkonfiguration konfguriert hast) und gibst beiden Gruppenrichtlinie übernehmen - Zulassen und Lesen - Zulassen (dann brauchst Du auch nichts verweigern). Du kannst natürlich auch die Authentifizierten Benutzer in der Filterung lassen und Gruppen erstellen, denen Du Gruppenrichtlinie übernehmen - Verweigern konfigurierst (Verweigern kommt vor Erlauben).

Wenn in einer Gruppenrichtlinie etwas nicht definiert wird, wirkt es auch nicht. Wenn also lokal etwas definiert ist und der gleiche Punkt in einer Richtlinie höherer Priorität nicht definiert ist, gilt die Einstellung der lokalen Richtlinie ...

Wenn Du also möchtest, dass alle Benutzer ausser den Admins z.B. eine gewisse Richtlinie bekommen, egal wo sie sich anmelden, dann konfiguriere eine Richtlinie auf hoher Ebene (Domäne z.B.), lege die Einstellungen in der Benutzerkonfiguration fest und verweigere den Admins Gruppenrichtlinie übernehmen (ohne Loopbackeinstellung). Die Authentifizierten Benutzer kannst Du stehen lassen, da sowieso nur in der Benutzerkonfiguration definiert wurde, was ein Computerobjekt nicht interessiert. Wenn diese Einstellung auf jeden Fall durchgesetzt werden muss, unabhängig von Einstellungen höherwertiger GPOs (auf OU-Ebene), dann konfiguriere Erzwungen bzw. Kein Vorrang (aber sparsam) ...

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...