ClaudiaDZM 10 Geschrieben 21. November 2007 Melden Teilen Geschrieben 21. November 2007 Hallo, ich teste grade, wie ich folgende Situation am besten gelöst bekomme: Bei den meisten Terminalserver-Benutzern soll das Startmenu eingeschränkt werden, bei einigen aber nicht. Folgendes habe ich eingestellt: In die Organsiationseinheit "Terminalserver" ist ein Gruppenrichtlinienobjekt verknüpft für "Authentifizierte Benutzer" und hier habe ich die Einschränkungen vorgenommen. Dann habe ich eine neue Gruppe erstellt, "DesktopPlus", besagte User darin aufgenommmen und ein Gruppenrichtlinienobjekt nur für diese Gruppe festgelegt, in welchem ich die Einschränkungen wieder deaktiviere. Dieses Gruppenrichtlinienobjekt (Name ebenfalls DesktopPlus) habe ich ebenfalls in die Terminalserver-Organisationseinheit verknüpft und vor die andere geschoben. Das funktioniert auch. "Normale" User haben z.b. "Ausführen" nicht in ihrem Menu, die User der Gruppe "DesktopPlus" aber schon, also eigentlich wie gewünscht. Das Komische dabei: Wenn ich gpresult eingebe, bekomme ich für das Gruppenrichtlinienobjekt "DesktopPlus" angezeigt: Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet. DesktopPlus Filterung: verweigert (Sicherheit) Irgendetwas schein also nicht zu stimmen. Kann mir jemand einen Tipp geben? Danke und Schöne Grüsse, Claudia Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 21. November 2007 Melden Teilen Geschrieben 21. November 2007 Es wäre einfacher, wenn Du die Gruppe in der Sicherheitsfilterung der einschränkenden Richtlinie zufügst und ihr die Berechtigung "Gruppenrichtlinie übernehmen" verweigerst. Dann brauchst Du nur eine Richtlinie ... Zitieren Link zu diesem Kommentar
ClaudiaDZM 10 Geschrieben 21. November 2007 Autor Melden Teilen Geschrieben 21. November 2007 Dank dir für die schnelle Antwort. So weit kann ich folgen: wenn Du die Gruppe in der Sicherheitsfilterung der einschränkenden Richtlinie zufügst aber wie mache ich das: ihr die Berechtigung "Gruppenrichtlinie übernehmen" verweigerst. Schöne Grüsse, Claudia Zitieren Link zu diesem Kommentar
Bengah 10 Geschrieben 21. November 2007 Melden Teilen Geschrieben 21. November 2007 Hi, hast Du GPMC im Einsatz? Ist ein erweiterter Gruppenrichtlinieneditot. Gibts bei Microsoft auf der Webseite. Mit diesem Tool kannst Du dann bei anklicken der GPO über die Karteikarte "Deligierung" -> Erweitert einfach den User in die Liste eintragen und das Recht "Gruppenrichtlinie übernehmen" verweigern. Gruß Bengah Zitieren Link zu diesem Kommentar
ClaudiaDZM 10 Geschrieben 21. November 2007 Autor Melden Teilen Geschrieben 21. November 2007 hast Du GPMC im Einsatz? Ist ein erweiterter Gruppenrichtlinieneditot. Gibts bei Microsoft auf der Webseite.Mit diesem Tool kannst Du dann bei anklicken der GPO über die Karteikarte "Deligierung" -> Erweitert einfach den User in die Liste eintragen und das Recht "Gruppenrichtlinie übernehmen" verweigern. Hi, ja ich hab das Tool und hab Deinen Vorschlag versucht, also meine zweite Richtlinie wieder entfernt und die Benutzergruppe, für welche die Einschränkungen nicht gelten sollen, über das Fenster "Delegierung" zugefügt und bei "Gruppenrichtlinie übernehmen" ein Häkchen für "Verweigern" gesetzt. Mit dem Erfolg, dass jetzt auch diese Richtlinie generell nicht mehr angewendet wird, sprich: alle authentifizierten Benutzer ignorieren die Richtlinien und bei Überprüfung mit gpresult wird nun auch diese Richtlinie als "nicht angewendet" gemeldet. Bei der Gruppe "Authentifizierte Benutzer" habe ich unter "Delegation" ein Häkchen gesetzt bei "Gruppenrichtlinie übernehmen: Zulassen" And now? Schöne Grüsse, Claudia Zitieren Link zu diesem Kommentar
ClaudiaDZM 10 Geschrieben 21. November 2007 Autor Melden Teilen Geschrieben 21. November 2007 Hi, ich habe jetzt nochmal alle von mir vorgenommenen Einschränkungen aufgehoben und nach gpupdate und gpresult erhielt ich daraufhin wieder den Bescheid, die Gruppe werde angewendet. Ich hab dann wieder vorsichtig einige erste Einschränkungen vorgenommen (Proxyeinstellungen hinterlegt und die Aenderung derselben untersagt) - und noch immer funktioniert es. Ich werde also jetzt vorsichtig Schritt für Schritt die Einschränkungen wieder einbauen. Aber wenn ich irgendwann wieder an den Punkt gelange, dass diese Richtlinie nicht angewendet wird mit dem Hinweis "Verweigert (Sicherheit)" - hat mir dafür jeman einen Tipp, wo ich da suchen soll? Kann ich irgendwie herausfinden, was der Grund für diese Verweigerung ist? Schöne Grüsse, Claudia Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 21. November 2007 Melden Teilen Geschrieben 21. November 2007 Hi,ja ich hab das Tool und hab Deinen Vorschlag versucht, also meine zweite Richtlinie wieder entfernt und die Benutzergruppe, für welche die Einschränkungen nicht gelten sollen, über das Fenster "Delegierung" zugefügt und bei "Gruppenrichtlinie übernehmen" ein Häkchen für "Verweigern" gesetzt. Mit dem Erfolg, dass jetzt auch diese Richtlinie generell nicht mehr angewendet wird, sprich: alle authentifizierten Benutzer ignorieren die Richtlinien und bei Überprüfung mit gpresult wird nun auch diese Richtlinie als "nicht angewendet" gemeldet. Bei der Gruppe "Authentifizierte Benutzer" habe ich unter "Delegation" ein Häkchen gesetzt bei "Gruppenrichtlinie übernehmen: Zulassen" And now? Schöne Grüsse, Claudia Dann hast Du irgendwas nicht korrekt konfiguriert. Der genannte Vorschlag funktioniert, davon ausgehend, dass ausser dem Zufügen der weiteren Gruppe keine weitere Änderung vorgenommen wurde. Die Authentifizierten Benutzer haben per Default schon die Berechtigung Lesen und Gruppenrichtlinie übernehmen. Der zugefügten Gruppe wird die Berechtigung "Gruppenrichtlinie übernehmen" verweigert, verweigern kommt vor zulassen. Also wird jedem Benutzer dieser Gruppe das Anwenden der Einstellungen verweigert, sofern er sich auch in Reichweite der Richtlinie befindet. Befindet er sich nicht in Reichweite der Richtlinie, ist er von diesen Einstellungen sowieso nicht betroffen. Alle anderen, die sich in Reichweite der Richtlinie befinden (Computer wie auch Benutzer, abhängig davon, ob im Benutzer- oder Computerteil konfiguriert wurde) werden diese Richtlinie anwenden ... Klick mal unter Delegierung rechts unten auf Erweitert und überprüfe die Einstellungen wie auch die Gruppenzugehörigkeiten ... Zitieren Link zu diesem Kommentar
ClaudiaDZM 10 Geschrieben 22. November 2007 Autor Melden Teilen Geschrieben 22. November 2007 Hi zunächst einmal: grosses Kompliment und Dankeschön. Ich hab ja erst vor zwei oder drei Tagen auf dieses Forum gefunden und wenn ich sehe, welcher trffic hier herrscht und wie schnell sich jemand bereit findet, zu antworten, das ist wirklich super-toll. Es nimmt enorm viel Druck, wenn man das Vertrauen hat, nicht allein in der Wüste zu stehen. Wegen meiner Richtlichtnien bin ich jetzt doch zu meinem ursprünglichen Entwurf zurückgekommen, indem ich zusätzliche Richtlinien mit höherer Priorität eingerichtet habe, die verschiedenen Benutzern die für den Standarduser entzogenen Rechte wieder zugänglich macht - und bis jetzt funktioniert's. Dies vor allem auch darum, da ich nicht nur entweder/oder habe, sondern: für einige Benutzer soll ein Teil der "Verbote" aufgehoben werden, und nochmal andere sollen überhaupt nicht eingeschränkt werden, ich hab also 3 gestufte Richtlinienobjekte. Ob das optimal eingerichtet ist, wage ich zu bezweifeln, kann ja bei meinem Einsteigerwissen gar nicht sein. Aber im Moment kann ich das System so handeln und jetzt heißt es halt: reinknien und sich das erarbeiten. Ich hab auch schon die nächste Frage, tu sie aber in einen neuen Thread. Schöne Grüsse, Claudia Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.