Vererbung von Gruppenrichtlinien & Scope

[Viprex 10]

Beispiel Standort:

 

Standort

-Computer

--Abteilung 1.00

---UnterOU 1.10

--Abteilung 2.00

-Benutzer

--Abteilung 1.01

---UnterOU 1.11

--Abteilung 2.01

 

Wenn ich eine Gruppenrichtlinie für Benutzereinstelllungen wie die Bildschirmschonereinstellungen habe und diese Richtlinie nur mit Abteilung 1.00 verknüpfe, ziehen die Richtlinien dann immer für den Benutzer, der sich an PC's aus Computer - Abteilung 1.00 anmeldet? Oder muss ich diese Richtlinie auch explizit für Benutzer - Abteilung 1.01 setzen, wenn dieses die Richtlinie befolgen sollen? Gibt es eine Möglichkeit, dies genau so zu regeln?

 

2. Frage: Kann ich verhindern, dass PC's aus UnterOU 2.00 die Richtlinien von Abteilung 1.00 übernehmen? Gleiche Frage gilt für den Benutzerteil.

Ich möchte also die Vererbung verhindern, ohne dafür extra ein gegenteiliges Richtlinienobjekt verknüpfen zu müssen (und dann z. B. mit "Richtlinienvererbung deaktivieren" arbeiten zu müssen).

[maboh 10]

PCs bekommen _nur_ Computerrichtlinien.

User bekommen _nur_ Userrichtlinien.

 

Damit sollte deine Frage eigentlich beantwortet sein.

 

Gruss,

Martin

[Viprex 10]

Ja, so habe ich mir das bisher auch immer gedacht. Jetzt habe ich in einem anderen Forum aber gelesen, dass man das umbiegen kann. Ich zitiere mal:

 

"Du kannst diese Policy auch auf einer OU mit Computerkonten setzen, Du mußt lediglich in den Einstellungen angeben, welche Benutzergruppe sie ziehen soll."

 

Daher dachte ich, dass es vielleicht geht, zu sagen, dass eine Benutzerrichtlinie immer dann gelten soll, wenn sich der Benutzer an den PC anmeldet, für den das Richtlinienobjekt verknüpft ist (ich sage mit Absicht Richtlinienobjekt, da die Benutzerrichtlinie ja nicht für einen PC gelten kann, wie du ja schon gesagt hast).

 

So könnte man unterschiedliche Richtlinien wirken lassen, je nachdem, wo sich der Benutzer anmeldet. Das würde vieles einfacher machen.

 

Frage 2 ist damit aber leider nicht geklärt :) Hast du darauf vielleicht auch eine Antwort?

 

Jedenfalls schonmal vielen Dank für die schnelle Antwort.

[IThome 10]

Das Stichwort ist für einen solchen Fall die "Loopbackverarbeitung". Diese Einstellung ermöglicht, dass Benutzerrichtlinien angewendet werden, wenn sie in Bereichen wirksam ist, in denen sich nur Computerobjekte befinden. Also eigentlich das, was Du willst ... sie wirken, wenn man sich an bestimmten Rechnern anmeldet (klassischer Fall:Terminalserver) ...

Zu Frage 2: Du kannst Richtlinien auch sicherheitsfiltern, was bedeutet, dass sie nicht für die per Default angegebenen "Authentifizierten Benutzer" gilt (das sind Benutzer- wie auch Computerojekte), sondern die Richtlinie ganz gezielt nur gewisse Gruppen oder Objekte erreicht.

[Viprex 10]

Vielen herzlichen Dank für die Auskunft. Das ist genau das, was ich hören wollte. Funktioniert perfekt. Klasse.

 

Jetzt habe ich aber noch eine kurze Frage:

man stelle sich vor, ich habe ein eine Richtlinie, die sowohl Computer- als auch Benutzerrichtlinien enthält. Loopbackverarbeitung ist aktiviert, die Richtlinie wurde nur Computerobjekten zugewiesen.

Es gibt jetzt aber einen Benutzer, für den diese Richtlinie nicht gelten soll. Wie kann ich diesen Benutzer rausfiltern?

 

Ich habe ihn in der GPO unter dem Reiter Delegierung eingetragen und den Haken bei "Gruppenrichtlinie übernehmen" (zu finden unter Erweitert) entfernt. Jetzt ist nur noch "Lesen" ausgewählt. Ein kurzer Test hat ergeben, dass die Richtlinie nach einem Neustart noch gezogen hat (was mich auch nicht wundert, denn die Computerrichtlinie galt ja noch für den Computer und es könnte sein, dass über die Loopbackrichtlinie die Benutzerrichtlinie dennoch für de Benutzer galt).

 

Was ist jetzt der einfachste Weg, bestimmte Benutzer von dieser Richtlinie auszuschließen?

[IThome 10]

Das macht man so, wie Du es gemacht hast. Ich füge auch die Gruppe oder den Benutzer zu und setze explizit "Gruppenrichtlinie übernehmen - verweigern". Das gilt natürlich nur für Einstellungen, die auch im Benutzerteil der Richtlinie angewendet werden sollen ...

[Viprex 10]

Danke, das funktioniert jetzt auch super. Ich hatte nur vergessen, den Haken explizit auch bei verweigern zu setzen :)

[Viprex 10]

Neues Problem:

Alte Situation: Benutzerrichtlinien wurden User direkt zugeordnet.

Neue Situation: Loopbackverarbeitungsmodus wurde eingeschaltet, die Benutzerrichtlinien werden jetzt über die Computer an die User weiter geleitet.

 

Einige User klagen darüber, dass die ehemals funktionierenden Einstellungen nicht mehr greifen (es geht hier um einen Bildschirmschoner).

 

Ich habe mir mal den RSOP angeguckt und zu dem PC und dem entsprechenden User habe ich auch eine Ausrufezeichen bei der Installation der FlashPlayerSoftware für den Bildschirmschoner.

 

Die Benutzereinstellungen werden aber dennoch korrekt angezeigt. Anbei mal ein Screenshot des Richtlinienergebnissatzes.

 

Kostenlos Bilder hochladen mit Hostpix Bilderhosting

[IThome 10]

Loopbackverarbeitung auf "Zusammenführen" ? Loopback wirkt aber nicht Terminalservern oder ?

[Viprex 10]

Nein, steht auf Ersetzen.

 

Die GPO bezieht sich nicht auf Terminalserver Clients, obwohl diese Clients teilweise Citrix Anwendungen laufen lassen. Meinst du, dass von da etwas anderes raufgeschoben wird? Es ist aber nichts derartiges in den GPO's konfiguriert, wir starten hier quasi gerade erst richtig durch mit AD und GPO.

[IThome 10]

Wenn Du willst, dass die sonst angewendeten Richtlinien zusätzlich zu den per Loopbackverarbeitung angewendeten Richtlinien angewendet werden (die Loopbackrichtlinien haben Vorrang), dann musst Du auf "Zusammenführen" stellen.

Oder habe ich Dich da falsch verstanden ?

[Viprex 10]

Ja, da hast du mich falsch verstanden. In der alten Situation hatte ich eine Bilschirmschoner-GPO direkt den Benutzer OUs zugeordnet. Nachdem ich herausgefunden hatte, dass es den Loopbackmodus gibt, habe ich die Benutzer GPOs gelöscht und mit in die Computer GPO für den Bildschirmschoner geschrieben (dort wird der FlashPlayer installiert sowie die Dateien per Start Skript ins system32 Verzeichnis kopiert) und gleichzeitig in dieser GPO den Loopbackmodus aktiviert. Es sollten also eigentlich keine Änderungen bei den Benutzer zu sehen sein, denn sie bekommen die gleichen Richtlinien jetzt per Loopback aus der Computerkonfig draugeblasen.

 

Leider funktioniert das nicht bei allen. Es gibt mittlerweile mind. 2 Nutzer (mehr haben sich nicht gemeldet), bei denen der Bildschirmschoner jetzt nicht mehr aktiviert ist.

[IThome 10]

Also ist die Richtlinie, in der die Loopbackverarbeitung in der Computerkonfiguration und der Bildschirmschoner in der Benutzerkonfiguration eingestellt ist, auf die OU gelinkt, in der sich die Computer (und nur Computerobjekte) befinden, an denen sich die Benutzer anmelden ? GPUPATE auf dem Client noch mal durchgeführt ?

[Viprex 10]

Also ist die Richtlinie, in der die Loopbackverarbeitung in der Computerkonfiguration und der Bildschirmschoner in der Benutzerkonfiguration eingestellt ist, auf die OU gelinkt, in der sich die Computer (und nur Computerobjekte) befinden, an denen sich die Benutzer anmelden ?

 

korrekt. Und genau das funktioniert bei 2 Clients nicht.

 

GPUPATE auf dem Client noch mal durchgeführt ?

nein. Der Rechner ist seitdem aber auch schon ein paar mal neu gestartet worden, sollte sich also die Richtlinie gezogen haben.

 

Ich habe auch noch nicht weiter testen können, ob es am Benutzer oder Computer liegt. Ich werde das morgen hoffentlich noch schaffen.

[IThome 10]

Sicherheitsgefiltert ist aber nichts, richtig ?