pampersrocker 10 Geschrieben 16. März 2010 Melden Teilen Geschrieben 16. März 2010 Hallo zusammen, ich glaube, ich sehe den Wald vor lauter Bäumen nicht mehr. Ich habe eine Gruppenrichtlinie, die auf sämtliche Clientcomputerkonten bei uns im Netz wirkt. (Auf eine übergeordnete OU verknüpft und befeuert authenticated Users) Die Useraccounts liegen in anderen OUs auf die diese Richtlinie nicht wirkt. Jetzt möchte ich drei Computerkonten explizit davon ausschließen - wie gehe ich am besten vor? Ich habe bislang probiert über die Sicherheitsberechtigungen ein deny zu setzen, aber das funktioniert wohl nicht. Im Richtlinienergebnissatz, sowie mit gpresult wird mir immer angezeigt, dass die Richtlinie angewendet wird. Zum Testen habe ich eine zweite Richtlinie angelegt, die die Funktion explizit deaktivieren soll. Hierfür habe ich ebenfalls - wie in der ersten Richtlinie - den Loopbackverarbeitungsmodus aktiviert. Diese Richtlinie wirkt im Computerbereich und wird anscheind über den Userbereich durch die andere Richtlinie überschrieben. (verantwortlich ist die erste Richtlinie im benutzerbezogenen Bereich) Es dreht sich übrigens schlicht um die Deaktivierung des Bildschirmschoners und um eine automatische Sperrung der Arbeitsstation. (Einstellungen im Userbereich einer Richtlinie). Beste Grüße, Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 16. März 2010 Melden Teilen Geschrieben 16. März 2010 Man erstellt eine neue Gruppe in der sich die drei Computerkonten befinden und verweigert dieser Gruppe die Übernahme dieses GPOs. Bye Norbert Zitieren Link zu diesem Kommentar
pampersrocker 10 Geschrieben 16. März 2010 Autor Melden Teilen Geschrieben 16. März 2010 Ja, das ist passiert, aber das funktioniert nicht. :) Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 16. März 2010 Melden Teilen Geschrieben 16. März 2010 Hast du die Computer mal gebootet seitdem du sie in die Gruppe gepackt hast? Was genau hast du eingestellt? Bye Norbert Zitieren Link zu diesem Kommentar
pampersrocker 10 Geschrieben 16. März 2010 Autor Melden Teilen Geschrieben 16. März 2010 Ja, die Rechner wurden neugestartet. Für die Richtlinie wurden folgende Sicherheitseinstellungen vorgenommen: Authenticated Users: - lesen (zulassen) - Gruppenrichtlinie übernehmen (zulassen) Testgruppe zur Deaktivierung: - lesen (zulassen) - Gruppenrichtlinie übernehmen (verweigern) Richtlinieneinstellungen: - User Group Policy loopback processing mode Aktiviert Mode: Merge - Control Panel/DisplayAusblenden Richtlinie Einstellung Hide Screen Saver tab Aktiviert Password protect the screen saver Aktiviert Screen Saver Aktiviert Screen Saver timeout Aktiviert Number of seconds to wait to enable the Screen Saver Seconds: 900 Noch weitere Ideen? Zitieren Link zu diesem Kommentar
pampersrocker 10 Geschrieben 16. März 2010 Autor Melden Teilen Geschrieben 16. März 2010 Hab noch etwas in einem MS-Artikel gefunden: Wenn Sie die Anwendung eines GPOs einschränken möchten, sollten Sie unbedingt die Gruppe Authentifizierte Benutzer entfernen. Andernfalls wird das GPO immer auf alle Benutzer angewendet. Quelle Seit wann ist das so? Heißt das konkret, dass man etwas, das für alle freigegeben ist, nicht explizit verweigern kann? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 16. März 2010 Melden Teilen Geschrieben 16. März 2010 Schildere bitte, wie Deine OU-Struktur aussieht und wo Du welche Richtlinie mit welchen Einstellungen gelinkt hast. Wir benötigen nicht jede OU/Richtlinie, nur die relevanten (die zugrundeliegende Struktur ist natürlich auch wichtig). Wo z.B. überall Loopback eingeschaltet wird, wo Benutzereinstellungen gesetzt sind, welche Richtlinie eine höhere Priorität hat (falls mehrere gelinkt sind) ... Edit: Für die Übernahme einer Richtlinie gilt "Gruppenrichtlinie übernehmen", dort sollten es nicht die "Authentifizierten Benutzer" sein ... Zitieren Link zu diesem Kommentar
pampersrocker 10 Geschrieben 16. März 2010 Autor Melden Teilen Geschrieben 16. März 2010 Kein Problem: relevante Struktur: Clients-OU mit diversen OUs darunter für die Standorte und zur Spezifikation der Clients. Die Richtlinie zur Aktivierung liegt direkt auf der Clients OU. Zusätzlich gibt es in den unteren OUs noch Richtlinien für den WSUS. Hier werden nur computerbezogene Einstellungen vorgenommen. Loopback ist jeweils nicht konfiguriert. Die Priorität liegt natürlich niedriger als die WSUS-Richtlinien, da diese ja in hierachisch niedrigeren OUs verknüpft sind. Der letzte Satz im Edit macht mich stutzig. Wenn ich die Richtlinie auf "authentifizierte Benutzer" wirken lasse, ist dort natürlich auch klar "Gruppenrichtlinie übernehmen" angeklickt. Wirkt das explizite "verweigern", das ich über die zusätzliche Gruppe in der Delegierung (Sicherheitseinstellung) konfiguriere nicht? Ich war der Meinung, dass das restriktivere gewinnt - das wäre ja ein verweigern. Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 16. März 2010 Melden Teilen Geschrieben 16. März 2010 Wirkt das explizite "verweigern", das ich über die zusätzliche Gruppe in der Delegierung (Sicherheitseinstellung) konfiguriere nicht? Natürlich wirkt das. Wenn das bei dir nicht so ist, hast du irgendwas anderes "falchs" konfiguriert. ;) Ich war der Meinung, dass das restriktivere gewinnt - das wäre ja ein verweigern. Verweigern gewinnt auch nicht immer automatisch. ;) Bye Norbert Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 16. März 2010 Melden Teilen Geschrieben 16. März 2010 Kein Problem: relevante Struktur: Ein Bild sagt mehr als 1000 Worte. Poste doch mal bitte einen Screenshot. Bye Norbert Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 16. März 2010 Melden Teilen Geschrieben 16. März 2010 Andere Alternative: Pack die 3 PCs in eine Unter-OU und definiere darauf gegensätzlich die unerwünschte Policy in einem neuen GPO. Ist sicher auch generell übersichtlicher. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Darksun777 10 Geschrieben 16. März 2010 Melden Teilen Geschrieben 16. März 2010 Mach dich doch mal zum Thema "Security Filtering" schlau und arbeite mit Gruppen. Die Standard-Gruppen drinzulassen ist einfach grausam ;) und Deny's sind mindestens genauso furchtbar! Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 16. März 2010 Melden Teilen Geschrieben 16. März 2010 Mach dich doch mal zum Thema "Security Filtering" schlau und arbeite mit Gruppen. Die Standard-Gruppen drinzulassen ist einfach grausam ;) und Deny's sind mindestens genauso furchtbar! Sicherheitsfilterung generell nicht mit den "Authentifizierten Usern" ist genauso "grausam", weils normalerweise vollkommen ok ist. Du willst mir jetzt nicht erklären, dass du alle deine GPOs per Security Filtering konfiguriert hast, oder? Arbeitest du noch mit Poledit? Bye Norbert Zitieren Link zu diesem Kommentar
pampersrocker 10 Geschrieben 16. März 2010 Autor Melden Teilen Geschrieben 16. März 2010 Ein Bild sagt mehr als 1000 Worte. Poste doch mal bitte einen Screenshot. Bye Norbert Auch das ist kein Problem: Die Alternative mit den extra OUs finde ich nicht so schön. Ich würde das gerne über die Gruppe hinbekommen. Zitieren Link zu diesem Kommentar
Darksun777 10 Geschrieben 16. März 2010 Melden Teilen Geschrieben 16. März 2010 Sicherheitsfilterung generell nicht mit den "Authentifizierten Usern" ist genauso "grausam", weils normalerweise vollkommen ok ist. Du willst mir jetzt nicht erklären, dass du alle deine GPOs per Security Filtering konfiguriert hast, oder? Arbeitest du noch mit Poledit? Bye Norbert Alle GPO's die nicht auf alle User oder Computer wirken sollen, ja. Das ist doch imho der einfachste und übersichtlichste Weg. Deine Frage nach Poledit ignoriere ich mal :rolleyes: Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.