Gruppenrichtlinien - bestimmte Computer ausschließen

[NorbertFe 2.027]

Das Problem ist, dass du den Loop Backmodus in dem GPO aktivierst. Wenn du die Übernahme jetzt verhinderst, ist der auch aus. Du wirst um ein zweites GPO nicht herumkommen. Ich würde folgendes tun:

Domain
|
|-OU-Computer
   - 1 GPO Loopback aktivieren (nicht gefiltert sondern für alle Computer in der OU)
   - 2 GPO mit den Einstellungen für alle Computer
   - 3 GPO mit den negierten Einstellungen für die 3 Computer aber mit höhrere Priorität als 2

 

Bye

Norbert

[NorbertFe 2.027]

Alle GPO's die nicht auf alle User oder Computer wirken sollen, ja.

Das ist doch imho der einfachste und übersichtlichste Weg.

 

Das sieht sicher jeder anders. Ich persönlich entscheide das von Fall zu Fall (Fall=Kunde) ;)

 

Deine Frage nach Poledit ignoriere ich mal :rolleyes:

 

Warum? So pauschal wie du das geschrieben hast, ließ das die Vermutung zu. :p

 

Bye

Norbert

[pampersrocker 10]

Was haltet ihr davon, wenn ich Loopback einfach deaktivere? Wird meiner Meinung ja nicht gebraucht. Ich denke, es wurde halt nur übernommen, da die meisten Richtlinien bei uns auf TS wirken sollen.

 

Ansonsten zum Verständnis muss ich Folgendes machen:

 

- 1.) GPO mit den negierten Einstellungen bauen

- 2.) Die entsprechenden Computerkonten der neuen GPO zuordnen

- 3.) Das neu gebaute GPO eine höhere Priorität als dem ursprünglichen GPO geben

[NorbertFe 2.027]

Was haltet ihr davon, wenn ich Loopback einfach deaktivere? Wird meiner Meinung ja nicht gebraucht.

 

Das können wir dir nicht wirklich sagen, da wir deine Umgebung nicht kennen. ;)

 

Ich denke, es wurde halt nur übernommen, da die meisten Richtlinien bei uns auf TS wirken sollen.

 

Das solltest du schon wissen, und nicht nur annehmen. ;)

 

 

Ansonsten zum Verständnis muss ich Folgendes machen:

 

- 1.) GPO mit den negierten Einstellungen bauen

 

Ja.

 

- 2.) Die entsprechenden Computerkonten der neuen GPO zuordnen

 

Ja, wobei ich eine Gruppe nehmen würde und nicht die Konten direkt.

 

- 3.) Das neu gebaute GPO eine höhere Priorität als dem ursprünglichen GPO geben

 

Korrekt. Wenn es dir um den Screensaver geht, dann brauchst du aber den Loopback Modus, da das ne benutzereinstellung ist. ;) Und dann brauchst du auch 3 GPOs, oder mußt die Reihenfolge andersrum bauen. ;)

 

Bye

Norbert

[pampersrocker 10]

Warum drei GPOs? Warum eigentlich ein GPO nur für den Loopback-Modus? So ganz sitzt das wohl doch noch nicht.. :-)

[NorbertFe 2.027]

Probiers halt aus. ;)

Wenn du ein GPO hast, in der der LBVM aktiviert wird, und dessen Übernahme du drei PCs verweigerst, was haben diese drei PCs dann nicht aktiv? Richtig, den LBVM. Was soviel bedeutet wie? Deine Pcs werden die Screensaver Konfiguration ignorieren, da das eine Benutzerkonfiguration ist.

 

Bye

Norbert

[pampersrocker 10]

Also ich habe Folgendes gemacht:

 

1.) GPO1 zur Deaktivierung des Screensavers bearbeitet und alle "deny" aktionen entfernt

2.) GPO2 mit anderen Screensaver Settings entworfen:

- LBVM aktiviert und auf merge

- alle Eigenschaften die in GPO1 auf "aktiviert" gesetzt wurden, sind jetzt "deaktiviert"

3.) Sicherheitsberechtigungen von GPO2 angepasst, so dass nur die Gruppe (Mitglieder sind die Computeraccounts) diese lesen darf.

4.) Rangfolge von GPO2 ist Position Nr. 3, GPO1 ist auf Position Nr. 4.

 

 

Fazit: LBVM ist aktiv auf "merge" (und wird sogar von GPO2 gezogen). D.h. die Priorität scheint zu stimmen. Screensaver Settings von GPO1 werden für alle Computer übernommen. *hmpf* Ich bin heute zu schwer von Begriff.. :-(

[NorbertFe 2.027]

*hmpf* Ich bin heute zu schwer von Begriff.. :-(

 

Das erscheint mir auch so. Wieso versuchst du es nicht einfach mal so, wie ich sagte. ;)

 

Bye

Norbert

[pampersrocker 10]

Ich frag jetzt einfach nochmal dumm nach. Wie genau sieht für dich die weiter oben genannte Negierung aus? :)

[NorbertFe 2.027]

Kennst du das Terminalserver HowTo auf Gruppenrichtlinien - Übersicht, FAQ und Tutorials Im Endeffekt baust du es quasi genauso. Wenn das funktioniert, dann schauen wir weiter. ;)

 

Bye

Norbert

[pampersrocker 10]

Hier laufen bereits Terminal Server, die so konfiguriert sind. Dort gibt es keine Probleme. Bei den Clientpcs schon. Das HowTo kenne ich übrigens auch, um deine Frage zu beantworten.

[NorbertFe 2.027]

Was sprach jetzt nochmal gegen die Verwendung von 3 GPOs?

 

Bye

Norbert

[pampersrocker 10]

Natürlich nichts. Ich habe das nochmals mit drei GPOs gebaut. Den LBVM (merge) alleine in eine Richtlinie gepackt und in die beiden anderen Richtlinien nur jeweils die grundsätzliche Aktivierung des Screensavers, bzw. das Deaktivieren des Screensavers. Wirkungsbereich für die Aktivierung war auf "authenticated users" und für die Deaktivierung auf "Gruppe mit Konten die das nicht haben sollen". Die Sicherheitseinstellungen waren jeweils auf "lesen" und "Gruppenrichtlinie übernehmen". Die Rangfolge habe ich in beiden Versionen getestet (LBVM immer an Position Nr. 1). So wie du es geschrieben hast - wenn ich dich richtig verstanden habe. Das Ergebnis brachte wieder keinen Erfolg.

 

Edit: Der Unterschied, den ich zur TS Konfiguration feststelle ist, dass dort in der Gruppe Usernamen eingetragen sind. (was ja auch Sinn macht) In der Testkonfiguration Computeraccounts.

[pampersrocker 10]

Hat noch jemand eine Idee?

[Darksun777 10]

Ja, poste doch mal einen aussagekräftigen Screenshot von deinem AD.

Auf diesem sollte man sehen WO sich WAS befindet und Du solltest evt. darin markieren, wo GPOs mit Loopback wirken etc.

 

Grundsätzlich würde ich bei deiner Aufgabenstellung mit Security Filtering auf GPO-Ebene arbeiten.