ITZubi 0 Geschrieben 18. Dezember 2013 Melden Teilen Geschrieben 18. Dezember 2013 (bearbeitet) Hallo liebe Community, ich habe Probleme was Gruppenrichtlinien betrifft. Es geht darum, dass wir zwei GPO´s erstellt haben in denen beiden die gleiche Einstellung getätigt werden, mit dem kleinen aber feinen unterschied dass in der GPO "GoogleChrome" für Chrome andere Pfade angegeben werden, wie in der GPO "GoogleChrome_MultiLogon". Das hat folgenden Hintergrund: Wir wollen bestimmte GoogeChrome Einstellungen für alle in der Domäne setzen, aber für drei bestimmte User wollen wir die gleichen Einstellungen mit anderen Werten setzen! Ein angepasster Auszug unserer OU, unter dennen sich die GPO´s befinden:Firma => Abteilung => Computers => Pools Hier befindet sich jetzt einmal, die Richtlinie GoogleChrome und GoogleChrome_MultiLogon Wichtig zu wissen ist vielleicht noch dass ich die Einstellungen in der Benutzerkonfiguration getätigt habe! Die GoogleChrome GPO wirkt auf alle in der Domäne, und in der Sicherheitsfilterung von der GPO "GoogleChrome_MultiLogon" sind die drei User gesetzt die, die geänderten Einstellungen erhalten sollen. Mir ist bewusst, dass die Verknüpfungsreihenfolge der Gruppenrichtlinien etwas ausmachen kann und zwar dass die eine, die andere Überschreiben kann.Ich habe z.B die GPO "GoogleChrome" auf Platz 9 und die GPO "GoogleChrome_MultiLogon" auf Platz 8 Für mich bedeutet dass, das die Einstellungen von der GPO "GoogleChrome" auf alle wirken, aber da dannach die GPO GoogleChrome_MultiLogon kommt, müssten doch für die drei extra User die Einstellungen jetzt überschrieben werden. Doch leider behalten Sie die Einstellung von der GPO "GoogleChrome" bei. Mein Ausbilder möchte nicht dass ich die "Negative Sicherheitsfilterung" nutze, hätte ich dass tun dürfen hätte ich probiert die drei User von der GPO "GoogeChrome" auszuschließen. Ich würde mich über jegliche Hilfe sehr freuen. Liebe Grüße ITZubi bearbeitet 18. Dezember 2013 von ITZubi Zitieren Link zu diesem Kommentar
SiMonsterrr 0 Geschrieben 18. Dezember 2013 Melden Teilen Geschrieben 18. Dezember 2013 Hallo ITZubi Was passiert, wenn du GoogleChrome_MultiLogon auf Enforced setzt? Dann müsste diese ja eigentlich gewinnen. Zum Thema Reihenfolgen gibt es einen schönen Artikel auf http://www.gruppenrichtlinien.de/artikel/vererbung-und-hierarchien/ Grüsse, SiMonsterrr Zitieren Link zu diesem Kommentar
ITZubi 0 Geschrieben 18. Dezember 2013 Autor Melden Teilen Geschrieben 18. Dezember 2013 (bearbeitet) Hallo SiMonsterrr, leider hat dass nichts gebracht, aber danke für den Tipp. Erzwingen bedeutet letzten Endes ja nur dass die GPO einfach an das Ende der Liste aller Richtlinien gestellt wird!Aber die Reihenfolge hatte ich auch schon beachtet, in dem ich die GPO "GoogeChrome_MultiLogon" vor die GPO "GoogleChrome" geschoben habe! Viele Grüße bearbeitet 18. Dezember 2013 von ITZubi Zitieren Link zu diesem Kommentar
SiMonsterrr 0 Geschrieben 18. Dezember 2013 Melden Teilen Geschrieben 18. Dezember 2013 Was setzt du konkret für Settings und mit welchen Werten? Zitieren Link zu diesem Kommentar
ITZubi 0 Geschrieben 18. Dezember 2013 Autor Melden Teilen Geschrieben 18. Dezember 2013 (bearbeitet) Also erstmal die Antwort auf deine PN:"Also unter Angewendete Gruppenrichtlinienobjekte ist die GPO GoogleChrome_MultiLogon garnicht aufgelistet" Der Zweig zu den Einstellungn(Wobei eine ADM Datei hinzugefügt wurde)Benutzerkonfiguration => Richtlinien => Administrative Vorlagen => Google => Google ChromeEinstellungen in der Google Chrome_MultiLogon In der GPO "GoogleChrome" macht ich die selben Einstellungen wie oben, nur dass ich andere Pfade angegeben habe! bearbeitet 18. Dezember 2013 von ITZubi Zitieren Link zu diesem Kommentar
testperson 1.674 Geschrieben 18. Dezember 2013 Melden Teilen Geschrieben 18. Dezember 2013 Hi, hast du in beiden GPOs den Loopbackverarbeitungsmodus aktiv? Du bearbeitest in der GPO den Benutzerteil und scheinst die GPO auf eine OU zu verknüpfen, die Computerkonten enthält. http://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loopback-processing-mode/ Gruß Jan Zitieren Link zu diesem Kommentar
ITZubi 0 Geschrieben 18. Dezember 2013 Autor Melden Teilen Geschrieben 18. Dezember 2013 (bearbeitet) Ich habe jetzt mal den Loopbackverarbeitungsmodus in beiden GPO´s aktiviert. Mir ist dieser Modus bekannt, aber die GoogleChrome Richtlinien haben trotzdem funktioniert gehabt, obwohl ich die Loopbackverarbeitung nicht eingeschaltet hatte Leider werden die Richtlinien für meine drei User nicht gezogen, sprich die GoogleChrome_MultiLogon wird nicht gezogen. Dafür wirkt noch immer präsent die GoogleChrome Richtlinie edit:// Komisch ist aber auch, wenn ich "gpresult /r" eingebe wird unter "Angewendete Gruppenrichtlinienobjekte", nur die GPO "GoogleChrome" angezeigt aber nicht GPO "GoogleChrome_MultiLogon" bearbeitet 18. Dezember 2013 von ITZubi Zitieren Link zu diesem Kommentar
SiMonsterrr 0 Geschrieben 18. Dezember 2013 Melden Teilen Geschrieben 18. Dezember 2013 Offensichtlich handelt es sich also nicht um ein Problem, dass die Settings nicht ziehen, sondern, dass die GPO gar nicht abgearbeitet wird! Schau dir also am besten nochmals das Security Filtering der GoogleChrome_Multilogon an. Die 3 User müssen mindestens 'Read' und 'Apply group policy' Rechte auf der GPO besitzen. Zitieren Link zu diesem Kommentar
ITZubi 0 Geschrieben 18. Dezember 2013 Autor Melden Teilen Geschrieben 18. Dezember 2013 (bearbeitet) Joo ich habe nachgeschaut, die Rechte sind richtig gesetzt! edit:// Was mir aber auffällt, wenn ich die GPO "GoogleChrome_MultiLogon" in der OU dort plaziere in der sich die drei User befinden, bekomme ich, wenn ich "gpresult /r" mache die GPO "GoogleChrome_MultiLogon" angezeigt. Leider zieht diese trotzdem nicht, da die GPO "Google Chrome" anscheinend überhand behält! Was mir aber auch auf gefallen ist wenn ich die GPO´s so plaziert habe, wenn ich jetzt z.B in der GPO "GoogleChrome" einen der Werte auf "Nicht konfiguriert" setze, diese Einstellung aber in der GPO "GoogleChrome_MultiLogon" konfiguriert habe, übernimmt er die aus der GPO "GoogleChrome_MultiLogon"! bearbeitet 18. Dezember 2013 von ITZubi Zitieren Link zu diesem Kommentar
SiMonsterrr 0 Geschrieben 18. Dezember 2013 Melden Teilen Geschrieben 18. Dezember 2013 Du hast Post :-) Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 18. Dezember 2013 Melden Teilen Geschrieben 18. Dezember 2013 Du hast Post :-) Hier Fragen, hier Antworten. Alles andere ist nicht Sinn und Zweck von einem Forum. Zitieren Link zu diesem Kommentar
ITZubi 0 Geschrieben 18. Dezember 2013 Autor Melden Teilen Geschrieben 18. Dezember 2013 (bearbeitet) Er hat mir folgendes geschrieben gehabt: 1. Die GPO wird nicht gezogen, wenn du sie auf die Clients verlinkst?! Dann schauts nach einem Problem mit dem Loopback Mode aus. Ich habe alle GPOs auf den Container mit den Clients verlinkt und arbeite mit Loopback Replace, das funktioniert wunderbar. 2. Die Settings werden nicht gesetzt, auch wenn die GPO in der Reihenfolge weiter oben steht?! Ich schreibe so Sachen eigentlich immer direkt in die Registry via GPP und filtere dann über Item Level Targeting. So könntest du auch dieselbe GPO verwenden Meine Antworten dazu:1) Das mache ich jetzt auch so, bringen tut es aber nichts 2) Ja richtig, obwohl diese weiter oben steht! Bei solchen GPO´s passiert ja nichts anderes als, dass eigentlich meistens dinge in der Registry geändert werden, oder nicht? Und was zum henker ist "Item Level Targeting"? bearbeitet 18. Dezember 2013 von ITZubi Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 18. Dezember 2013 Melden Teilen Geschrieben 18. Dezember 2013 Er hat mir folgendes geschrieben gehabt: 1. Die GPO wird nicht gezogen, wenn du sie auf die Clients verlinkst?! Dann schauts nach einem Problem mit dem Loopback Mode aus. Ich habe alle GPOs auf den Container mit den Clients verlinkt und arbeite mit Loopback Replace, das funktioniert wunderbar. Lass doch einfach mal alles zusätzliche weg und konzentriere dich auf das wesentliche. 2. Die Settings werden nicht gesetzt, auch wenn die GPO in der Reihenfolge weiter oben steht?! Ich schreibe so Sachen eigentlich immer direkt in die Registry via GPP und filtere dann über Item Level Targeting. So könntest du auch dieselbe GPO verwenden Meine Antworten dazu: 1) Das mache ich jetzt auch so, bringen tut es aber nichts 2) Ja richtig, obwohl diese weiter oben steht! Bei solchen GPO´s passiert ja nichts anderes als, dass eigentlich meistens dinge in der Registry geändert werden, oder nicht? Testumgebung aufsetzen, neue leere OU erstellen, Testbenutzer anlegen. Test GPO anlegen und testen. Funktioniert jetzt alles? Wenn ja, liegt es an der 'echten' Umgebung. Dann genauso wie beim Test verfahren. Alles wieder auf Standard und testen. Hier noch ein Link: http://www.gruppenrichtlinien.de/artikel/vererbung-und-hierarchien/ Und was zum henker ist "Item Level Targeting"? Zielgruppenadressierung. Mehr dazu findest Du auf gruppenrichtlinien.de und bei Matthias http://matthiaswolf.blogspot.de/ und beim Martin: http://evilgpo.blogspot.de/ Zitieren Link zu diesem Kommentar
ITZubi 0 Geschrieben 18. Dezember 2013 Autor Melden Teilen Geschrieben 18. Dezember 2013 (bearbeitet) Also folgendes: Wenn ich bei den Sicherheitsfiltern, Authentifizierte Benutzer hinterlege ist die GPO "GoogleChrome_MultiLogon" wieder verfügbar, sprich diese wird gezogen. Wenn ich aber nur wieder die einzelnen User eintrage, für die diese GPo gelten soll, funkioniert es wieder nicht! edit1:// Ich möchte doch nur dass für bestimmte User etwas andere GPO´s gelten, man... Probiert habe ich die diese drei User in einer Sicherheitsgruppe zu packen und diese bei den Sicherheitsfiltern hinzuzufügen, aber nein natürlich hat es nichts gebracht! edit2:// Wenn ich die "Negative Sicherheitsfilterung" verwende und in der GPO "GoogleChrome", meine drei Spezialuser davon ausschließe, und die GPO "GoogleChrome_MultiLogon" in der OU der drei Spezialuser verschiebe, funktioniert alles so wie es funktionieren soll! Doch leider darf ich keine Negative Sicherheitsfilterung nutzen! bearbeitet 18. Dezember 2013 von ITZubi Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 18. Dezember 2013 Melden Teilen Geschrieben 18. Dezember 2013 Wenn ich bei den Sicherheitsfiltern, Authentifizierte Benutzer hinterlege ist die GPO "GoogleChrome_MultiLogon" wieder verfügbar, sprich diese wird gezogen. Wenn ich aber nur wieder die einzelnen User eintrage, für die diese GPo gelten soll, funkioniert es wieder nicht! edit1:// Ich möchte doch nur dass für bestimmte User etwas andere GPO´s gelten, man... Mit dem Kopf durch die Wand hat noch nie geholfen. Ist das GPO auf eine OU verlinkt, in der sich die Benutzerobjekte befinden? Ich poste mal einen Link zu einer Anleitung: http://www.gruppenrichtlinien.de/artikel/erstellen-einer-gruppenrichtlinie/ Probiert habe ich die diese drei User in einer Sicherheitsgruppe zu packen und diese bei den Sicherheitsfiltern hinzuzufügen, aber nein natürlich hat es nichts gebracht! Nochmal, die Benutzerobjekte müssen im Verwaltungsbereich des GPO liegen! Ansonsten klappt gar nichts. Sind die Benutzerobjekte in einer Sicherheitsgruppe, müssen die Benutzerobjekte auch im Verwaltungsbereich des GPO liegen, wo die Gruppe liegt ist egal. edit2:// Wenn ich die "Negative Sicherheitsfilterung" verwende und in der GPO "GoogleChrome", meine drei Spezialuser davon ausschließe, und die GPO "GoogleChrome_MultiLogon" in der OU der drei Spezialuser verschiebe, funktioniert alles so wie es funktionieren soll! Doch leider darf ich keine Negative Sicherheitsfilterung nutzen! Zeig doch eine Übersicht der OU- und GPO-Struktur. -Domain -OU (mit Benutzerobjekten) Wo liegt welches GPO? Wo liegen die Benutzerobjekte? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.