GPO Benutzerrichtlinie die nur auf einem PC angewendet werden soll

[testosteron 10]

Ich entschuldige mich jetzt schon für meine doofe Frage, aber ich bin im Moment total verwirrt und blicke grade überhaupt nicht mehr durch wie ich es am besten anstelle.

 

Es soll verhindert werden dass ein PC heruntergefahren wird. Also GPO -> Benutzerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Startmenü und Taskleiste -> Befehle "Herunterfahren, "Neu starten, "Energie sparen" und "Ruhezustand" entfernen und Zugriff darauf verweigern auf aktiv gesetzt.

 

Mehr steht in der GPO nicht drin.

 

Unter Sicherheitsfilterung ist nur der entsprechende PC eingetragen. Aber was nun?

Die GPO wird auf den PC angewandt, aber nicht auf die User. Verständlich da ja auch unter Sicherheitsfilterung nur der PC und keine Benutzer(gruppe) eingetragen sind.

Trage ich unter Sicherheitsfilterung noch Benutzer(gruppen) ein, gilt die Richtlinie auf allen PCs. Auch wieder falsch.

 

Einfachste Lösung wäre es den entsprechenden PC in eine eigene OU zu legen auf die die Gruppenrichtlinie geht. Das geht aber nur schlecht, wegen den anderen Gruppenrichtlinien.

 

Also zusammenfassend gefragt:
Wie erstelle ich eine GPO die an bestimmten PCs gilt, Benutzerkonfigurationen vorgibt, und deren PCs auf die diese GPO wirken soll schon fix in OUs drin sind.

 

Gruß

 

Christian

bearbeitet 23. März 2014 von testosteron

[lefg 276]

Morn,

 

wirklich nur an einem bestimmten PC?

 

Mein Gedanke üben, ich mache es mit einem lokalen GPO, lokaler gpedit.

 

Geht es wirklich um den PC oder um einen bestimmten Benutzer?

 

Geht es eventuell per GPP und Zielgruppenadressierung?

bearbeitet 23. März 2014 von lefg

[testosteron 10]

Hallo,

 

ich habe die Frage erst mal auf einen Computer runter gebrochen.

Konkret wäre es momentan ein PC der nicht ausgeschaltet werden soll, ein PC der besonders gesichert werden müsste.

Aber da das Prinzip ja gleich ist habe ich mich erst mal auf einen beschränkt.

 

Gruß

 

Christian

[testperson 1.674]

Hi,

 

schau dir mal den Loopbackverarbeitungsmodus an.

http://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loopback-processing-mode/

 

Gruß

Jan

[testosteron 10]

Hey Jan,

 

der wäre schon an (wegen anderen Richtlinien), hat aber ja darauf keinen Einfluss. Wenn ich in der Sicherheitsfilterung den einen PC eintrage greift es ja nicht auf die Benutzer.

Dürfen die Benutzer die Richtlinie auch verarbeiten, so gilt diese überall.

 

Loopback ist hier also leider das falsche Zauberwort :(

 

Gruß

 

Christian

[lefg 276]

Einfachste Lösung wäre es den entsprechenden PC in eine eigene OU zu legen auf die die Gruppenrichtlinie geht. Das geht aber nur schlecht, wegen den anderen Gruppenrichtlinien.

 

Nicht eigene, extra OU, sondern eine Sub-OU.

 

Eine amdere Möglichkeit, herausfinden, welcher Regkey das Gewünschte bewirkt, dann per GPP Registierung,

[testosteron 10]

Nicht eigene, extra OU, sondern eine Sub-OU.

 

Würde ich ungerne.

 

Ich kenne mich mit WMI Filter noch wenig aus. Würde es damit gehen? Dann würde ich mich da mal einlesen.

[lefg 276]

Ich kenne mich mit WMI Filter noch wenig aus. Würde es damit gehen? Dann würde ich mich da mal einlesen.

 

Zu WMI-Filterung kann ich nichts zu sagen.

 

Ich neutze ich solchen Fällen SubOU, lasse mich nicht von gerne, ungerne leiten.

 

Nun, vielleicht meldet sich ja Sunny zu Wort.

[testosteron 10]

Hey!

 

Ja, vielleicht bin ich da etwas eigen ;)

Wäre schön wenn sich irgendwer bei mir bzw. hier melden könnte der weiß ob es mit WMI Filterung möglich wäre.

Danke und Gruß

 

Christian

[NorbertFe 2.027]

Loopback ist das richtige Stichwort. Der pc muss das gpo lesen können und logischerweise alle dir user, denen das verboten sein soll. Wenn du es richtig machen willst, dann definiere es als sicherheitsrichtlinie und nicht als user gpo.

[testosteron 10]

Der PC liest ja auch die GPO. Nur wenn ich es nun auch die User lesen lasse greift diese GPO überall und nicht nur auf dem einem Rechner.

Es gibt außerdem keinen User dem es verboten ist die GPO zu lesen bzw. zu verarbeiten. Diese GPO soll an dem Rechner für Alle gelten!

 

Aber dass Stichwort "Sicherheitsrichtlinie" war Gold wert! Ich hab es nun einfach über Computerkonfiguration -> Windows-Einstellungen -> Lokale Richtlinien -> Zuweisen von Benutzerrechten -> Herunterfahren des Systems das "Problem" gelöst.

Perfekt! So muss die GPO nur von einem PC verarbeitet werden der im Sicherheitsfilter eingetragen ist. Die User bekommen von der GPO nix mit, ich muss keine OU oder sonst was erstellen!

Sauber und genau wie ich es haben wollte!

 

Danke! :jau:

 

Gruß

 

Christian

[NorbertFe 2.027]

Gut zu wissen.

[testosteron 10]

Das gpo darf natürlich nicht auf die ou mit den benutzerkonten sondern nur auf die mit dem computerkonto verlinkt sein. Der obige Artikel sollte von dir mal aufmerksam gelesen werden.

Ich hab das schon verstanden. Aber lese dir mal bitte meinen ersten Beitrag bzw. die Fragestellung durch: Da hatte ich ja schon angemerkt dass ich keine extra OU für diese GPO habe(n möchte).

Grüße!

[NorbertFe 2.027]

Wenn du benutzerkonten und compiterkonten in einer ou hast oder das gpo auf domäneneben verlinkst, dann kannst du den loopback Modus nie sinnvoll einsetzen. Wmi wird dir dabei nicht helfen. Abgesehen davon steht da nur, dass du keine extra ou für diesen Computer haben willst. Hab ich wohl nirgends geschrieben, oder?

[testosteron 10]

Ich denke wir reden aneinander vorbei!

 

Ich habe unter anderem eine OU für die Benutzer (mit unter OU's). Dann eine OU für die Rechner (wieder mit unter OU's).

Das MUSS auch so bleiben wie es ist.

 

Der Rechner der nicht ausgeschaltet werden soll ist in einer OU mit ganz vielen anderen Rechnern. Das soll auch so bleiben.

Also würde die GPO auf alle PCs dieser OU greifen. Folge: Kein PC kann heruntergefahren werden.

 

Und dass ist doch genau dass was du vor zwei Posts vorgeschlagen hast (... nur auf die mit dem Computerkonto verlinkt sein.)