GPO Computerrichtlinie für bestimmten Benutzer verweigern

[speer 19]

Hallo zusammen,

für die Konfiguration von Computereinstellungen gibt es eine GPO die nur Computerinformationen enthält. Ich möchte nun erreichen, dass wenn ein bestimmter Benutzer sich anmeldet, diese GPO nicht zieht.  Wie könnte man das Problem angehen?

[NorbertFe 2.016]

Gar nicht. Denn wie schon bemerkt greifen Computer-Richtlinien für den Computer unabhängig davon, wer sich daran anmeldet. Um welche Einstellungen geht es dir denn, bzw. was ist das Ziel?

 

Bye

Norbert

[Dukel 451]

Das müsste doch über die Berechtigungen der GPO gehen.

[DocData 85]

Igitt... dann müsste man dem Computerobjekt das Recht verweigern den Computerteil der GPO zu ziehen. Geht über Delegation > Advanced > Read > Deny. Sehr ekelhaft. Das gilt dann aber für alle Benutzer.

bearbeitet 19. Juni 2015 von DocData

[_SimonE_ 0]

Da du schreibst "Eine bestimmte Person", denke ich du meinst einen User in der Domäne? Weil dann kannst du im AD das GPO nur bestimmten OUs zuordnen und nicht allen. So kannst du bestimmen bei wem es zieht und bei wem nicht. 

[daabm 1.335]

Norbert hat doch schon alles dazu gesagt...

 

Abhängig davon, was genau eigentlich erreicht werden soll, gäbe es ggf. andere Möglichkeiten: http://evilgpo.blogspot.com/2012/03/how-to-save-my-screen.html

 

Das Prinzip läßt sich auch für Computer-Settings anwenden, die dann halt erst bei der Benutzeranmeldung geschrieben werden. Ob das funktioniert, hängt allerdings vom jeweiligen Setting ab.

[speer 19]

Hallo zusammen,

Hintergrund ist, wir verwenden für Außenstandorte die nur RDP benutzen einen zentralen User der ein automatisches Login durchführt und die RDP Sitzung startet. In Verbindung mit SSO funktioniert das nicht anhand unserer AD Struktur. Dieser Default User hat natürlich keinen RDP Zugang, wäre dann auch sinnfrei :)

Werde die Computer der Außenstandorte in eine eigene OU schieben und dort die GPO für SSO nicht anwenden.

[daabm 1.335]

Warum eigene OU? Nimm doch die AD-Sites dafür :)

[NorbertFe 2.016]

Ja die Site Policies. ;) nur vergisst man sie doch regelmäßig :o

[kaysus 11]

Moin,

 

ich habe da ein ähnliches Problem. Wir migrieren unsere Remote Desktop Profiles an einen anderen Ort. Wir haben eine OU mit den Terminalservern. Die TS sind per NLB zusammengeführt. Ich möchte den neuen Pfad per GPO verteilen. Dieser liegt ja auch in der Computerkonfig. Ich möchte nun nicht alle User mit einem mal schwenken, sondern nur mit bestimmten Gruppen. Schritt für Schritt. 

 

Wie geht man da am besten vor?

 

Besten Dank im Voraus.

[NorbertFe 2.016]

WEnn du das bisher per Userobjekt administrierst, dann kannst das per Policy setzen, da die Einstellung des Users-objektes vorrangig ist afair.

[kaysus 11]

OK, und wo setze ich das? Das muss doch dann in der Benutzerkonfig sein, oder? Die GPO Einstellung dazu habe ich nicht gefunden. Google gibt mir auch nur die bekannte Einstellung in der Computerkonfig...

[NorbertFe 2.016]

Wieso GPO das definierst du direkt auf dem Nutzerobjekt im Reiter Terminalserverprofil. Da wo du es jetzt wahrscheinlich seit Jahren definierst. ;) Und da das direkt am User klebt ist das GPO nicht relevant. Kannst du ja mal testen bevor du es für alle TS ausrollst.

[kaysus 11]

Das hatte ich missverstanden. Du hast recht, ich definiere es am Benutzer direkt, hätte es aber eben gerne per GPO verteilt. Dann aber Schritt für Schritt.

 

.... nu bin ich aber auch schon fast durch. Getestet hab ich es und es funtkioniert.

[NorbertFe 2.016]

Du mußt doch _sowieso_ die Einträge aus den Userobjekten nach und nach entfernen. Also einfach mal bei einem Testen und fertig.