Jump to content

Gruppenrichtlinienobjekt verknüpft mit Benutzer-OU


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich habe irgendwie ein kleines Verständnisproblem. Ich habe in einer AD-Struktur eine Benutzer-OU, in welcher spezielle Benutzerkonten existieren. Für diese Benutzer soll der Windows Desktop stark reduziert sein, egal auf welchem Rechner sie sich anmelden.

 

Dazu habe ich mit dieser OU ein Gruppenrichtlinienobjekt verknüpft. In der Sicherheitsfilterung ist die Gruppe "Domänen-Benutzer" eingetragen. In der Delegierung ist für die Gruppe der "Authentifizierten Benutzer" das Lesen des Objektes erlaubt.

 

Ich hätte jetzt erwartet, dass das Objekt für diese Benutzer auf einem beliebigen Rechner angewendet wird. Dies ist aber nicht der Fall. Ein Aufruf von "gpresult /r" zeigt mir das Objekt überhaupt nicht an (weder angewendet noch herausgefiltert).

 

Auch das Ergänzen des Loopbackverarbeitungsmodus für die Benutzergruppenrichtlinie (Zusammenführen) hat keine Auswirkungen.

 

Wo genau ist da der Denkfehler/das Verständnisproblem?

 

Gruß,

AMiGA

Link zu diesem Kommentar

In der OU stecken wie oben geschrieben Benutzer-Objekte.

 

Der Loopback Modus wurde aktiviert, da seit 2016 meines Wissens zunächst das Computerobjekt, an dem sich der Benutzer anmeldet die Richtlinie liest und erst danach an den Benutzer übergibt. Daher auch die Delegierung an "Authentifizierte Benutzer", da das GP-Objekt sonst nie durch ein Computerobjekt ausgeführt würde.

Link zu diesem Kommentar

Der loopback kann aber nur ausgeführt werden, wenn das gpo (oder ein anderes) auf eine ou mit dem computerkonto verlinkt ist. Ansonsten müsstest du noch etwas genauer beschreiben was du wie konfiguriert hast. Ein normales gpo das nur auf Benutzerkonten wirkt, funktioniert einfach so per default. Wenn das bei dir nicht so ist, müsste man rausfinden warum das bei dir so ist.

Link zu diesem Kommentar

ich stell den Artikel von Mark ein. https://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/ Evtl. wird es klarer.

 

Du hast das GPO auch korrekt auf die OU verlinkt?  Es sind auch wirklich Benutzereinstellungen konfiguriert?

bearbeitet von Sunny61
Link zu diesem Kommentar
Du hast das GPO auch korrekt auf die OU verlinkt?  Es sind auch wirklich Benutzereinstellungen konfiguriert?

Ja genau. Eine OU, in der mehre Benutzerobjekte sind. Mit dieser (Benutzer-)OU ist ein Gruppenrichtlinienobjekt verknüpft. Dieses enthält verschiedene Benutzereinstellungen, keine Computereinstellungen.

 

Mit einem Benutzer aus der OU melde ich mich an einem RDS-Broker an. Für diesen Computer gibt es einige direkt verknüpfte und einige geerbte Gruppenrichtlinienobjekte.

 

Ich prüfe, ob mein gewünschtes Gruppenrichtlinienobjekt angewendet wurde, indem ich die angewendeten/herausgefilterten Objekte mit "gpresult /r" anzeige. Außerdem überprüfe ich zusätzlich mit "rsop.msc", ob die Einstellungen aus dem Objekt angewendet wurden.

 

Leider wird das Objekt offenbar nicht angewendet.

 

Gruß,

AMiGA

bearbeitet von AMiGA
Link zu diesem Kommentar

Hi,

 

in dem Bericht solltest du dann aber auch sehen, warum das GPO z.B. abgelehnt wurde bzw. aus welchem GPO die entsprechenden Einstellungen kommen.

Gibt es evtl. ein GPO mit aktiviertem Loopbackverarbeitungsmodus, welches auf dem Client angewendet wird auf dem sich der User anmeldet (Sollte auch im Bericht auftauchen)?

 

Gruß

Jan

Link zu diesem Kommentar

 

 

in dem Bericht solltest du dann aber auch sehen, warum das GPO z.B. abgelehnt wurde bzw. aus welchem GPO die entsprechenden Einstellungen kommen.

Leider taucht mein Objekt überhaupt nicht auf, weder bei den angewendeten noch bei den abgelehnten Objekten.

 

 

 

Gibt es evtl. ein GPO mit aktiviertem Loopbackverarbeitungsmodus, welches auf dem Client angewendet wird auf dem sich der User anmeldet (Sollte auch im Bericht auftauchen)?

Ja, es gibt ein Objekt mit aktiviertem Loopbackverarbeitungsmodus, was auf dem Client angewendet wird, es wird aber für den Benutzer nicht angewendet (aufgrund der Sicherheitsfilterung).

 

Gruß,

AMiGA

Link zu diesem Kommentar

 

 

das deutet darauf hin, dass es nicht an der richtigen Stelle verknüpft ist.
Aber wo könnte ich da noch etwas falsch gemacht haben? Ich habe die OU, sehe das verknüpfte Gruppenrichtlinienobjekt, die Verknüpfung ist aktiv, das Objekt ist aktiviert, das Objekt enthält Benutzerkonfigurationseinstellungen. Der Benutzer ist definitiv in der OU, trotzdem wird das Gruppenrichtlinienobjekt nicht angewendet...
Link zu diesem Kommentar

Ich verstehe nicht wirklich, wieso das Objekt nicht angewendet wird. Bei der Anmeldung des Benutzers an einer Workstation wird es angewendet. Bei der Anmeldung des Benutzers an einem anderen Server wird es angewendet. Nur bei der Anmeldung des Benutzers an einem RDS-Sitzungshost wird es nicht angewendet (mit diesem habe ich bei der Problemrecherche gestartet).

 

Wenn ich das genannte GP-Objekt deaktiviere, wird ein weiteres GP-Objekt, was mit der Benutzer-OU verknüpft ist ausgeführt. Wenn ich das genannte GP-Objekt aktiviere wird auch das weitere GP-Objekt, was mit der Benutzer-OU verknüpft ist, nicht ausgeführt.

 

Sehr seltsam.

Link zu diesem Kommentar

Leider nein, zumindest hatte ich weder unter Application, System noch unter Microsoft/Windows/GroupPolicy etwas entscheidendes gefunden. Die Liste der anzuwendenden Gruppenrichtlinienobjekte wird per LDAP angefragt und erhalten, die anzuwendenden und herausgefilterten Objekte entsprechen genau denen, die per gpresult ausgegeben werden. Das "Problem"-Objekt taucht nirgends auf.

bearbeitet von AMiGA
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...