GPO & Filter

[astradslme 0]

Liebe Community,

ich versuche mich aktuell mit Gruppenrichtlinien (absoluter Neuling) und habe eine Frage zu folgendem Beispiel, welches mir nicht gelingen will.

 

Ich habe zwei Gruppen:

 

Gruppe1:
Computer_A
Computer_B

 

Gruppe2:
Computer_C
Computer_D

 

Ich möchte gerne eine GPO „Labor_A“ bzgl. Desktopverknüpfungen vornehmen. Ich habe eine Gruppenrichtlinie erzeugt und die benötigten Desktopverknüpfungen konfiguriert. Die Verknüpfungen werden wie gewünscht erstellt! Es handelt sich dabei um eine „Computer Konfiguration“, da später nur bestimmte Computer diese Verknüpfungen bekommen sollen. Nun möchte ich allerdings, dass die GPO "Labor_A" nur auf die Computer in „Gruppe1“ angewendet werden soll.

 

Was wäre hierfür die richtige Konfiguration?

 

Die Gruppenrichtlinie funktioniert nur, wenn die Authentifizierten Benutzer im Sicherheitsfilter eingetragen sind, allerdings dann für alle Computer!

 

Versucht habe ich ebenfalls:

 

Gruppe1 dem Sicherheitsfilter hinzugefügt und Authentifizierte Benutzer entfernet. Anschließend Authentifizierte Benutzer mit Leserecht zur Delegation hinzugefügt. Leider funktioniert dies nicht!

 

Ich hoffe mir kann dabei jemand behilflich sein.

 

Liebe Grüße

Micha

[NorbertFe 2.027]

Steck die Computer in die gruppe1 und boote sie. Das gpo filterst du dann auf die gruppe1.

[astradslme 0]

Ja das habe ich bereits getan. Gruppe1 zum Sicherheitsfilter hinzugefügt und Authentifizierte Benutzer entfernt.

 

Leider kein Erfolg!

[NorbertFe 2.027]

An welcher Stelle hast du sie denn hinzugefügt? Und der Computer ist Mitglied dieser Gruppe und wurde gebootet? Das hier kann’s eigentlich nicht sein, da die Computer die es betrifft ja lesen können: https://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/

[astradslme 0]

Siehe Bilder. Ja Computer ist in der GruppeGenau und hochgefahren. 

 

DenArtikel habe ich auch gelesen. Eigentlich sollte dieses Problem nur Benutzer Konfigurationen betreffen?

bearbeitet 9. Februar 2018 von astradslme
. . .

[NorbertFe 2.027]

was sagt das Eventlog? Was sagt gpresult?

[Sunny61 806]

Darf die Gruppe1 auch das GPO 'übernehmen'? Das kann ich auf dem Screenshot nicht erkennen.

[astradslme 0]

Danke für deine Antwort, ich werde morgen alle gewünschten Informationen nachreichen.

 

So also folgendes Ausgangsszenario:

 

1. GPO mit dem Namen "Labor_A" - Computerkonfiguration -> Einstellungen -> Windows-Einstellungen -> Verknüpfungen:  Aktion "Erstellen".

 

2. Eine Sicherheitsgruppe mit dem Namen "Gruppe1", welche meine gewünschten Computer enthält.

 

3. GPO wurde auf höchster Ebene der Domäne verlinkt und folgende Sicherheitsfilter gesetzt:

 

Bereich -> Sicherheitsfilterung -> gruppe1

Delegierung -> Authentifizierte Benutzer (Leserecht), gruppe1 (Lesen durch Sicherheitsfilter, Haken für "Gruppenrichtlinie übernhemen" ist gesetzt), Standardgruppen wie Domain Admins, Enterprise Admins, Server Logon, SYSTEM.

 

Bei diesen Einstellungen sagt gpresult /v:

 

Betriebssystem Microsoft (R) Windows (R) Gruppenrichtlinienergebnis-Tool v2.0
Copyright (C) Microsoft Corp. 1981-2001

Am 12.02.2018, um 07:48:00 erstellt



RSOP-Daten f�r ROOTRUDI\User auf WINCLIENT02: Protokollmodus
-----------------------------------------------------------------

Betriebssystemkonfiguration: Mitglied der Dom„ne/Arbeitsgruppe
Betriebssystemversion:       6.1.7601
Standortname:                Nicht zutreffend
Zwischengespeichertes Profil:Nicht zutreffend
Lokales Profil:              C:\Users\User
Langsame Verbindung?         Nein


BENUTZEREINSTELLUNGEN
----------------------
    CN=User,CN=Users,DC=rootrudi,DC=de
    Letzte Gruppenrichtlinienanwendung:   12.02.2018, um 07:47:26
    Gruppenrichtlinieanwendung von:       dc2.rootrudi.de
    Schwellenwert f�r langsame Verbindung:500 kbps
    Dom„nenname:                          ROOTRUDI
    Dom„nentyp:                           Windows 2000
    
    Angewendete Gruppenrichtlinienobjekte
    --------------------------------------
        Default Domain Policy
        Time Source

    Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
    ----------------------------------------------------------------------
        Labor_A
            Filterung:  Verweigert (Sicherheit)

        Richtlinien der lokalen Gruppe
            Filterung:  Nicht angewendet (Leer)

    Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen
    ----------------------------------------------------------
        Domain Users
        Jeder
        Benutzer
        INTERAKTIV
        KONSOLENANMELDUNG
        Authentifizierte Benutzer
        Diese Organisation
        LOKAL
        rzm
        Mittlere Verbindlichkeitsstufe
        
    Der Benutzer verf�gt �ber folgende Berechtigungen
    -------------------------------------------------


    Richtlinienergebnissatz f�r Benutzer
    -------------------------------------

 

Vielen Dank!

 

bearbeitet 12. Februar 2018 von astradslme
Nachtrag

[Sunny61 806]

Der Computer ist mit seinem Computerobjekt in der Gruppe1? Hast Du mehrere DCs? Wenn ja, funktioniert die Replikation zischen beiden DCs? In welcher OU/Container liegt das Computerobjekt?

bearbeitet 12. Februar 2018 von Sunny61

[astradslme 0]

Guten Tag,

 

das Problem hat sich für mich erledigt.

 

Ich habe einfach mehrere OUs für die verschiedenen Zwecke meiner Computer erstellt und die entsprechenden Clients der jeweiligen OU zugeordnet.

 

Vielen Dank für eure Hilfe!