Gruppenrichtlinien über VPN

[WileC 10]

Hallo liebes Forum,

 

ich hätte mal eine Frage zur Anwendung von GPO/GPP: ich nutze einen Windows Server 2016 und habe einige GPOs/GPPs eingerichtet. in der Domäne funktioniert alles problemlos. Für die Laptops meiner Domäne habe ich eine GPO "Hintergrundaktualisierung von Gruppenrichtlinien deaktivieren" - aktiviert ... d.h. die Laptops sollten sich während einer Benutzersitzung keine GPOs/GPP vom Domänencontroller ziehen... innerhalb der Domäne ists ja nicht schlimm, aber:

 

wenn ich mich von einem externen Netz per VPN in mein Domänennetzwerk einwähle, zieht sich der betreffende Laptop die GPPs .. sodass letzendlich die Laufwerks- und Druckerzuordnungen übers VPN erfolgen. Das möchte ich aber nicht. Wie kann ich das verhindern ?!.. Über Zielgruppenadressierung mit Auswertung der IP wird ja nicht ganz funktionieren, da der Rechner per VPN ja eine IP aus dem lokalen Netz bekommt...

 

Wo habe ich denn meinen Denkfehler bzw. meine Lösungsblockade ??!

 

MfG

Tobias

bearbeitet 16. Oktober 2018 von WileC

[Tektronix 21]

Moin,

eventuell über WMI-Filter.

SELECT * FROM Win32_IP4RouteTable WHERE MASK="255.255.255.255" AND Caption LIKE "192.168.%.%"

bearbeitet 16. Oktober 2018 von Tektronix

[NorbertFe 2.089]

vor 11 Minuten schrieb WileC:

Auswertung der IP wird ja nicht ganz funktionieren, da der Rechner per VPN ja eine IP aus dem lokalen Netz bekommt...

Also in mir bekannten VPNs bekommen Clients keine ip des lokalen Netzes. Vielleicht kannst du das ja konfigurieren.

[WileC 10]

vor 33 Minuten schrieb Tektronix:

Moin,

eventuell über WMI-Filter.

SELECT * FROM Win32_IP4RouteTable WHERE MASK="255.255.255.255" AND Caption LIKE "192.168.%.%"

dh. den WMI-Filter muss ich auf alle GPO/GPP anwenden, die nicht zugeteilt werden?

 

[Tektronix 21]

Jeep

[WileC 10]

und für was setze ich dann die GPO "Hintergrundaktualisierung von Gruppenrichtlinien deaktivieren"??

[NorbertFe 2.089]

Die kannst du doch dann aktiviert lassen, wenn es dir rein um das Thema GPP Laufwerksmapping geht.

[WileC 10]

und um die geht es mir ausschliesslich... dass die GPPs bei bestehender VPN-Verbindung ausgeführt werden.. dies aber NICHT geschehen soll... und die GPO "Hintergrundaktualisierung..." habe ich ja gesetzt...

 

[NorbertFe 2.089]

Du sollst auf den Laufwerksmappings den Filter setzen, dass die Laufwerke _nicht_ gemappt werden, wenn du im VPN steckst. Dann ist die Hintergrundaktualisierung doch egal.

[WileC 10]

Ja das habe ich schon verstanden... aber wofür ist dann diese eine GPO gedacht?

[NorbertFe 2.089]

Damit man den Hintergrundrefresh deaktiviert. Warum man das tut, die Gründe kannst du dir selbst ausdenken. ;) 

[WileC 10]

scheint aber nicht zu funktionieren.... sonst müsste ich ja keinen Filter auf die GPPs legen.. richtig ?!?

[NorbertFe 2.089]

Doch das funktioniert. Nur vermutlich nicht so wie du erwartest.

https://gpsearch.azurewebsites.net/#335

Note: If you make changes to this policy setting, you must restart your computer for it to take effect.

 

Heißt der Computer erhält die Vorgabe im VPN den Background Refresh zu deaktivieren, aber das würde erst nach einem Reboot passieren. ;) Denn vorher weiß er davon j a nix.

[WileC 10]

das gpupdate/force habe ich bereits mehrfach im Domänennetzwerk gemacht und trotzdem werden die GPPs über die VPN-Verbindung, direkt nach Einwahl übernommen...

 

[NorbertFe 2.089]

Nach einem Reboot erfolgt im VPN weiterhin ein Background Refresh? Und die Policy wird auch übernommen? Was genau sollte jetzt ein gpupdate /force deiner Meinung nach bewirken?