-rk- 10 Geschrieben 5. Juni 2019 Melden Teilen Geschrieben 5. Juni 2019 Akt 1: Ein Windows 7 Client ist im Corporate-Lan und zieht sich, völlig korrekt, 12 GPOs und wendet die an. Akt 2: Der User und das Notebook verlassen das LAN und reisen in ein 'unfreundliches' Drittland. Es kann normal (lokal) gearbeitet werden. Allerdings stellt sich schnell heraus, dass eine GPO (Bildschirm Auto Lockscreen) im Kontext der Aufgaben des Users richtig Probleme macht und abgeschaltet werden soll. Dabei wird festgestellt, das die entsprechenden Einstellungen in der Systemsteuerung ausgegraut sind, da diese Einstellungen ja über eine GPO gesteuert werden. Darauf hin wird in der Zentrale die GPO entfernt und der Client versucht via VPN ein GPUPDATE /force. Das geht leider schief (kein Connect zu irgendeinem DC). Die Security-Leute ermitteln, dass das 'unfreundliche' Drittland die VPN-Verbindung aktiv manipuliert. Das ist in dem Land auch nicht überraschend. Akt 3: Es gelingt dem User-Admin, der auf den Client mittlerweile via Teamviewer Zugriff hat, NICHT, die GPO zu löschen bzw. ausser Kraft zu setzen. Frage: Wie lösche ich eine bestimmte GPO ohne die anderen GPOs zu löschen und ohne dass sich der Client mit einem DC verbinden kann? Aus dem Internet habe ich nur Lösungsansätze, die ALLE GPO löschen würden. Das ist aber nicht gewollt. Leider konnte der User-Admin auch durch das löschen / setzen entsprechender Registry-Einträge nicht erreichen, dass der User seinen Bildschirmschoner wieder abschalten kann. In der GPO (die ich mit einem PS-Tool ausgelesen habe) steht folgendes drin. Parse-PolFile -Path C:\Registry.pol KeyName : Software\Policies\Microsoft\Windows\Control Panel\Desktop ValueName : ScreenSaveActive ValueType : REG_SZ ValueLength : 4 ValueData : 1 KeyName : Software\Policies\Microsoft\Windows\Control Panel\Desktop ValueName : ScreenSaverIsSecure ValueType : REG_SZ ValueLength : 4 ValueData : 1 KeyName : Software\Policies\Microsoft\Windows\Control Panel\Desktop ValueName : SCRNSAVE.EXE ValueType : REG_SZ ValueLength : 80 ValueData : rundll32.exe user32.dll,LockWorkStation KeyName : Software\Policies\Microsoft\Windows\Control Panel\Desktop ValueName : ScreenSaveTimeOut ValueType : REG_SZ ValueLength : 8 ValueData : 300 Wie bekomme ich die GPO vom Rechner bzw. ermögliche dem User, die Settings wieder selbst einzustellen. Der User ist kein Admin auf seinem Gerät. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 7. Juni 2019 Melden Teilen Geschrieben 7. Juni 2019 Lösche einfach die zugehörigen Reg-Werte. Ohne DC-Verbindung werden GPOs nie angewendet. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.