Gruppenrichtlinie wird nicht angewandt (2019 Essentials)

[cmp 10]

Hallo,

 

an einem frischen Server 2019 Essentials wollte ich eine Gruppenrichtlinie zur Einbindung eines Netzlaufwerkes für eine bestimmte Usergruppe erstellen. Die Erstellung der Richtlinie klappte, nur die Einbindung auf den Clients der Gruppe nicht. Weise ich der Richtlinie zum Test dem Admin zu und erzwingen die Aktualisierung (gpupdate /force) auf dem Server, funktioniert sie. Habe ich was vergessen???

 

Viele Dank & beste Grüße

Carsten

[testperson 1.728]

Hi,

 

an welche OU hast du das GPO denn verknüpft und was für Objekte (Computer oder User) befinden sich in dieser OU?

Was verstehst du an dieser Stelle unter "Clients der Gruppe"? Wenn es tatsächlich um Computer in einer Gruppe geht, hast du die PCs neu gestartet? Ansonsten weiß der PC nichts von der neuen Gruppenmitgliedschaft.

 

Gruß

Jan

[Sunny61 809]

Wenn das GPO auf Userobjekte wirken soll, müssen auch die Computerkonten LESERECHTE an dem GPO haben.  https://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/

Wir benötigen mehr Details.

[cmp 10]

Hallo,

vielen Dank für die Hinweise, ich melde mich morgen nochmal dazu. Bis dahin.

[cmp 10]

Guten Morgen,

ich habe eine Richtlinie für ein Netzlaufwerk erstellt. (Bild1) Dieser Richtlinie habe ich eine Gruppe von Usern zugeordnet, mit dem Ziel, dass diese Netzlaufwerk immer auf dem Client zur Verfügung steht, auf dem sich ein Mitglied diser Gruppe anmeldet. Muss ich die betreffenden Clients ebenfalls zur Sicherheitsfilterung hinzufügen? (Bild 2)

[tesso 375]

Computer müssen die Richtlinie lesen können.

Also bei Delegierung Computern das Lesen erlauben.

[Sunny61 809]

vor 1 Stunde schrieb cmp:

ich habe eine Richtlinie für ein Netzlaufwerk erstellt. (Bild1) Dieser Richtlinie habe ich eine Gruppe von Usern zugeordnet, mit dem Ziel, dass diese Netzlaufwerk immer auf dem Client zur Verfügung steht, auf dem sich ein Mitglied diser Gruppe anmeldet.

Die Richtlinie ist auf eine OU verlinkt, in der Userobjekte liegen?

Merke: Gruppenrichtlinien greifen nicht auf Gruppen, nur auf eine Gruppe von Objekten. :)

vor 1 Stunde schrieb cmp:

Muss ich die betreffenden Clients ebenfalls zur Sicherheitsfilterung hinzufügen?

Lies doch bitte den verlinkten Artikel komplett und so oft, bis Du verstehst was da passiert. Das ist nicht böse gemeint, aber es hilft für zukünftige Arbeiten an GPOs weiter, wenn man das Dahinter versteht.

[cmp 10]

Hallo alle zusammen,

hat geklappt. Ich habe unter Delegierung den/die PC´s hinzugefügt. Unter Objekttypen musste ich noch "Computer" anhaken. Kann ich die betreffenden Clients auch in eine Gruppe packen und dann diese Gruppe hinzufügen?

 

@Sunny61: vielen Dank für den Link, werde ich lesen.

[cmp 10]

@Sunny61: https://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/

 

dies bedeutet, dass auch die Benutzer über den Reiter Delegierung hinzugefügt werden, nicht mehr über Sicherheit.

 

edit: angenommen es haben unterschiedliche Gruppen von Usern Zugriff auf dieses Netzlaufwerk. Nun soll ein User oder eine Gruppe keinen Zugriff mehr erhalten. Werden die Netzlaufwerke wieder entfernt wenn ich den User oder die Gruppe entferne? Wenn unterschiedliche User sich immer wieder an unterschiedlichen Clients anmelden, macht es dann nicht Sinn, allen relevanten Clients immer die Leserechte zu überlassen bzw. sie immer in den relevanten Richtlinien zu belassen?

 

Danke Euch.

bearbeitet 20. November 2019 von cmp

[Sunny61 809]

vor 14 Minuten schrieb cmp:

@Sunny61: https://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/

 

dies bedeutet, dass auch die Benutzer über den Reiter Delegierung hinzugefügt werden, nicht mehr über Sicherheit.

Das wichtigste an dem Artikel: Die Clients müssen LESERECHTE auf das GPO haben, ansonsten können und werden sie das GPO mit den Einstellungen NICHT an den Benutzer übergeben. Jetzt verständlicher?

vor 1 Stunde schrieb cmp:

Ich habe unter Delegierung den/die PC´s hinzugefügt. Unter Objekttypen musste ich noch "Computer" anhaken. Kann ich die betreffenden Clients auch in eine Gruppe packen und dann diese Gruppe hinzufügen?

Du kannst die Authentifizierten Benutzer hinzufügen, da sind auch die Clients enthalten. Solange sie nur LESERECHTE auf das GPO haben, passiert nichts weiter.

[cmp 10]

Gerade eben schrieb Sunny61:

Das wichtigste an dem Artikel: Die Clients müssen LESERECHTE auf das GPO haben, ansonsten können und werden sie das GPO mit den Einstellungen NICHT an den Benutzer übergeben. Jetzt verständlicher?

Ja, das hab ich verstanden... Danke

[Sunny61 809]

vor 18 Minuten schrieb cmp:

edit: angenommen es haben unterschiedliche Gruppen von Usern Zugriff auf dieses Netzlaufwerk. Nun soll ein User oder eine Gruppe keinen Zugriff mehr erhalten. Werden die Netzlaufwerke wieder entfernt wenn ich den User oder die Gruppe entferne? Wenn unterschiedliche User sich immer wieder an unterschiedlichen Clients anmelden, macht es dann nicht Sinn, allen relevanten Clients immer die Leserechte zu überlassen bzw. sie immer in den relevanten Richtlinien zu belassen?

Das kommt drauf an, wie genau du das im GPO eingestellt hast. Aktualisieren ist das Mittel der Wahl, Verbindung wiederherstellen ist schlecht.

 

Wenn Du Erstellen und Verbindung wiederherstellen eingerichtet hast, musst Du auch für jedes NW-Laufwerk das ein User NICHT mehr bekommt, eine Löschanforderungen schreiben. Du kannst das auch recht schnell mit einem Testuser selbst testen.

bearbeitet 20. November 2019 von Sunny61

[cmp 10]

vor 1 Minute schrieb Sunny61:

Wenn Du Erstellen und Verbindung wiederherstellen eingerichtet hast, musst Du auch für jedes NW-Laufwerk das ein User NICHT mehr bekommt, eine Löschanforderungen schreiben.

Vielen Dank Dann bin ich jetzt wieder etwas schlauer.

[xrated2 15]

vor 6 Stunden schrieb Sunny61:

Du kannst die Authentifizierten Benutzer hinzufügen, da sind auch die Clients enthalten. Solange sie nur LESERECHTE auf das GPO haben, passiert nichts weiter.

 

Mache ich bei allen Policies so, steht ja auch nichts geheimes drin.

[daabm 1.366]

vor 2 Stunden schrieb xrated2:

 

Mache ich bei allen Policies so, steht ja auch nichts geheimes drin.

"Geheim" nicht, aber kennst Du schon "Attack Surface reduction" und "needs to know principle"? Warum soll ich jedem User erlauben, die Security Konfigurationen aller Server zu lesen? Damit er sein Angriffsziel leichter finden kann?