Verständnis Frage GPO

[Rocknar 8]

Hallo zusammen,

 

wenn ich eine GPO erstelle in der ich Einstellungen in der Benutzerkonfiguration und Computerkonfiguration vornehme, es aber nur auf einigen Computern unabhängig vom Benutzer angewendet werden soll, wie geh ich da am besten vor?

 

Aufgrund der AD Struktur ist es nicht gewünscht die Computer in andere OUs zu verschieben. Einige User benutzen einen PC und ein Laptop so das ich das nicht am USer alleine festmachen kann. Die Richtlinie soll nur auf die PCs angewendet werden. 

 

Ich kann in der Sicherheitsfilterung Authentifizierte Benutzer entfernen und die Computerkonten hinzufügen. Wie bekomme ich es in dieser Konstellation hin, das die Computer auch die Benutzereinstellung anwenden?

 

Geht das über die Loopback Funktion?

 

Viele Grüße und vielen Dank für eure Hilfe

Rocknar 

[NorbertFe 2.089]

Nein Loopback hilft dir nicht. Du brauchst dann die Computerkonten (sinnvollerweise faßt man die in einer Gruppe zusammen) und die Gruppe der Domänenbenutzer

[zahni 558]

Man kann auch innerhalb einer OU eine Unter-OU einrichten und dort  die PC-Konten verschieben. Dort kann man dann auch andere GPO's setzen.

Kleiner Tipp: Die Organisations-Struktur im AD nachzubauen bringt am Ende nicht viel sondern nur maximale Verwirrung. Grund: Man kann OU's nicht zur Berechtigungssteuerung verwenden.

Wir richten unsere OU's an die Anforderungen unterschiedlicher GPO's aus.

[Rocknar 8]

Die Computerkonten in einer Gruppe zu packen ist natürlich sinnvoll und eine gute Idee.  Allerdings hilft das in diesem Fall nicht viel da die Benutzer teilweise zwei Geräte benutzen ein Lappi und ein PC. Wenn ich jetzt die Benutze einbau dann betrifft es auch beide Rechner und es soll nur den PC betreffen.

 

Die AD-Struktur dementsprechend anzupassen ist nicht bzw. schwer möglich. Ich bin erst paar Tage in der Firma und die AD-Struktur ist über lange Zeit gewachsen und an eher am ERP angepasst als an irgendwelche Richtlinien.

 

Alles nicht so einfach wie ich feststellen muss.

 

Viele Grüße

Rocknar

[NorbertFe 2.089]

vor 2 Minuten schrieb Rocknar:

Die Computerkonten in einer Gruppe zu packen ist natürlich sinnvoll und eine gute Idee.  Allerdings hilft das in diesem Fall nicht viel da die Benutzer teilweise zwei Geräte benutzen ein Lappi und ein PC. Wenn ich jetzt die Benutze einbau dann betrifft es auch beide Rechner und es soll nur den PC betreffen.

Und wie kommst du auf die Idee, dass deine Aussage richtig wäre und meine falsch?

vor 3 Minuten schrieb Rocknar:

Alles nicht so einfach wie ich feststellen muss.

 

Vielleicht versuchst du ja erstmal, dich mit den GPOs und deren Feinheiten vertraut zu machen.

[NilsK 2.968]

Moin,

 

es scheint da noch ein grundsätzliches Missverständnis zu geben. Die Einstellungen im Zweig "Benutzer" wirken sich nur (= ausschließlich) auf Benutzerkonten aus, egal auf welchem Rechner. Die im Zweig "Computer" wirken nur auf Computerkonten, unabhängig vom Benutzer. Das liegt daran, dass die Einstellungen auf unterschiedliche Bereiche der Registry wirken (nämlich auf das Benutzerprofil einerseits und auf die Computerkonfiguration andererseits).

 

Deine Frage "Wie bekomme ich es in dieser Konstellation hin, das die Computer auch die Benutzereinstellung anwenden?" lässt sich also nur mit "gar nicht" beantworten. Vermutlich meinst du aber etwas anderes, daher wäre es sinnvoll, wenn du konkret wirst und genau beschreibst, was die Anforderung ist.

 

Gruß, Nils

 

[Rocknar 8]

@NorbertFe

Sorry dein Text falsch verstanden... Deine Aussage ist nicht falsch.

 

@NilsK

 

Die Anforderung ist folgende.

 

Es soll bei den PCs (Win7) aus dem Startmenü und aus dem Anmeldescreen "Herunterfahren entfernt werden.

 

Das hat damit zutun das die Rechner Virtuelle Maschinen sind und vom User nicht Heruntergefahren werden sollen. Neustart wäre ok.

 

Was ich herausgefunden habe, ist das Herunterfahren im Startmenü eine Benutzereinstellung ist, und im Anmeldescreen eine Computereinstellung.

 

Problem an der Geschichte ist das, einige User einen Laptop und PC haben. Den Laptop sollen die User weiterhin Herunterfahren können den PC halt nicht.

 

Die Frage ist bekomme ich das mit einer GPO hin? oder gibt es einen anderen Weg?

 

Viele Grüße

Rocknar

[NorbertFe 2.089]

vor 1 Minute schrieb Rocknar:

 

Die Frage ist bekomme ich das mit einer GPO hin?

Ja. Und zwar so, wie oben beschrieben. 

[Rocknar 8]

Alles klar! Dann teste ich das mal.

 

Vielen Dank für eure Hilfe.

 

Gruß

Rocknar

[testperson 1.728]

Für diesen Anwendungszeck könnte der Loopbackverarbeitungsmodus aber durchaus praktikabel (-ler) sein.

Ob Loopback oder nicht ändert allerdings auch nichts an der "Einschränkung" (https://gpsearch.azurewebsites.net/#13709):

Zitat

This policy setting prevents users from performing the following commands from the Windows security screen, the logon screen, and the Start menu: Shut Down, Restart, Sleep, and Hibernate. This policy setting does not prevent users from running Windows-based programs that perform these functions.

 

[daabm 1.366]

Was da hilft, ist Looopback "Merge". Oder gekonntes Einsetzen der Group Policy Preferences...

http://evilgpo.blogspot.com/2012/03/how-to-save-my-screen.html

 

Der Hinweis von @testperson gilt natürlich trotzdem. Mit GPOs kann man Funktionen im Windows-UI sperren. Viele davon aber halt nur im UI, nicht in den zugehörigen APIs. "Shutdown" immerhin ist ein Privilege, das man wegnehmen kann https://docs.microsoft.com/de-de/windows/security/threat-protection/security-policy-settings/shut-down-the-system

[Rocknar 8]

Hallo Leute,

 

vielleicht bin ich ein wenig Begriffsstutzig oder mir fehlt einfach der sichere Umgang mit GPOs aber irgendwie will es nicht so wie ich möchte....

 

Was ich jetzt gemacht habe:

Einen User erstellt:

GpoTest

 

Zwei Gruppen erstellt

GpoTestUser

GpoTestComputer

 

Den GpoTest User in die Gruppe GpoTestUser gepackt.

Einen PC auf dem die GPO angewendet werden soll in die Gruppe GpoTestComputer gepackt

 

Beide Gruppen in eine OU gepackt und die GPO mit der OU Verknüpft.

In der Sicherheitsfilterung der GPO die beiden Gruppen hinzugefügt.

Unter Delegierung haben beide Gruppen Lesen und GPO anwenden.

 

Wenn ich mich nun mit dem User an dem Rechner anmelde, wird die GPO nicht angewendet. Wenn ich ein Gruppenrichtlinienergebnis ausführe dann seh ich die GPO weder unter angewendete oder Abgelehnte GPOs.

 

Kann mir jemand einen Tipp geben an was das liegen kann.

 

Ich will nicht nerven oder ähnliches. Aber lernen möchte ich es ja schon.

 

Vielen Dank

Rocknar

 

 

 

 

 

 

 

 

bearbeitet 14. Januar 2020 von Rocknar

[Sunny61 809]

Der User und der Computer müssen ebenfalls in der OU liegen, auf der das GPO verlinkt ist. Die Gruppen können dagegen ganz woanders liegen.

 

Lies dich mal ein: https://www.gruppenrichtlinien.de/artikel/erstellen-einer-gruppenrichtlinie/

https://www.gruppenrichtlinien.de/artikel/filtern-von-gruppenrichtlinien-anhand-von-benutzergruppen-wmi-und-zielgruppenadressierung/

 

Merke: Gruppenrichtlinien wirken nicht auf Gruppenobjekte! Gruppenobjekte kannst Du nur zum Filtern verwenden, die Computer müssen beide GPOs, User- und Computer GPO lesen können. Warum letzteres so ist, steht in diesem Artikel: https://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/

[Rocknar 8]

@Sunny61

Alles klar viele dank!

 

Ich merke schon das ich noch viel zu lernen habe.

 

Danke für die Hilfe.

[Sunny61 809]

Funktioniert es denn mittlerweile wie gewünscht?