Allgemeine Frage bzgl. GPO Einstellung User ausschließen

[Iselith 0]

Hi zusammen :)

 

habe eigentlich nur eine Verständnisfrage. 

 

Wenn ich einen User von einer GPO ausschließen will und das via Delegationtab mache in der GPO und dort in den Eigenschaften nur "Apply group policy" auf deny setze reicht das, das die GPO nicht angewendet wird? (screenshot 1)

 

Oder muss man "Read" auf Allow setzen und "Apply group policy" auf deny? (Screenshot 2)

 

Ich habe beides mit meinem User getestet und ein gpresult /r zeigte mir bei beiden Einstellungen, dass diese GPO nicht angewendet wurde bzw. herausgefiltert wurde "Filterung:  Verweigert (Sicherheit)".

 

Steht also das deny von "Apply group policy" über allem? Also reicht es wenn man nur den Haken bei "Apply group policy" auf deny setzt und alle anderen rausnimmt?

 

Also kurz gefragt: Muss man Read auf allow lassen oder kann man den Haken rausnehmen und den nur bei "Apply group policy" auf deny setzen?

 

Danke euch schon mal für eure Antworten.

 

bearbeitet 6. Oktober 2022 von Iselith

[Damian 1.535]

Hallo und Willkommen on Board!

 

Ich habe Deine Frage mal ins richtige Unterforum verschoben, passt hier besser.

 

VG

Damian

[Iselith 0]

Super danke :)

[testperson 1.680]

Hi,

 

ein Deny bei "Apply group policy" reicht aus. Die restlichen Berechtigungen kannst du dann auch belassen wie sie sind.

Gruß

 

Jan

[LK28 11]

vor 8 Minuten schrieb Iselith:

 

Steht also das deny von "Apply group policy" über allem?

 

vor 8 Minuten schrieb Iselith:

 

Ja, ein Deny hat immer Vorrang. Genau so wie bei den NTFS Rechten.

 

 

 

[Iselith 0]

Super danke euch :)

 

Nehme dann aber trotzdem alles raus bis auf das deny auch wenn die anderen Einstellung bleiben könnten :) 

 

Fühle mich damit sicherer

[tesso 375]

Das Lesen würde ich lassen. Das gibt sonst unnötige Fehler in den Logs. 

[Iselith 0]

vor einer Stunde schrieb tesso:

Das Lesen würde ich lassen. Das gibt sonst unnötige Fehler in den Logs. 

 

Ok alles klaro :)

 

Aber es muss ja nicht gesetzt sein, richtig ?

[tesso 375]

Das Lesen der Richtlinie schadet doch nicht. Hauptsache das Übernehmen ist verweigert.

[Iselith 0]

vor 9 Minuten schrieb tesso:

Das Lesen der Richtlinie schadet doch nicht. Hauptsache das Übernehmen ist verweigert.

 

Alles klaro :) Werde das dann noch nachträglich wieder aktivieren bei den Usern.

[NorbertFe 2.045]

vor 2 Stunden schrieb LK28:

Ja, ein Deny hat immer Vorrang. Genau so wie bei den NTFS Rechten.

 

Die Aussage ist so pauschal jedenfalls falsch. Ein explizites Allow überstimmt ein vererbtes Deny. ;)

[Iselith 0]

vor 2 Minuten schrieb NorbertFe:

Die Aussage ist so pauschal jedenfalls falsch. Ein explizites Allow überstimmt ein vererbtes Deny. ;)

 

Ah ok :)

 

Es geht nur um eine alte Ordnerumleitung. Diese wurde umgeändert, dass an den lokalen Profilpfad umgeleitet werden soll aber bei bestimmten Usern nicht. Also die Änderung. Daher meine Frage. Vererbt ist da nix.

bearbeitet 6. Oktober 2022 von Iselith

[daabm 1.356]

vor 4 Stunden schrieb tesso:

Das Lesen würde ich lassen. Das gibt sonst unnötige Fehler in den Logs. 

 

Um das mal zu präzisieren: "Deny Read" sollte man tunlichst vermeiden. Sonst kommt die GPO Core Engine nämlich so aus dem Tritt, daß gar keine GPOs mehr angewendet werden... Ja, sollte so nicht sein, ist aber so.

[Iselith 0]

vor einer Stunde schrieb daabm:

 

Um das mal zu präzisieren: "Deny Read" sollte man tunlichst vermeiden. Sonst kommt die GPO Core Engine nämlich so aus dem Tritt, daß gar keine GPOs mehr angewendet werden... Ja, sollte so nicht sein, ist aber so.

 

ich meinte aber ob man read allow drinnen lassen soll oder das auch rausnehmen kann und lediglich bei Apply Group policy deny anhaken kann. 
 

read deny ist klar dass das Probleme geben kann 

[daabm 1.356]

Deny apply reicht. Wie gesagt, mit "deny read" passieren gern mal komische Dinge