Jump to content

Wirksamkeit von Domänen-GPO auf extern genutzem Rechner/Laptop


Direkt zur Lösung Gelöst von NorbertFe,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

hier eine vielleicht etwas naive Frage zur Wirksamkeit einer GPO, welche in einer Domäne verteilt wurde - die vorherige Suche hat mich hierzu nicht viel schlauer gemacht. Oder ich habe falsch gesucht.

 

Für einen neuen externen Mitarbeiter wurde im Büro ein Laptop eingerichtet, welches über die Domäne eine, für diese Nutzergruppe gedachte GPO empfangen hat. In der Domäne funktionieren alle Einstellungen perfekt, doch wie sieht es aus, wenn die Anmeldung am Laptop extern erfolgt, entweder über VPN (hier Anmeldung vor Tunnelaufbau), oder gänzlich ohne Verbindung zur Firma (privat, etc.). Sind dann die Einstellungen der Domänen-GOP auch noch wirksam, oder wird dann die lokale GPO angewandt?

 

Momentan gehe ich von letzterem aus und habe die entsprechenden Resitriktionen auch noch einmal in einer GPO für Nicht-Admins angelegt.

Aber vielleicht muss man sich diese Arbeit nicht machen und es funktioniert wie gewünscht?

 

Danke für etwaige Antworten

Clemens

Link zu diesem Kommentar

Ja, das habe ich natürlich schon versucht, aber da die Einstellungen in den GPOs identisch sind, ist auch das Ergebnis gleich. Klar könnte ich eine der GPOs ändern, selbst weiter forschen und dann davon ausgehen, dass es irgendwie läuft.

 

Eine Abfrage zur Anwendung der GPO mit gpresult/r klappt nicht, da die Nutzung, bzw. Nichtnutzung von cmd/powershell einen Teil der Restriktionen darstellt. Insofern war/ist es auch umständlich, bzw. mehrmaligem An- und Abmelden verbunden, eine lokale GPO wie gewünscht anzupassen.

 

Da dachte ich, das ich mit der Frage die Sache etwas beschleunigen könnte und vielleicht noch die ein- oder andere Hintergrundinfo erhielte, warum es so oder so funktioniert.

Stichwort "best practice, etc."

 

Trotzdem danke für die Antwort, dann werde ich mal weiter testen...

Sollte ich zu einem verwertbaren Ergebnis kommen, werde ich es mitteilen.

 

Grüße
Clemens

 

 

 

 

 

 

Link zu diesem Kommentar
  • Beste Lösung
vor 16 Minuten schrieb Nummernschild-B:

Trotzdem danke für die Antwort, dann werde ich mal weiter testen...

 

Du hast die Antwort auch gelesen? Was willst du denn jetzt testen? Ja natürlich greift weiterhin die Domänen-GPO. Oder glaubst du ernsthaft, du wärst der erste, der auf die Idee kommt, ohne Netzwerk zu booten und dann wären alle Restriktionen weg?

Link zu diesem Kommentar

Hi,

 

die Frage wäre jetzt ggfs., was willst du denn erreichen?

  • Willst du das Policy Set einmalig anwenden bzw. anwenden und Änderungen auf den Client bekommen, sobald der VPN Tunnel online ist oder das Device in eurem Netzwerk ist?
    • Dann solltest du jetzt fertig sein.
  • Willst du "die Kontrolle" über das Device haben, sobald es mit dem Internetverbunden ist?
    • Eine Always-On VPN Lösungen könnten ggfs. ein Ansatz sein
    • Ein Device- / Endpoint-Management wie bspw. Intune oder Endpoint Central von Manage Engine wären vllt. ein Ansatz

Gruß

Jan

Link zu diesem Kommentar

Moin,

 

ich interpretiere deine Frage so, dass du dir über die Grundlagen nicht ganz sicher bist. Vielleicht hilft Folgendes - schon ziemlich alt, aber immer noch gültig.

 

[Die Anwendung von Gruppenrichtlinien steuern | faq-o-matic.net]
https://www.faq-o-matic.net/2014/04/07/die-anwendung-von-gruppenrichtlinien-steuern/

 

[Erste Schritte - Gruppenrichtlinien]
https://www.gruppenrichtlinien.de/themen/erste-schritte 
 

Gruß, Nils

 

Link zu diesem Kommentar

 

@NorbertFe:

Danke, dann ist die Frage ja beantwortet, nur konnte ich oben mit >Ja, nein< nicht soviel anfangen, bzw. habe es wohl nicht richtig interpretiert.

 

@testperson:

Ja, Punkt 1 ist richtig, die Richtlinie soll einmal angewandt werden und dann bis auf Widerruf auch offline dauerhaft gültig sein.

 

@NilsK:

Das ist richtig, meine Kenntnisse von Gruppenrichtlinen bewegen sich derzeit noch auf unterstem Niveau, wobei ich die beabsichtigten Einstellungen schon gut konfigurieren konnte und die damit versorgten Rechner auch so funktonieren wie gewünscht. Nur bei der Frage, ob die Einstellungen auch bei offline genutzen Domänenrechnern dauerhaft wirksam bleiben, war ich mir unsicher.

 

Danke auch für die Links - das klärt auch Fragen, welche ich noch nicht gestellt habe.

 

Der Ordnung halber noch für mich mal zusammengefasst:

Die durch eine Domäne verteilte GPO wird während der Verteilung dauerhaft auf dem Clientrechner gespeichert. Sie ist somit auch öffline unbegrenzt wirksam, es sei denn, sie wird aktiv und bewusst durch eine andere GPO ersetzt.

 

Die Frage ist hiermit beantwortet und das Thema kann geschlossen werden.

 

 

 

bearbeitet von Nummernschild-B
Link zu diesem Kommentar
vor 20 Minuten schrieb Nummernschild-B:

Sie ist somit auch öffline unbegrenzt wirksam, es sei denn, sie wird aktiv und bewusst durch eine andere GPO ersetzt.

Und wie sollte sie aktiv und bewußt offline durch ein anderes GPO ersetzt werden? Dazu müßte man ja online sein. Lokale Adminrechte (hebeln aber selbstverständlich im Zweifel alles aus, wenn man möchte).

Link zu diesem Kommentar
vor 5 Stunden schrieb Nummernschild-B:

Die durch eine Domäne verteilte GPO wird während der Verteilung dauerhaft auf dem Clientrechner gespeichert. Sie ist somit auch öffline unbegrenzt wirksam, es sei denn, sie wird aktiv und bewusst durch eine andere GPO ersetzt.

 

Nicht ganz. Einstellungen aus GPOs werden auf dem jeweiligen Computer/Benutzer gesetzt. Wenn bei der GPO-Verarbeitung kein DC erreicht werden kann, wird nichts verarbeitet (auch nicht die "lokale GPO"). Damit bleibt alles beim letzten Stand.

Link zu diesem Kommentar

Jepp - auch das nicht. Wenn der Rechner in einer Domäne ist und kein DC erreicht werden kann, ist nix mit GPOs jeder Art. Die fängt für Domain Member mit der Ermittlung eines DC an. Klappt das nicht-> Schicht im Schacht.

 

Sonst könnte man ja in der lokalen GPO Werte setzen, die eigentlich von Domain GPOs anders gesetzt werden... Das führt dann die Inheritance ad absurdum.

Link zu diesem Kommentar

Moin,

 

vor 18 Stunden schrieb daabm:

Sonst könnte man ja in der lokalen GPO Werte setzen, die eigentlich von Domain GPOs anders gesetzt werden... Das führt dann die Inheritance ad absurdum.

 

klar, aber bis zu deiner Erwähnung war ich der Meinung, dass genau diese Möglichkeit besteht. Man braucht ja schließlich lokale Adminrechte dafür, da kann sowas ja durchaus gewollt sein.

Ich hätte auch behauptet, das geprüft zu haben, aber anscheinend war ich da im Irrtum. :lol3:

 

Wunderwelt Gruppenrichtlinien ... lernste echt im August 2023 noch was Neues dazu. Dabei kann ich mich noch ziemlich genau an das Train-the-Trainer im Sommer 1999 erinnern ...

 

Danke und Gruß, Nils

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...