sreutemann 10 Geschrieben 24. November 2006 Melden Geschrieben 24. November 2006 Kapier ich jetzt net ;-( ! Zitieren
IThome 10 Geschrieben 24. November 2006 Melden Geschrieben 24. November 2006 Der Gruppe Authentifizierte Benutzer sind die Berechtigungen Lesen und Gruppenrichtlinie übernehmen gewährt. Der Administrator ist Mitglied dieser Gruppe, das Computerkonto auch. Da es sich um eine Loopbackrichtlinie handelt, wird diese Einstellung in der Computerkonfiguration vorgenommen. Damit eine Computerrichtlinie übernommen werden kann, muss sich das entsprechende Computerkonto in Reichweite der Richtlinie befinden und es muss die Berechtigung Lesen und Gruppenrichtlinie übernehmen auf das Richtlinienobjekt besitzen. Wenn Du jetzt der Gruppe Authentifizierte Benutzer diese Berechtigung verweigerst, verweigerst Du es einmal auch den Domänenadmins (Mitglieder dieser Gruppe sind auch Mitglieder der Authentifizierten Benutzer und übernehmen den Benutzerteil der Loopbackrichtlinie) und auch dem Computerkonto (es wendet die Loopbackeinstellung in der Computerkonfiguration an). Es wird also überhaupt nichts angewendet. Wenn Du möchtest, dass nur die Domänenadmins den Benutzerteil der Loopbackrichtlinie verarbeiten, musst Du als erstes die Loopbackeinstellung anwenden. Also muss das Computerkonto des TS die Berechtigung Lesen und Gruppenrichtlinie übernehmen bekommen. Da die Domänenadmis den Benutzerteil einer Loopbackrichtlinie anwenden sollen, müssen diese ebenfalls die Berechtigung Lesen und Gruppenrichtlinie übernehmen haben. Da Du aber die Authentifizierten Benutzer aus der Sicherheitseinstellung entfernen musst (sonst würden ja wieder alle diese Richtlinie anwenden), hat niemand mehr die Berechtigung Gruppenrichtlinie übernehmen und deswegen fügst Du das Computerkonto zu und gibst dem Computerkonto und der Gruppe Domänenadmins die Berechtigung Lesen und Gruppenrichtlinie übernehmen ... Zitieren
sreutemann 10 Geschrieben 24. November 2006 Melden Geschrieben 24. November 2006 Tschuldige *g*, liegt nicht an deiner Erklärung sonder an mir! Ich lass es glaub so wie`s ist! D-Admins "verweigern" und fertig! Bin zu doof dazu! Zitieren
IThome 10 Geschrieben 24. November 2006 Melden Geschrieben 24. November 2006 Das Thema ist sehr komplex, das versteht man nicht von jetzt auf gleich ... :) Zitieren
sreutemann 10 Geschrieben 24. November 2006 Melden Geschrieben 24. November 2006 Hauptsache, die D-Admins sind von der GPO ausgeschlossen! Da hab ich deine Erklärung kapiert! Mir ist nur nicht ganz klar ob ich jetzt für die Admins eine neue GPO verknüpfe oder wie oder wo ider was *g* Trotzdem vielen Dank! Zitieren
IThome 10 Geschrieben 24. November 2006 Melden Geschrieben 24. November 2006 Wozu für die Admins eine Richtlinie erstellen, die sollen verwalten können ... Zitieren
Hirgelzwift 10 Geschrieben 24. November 2006 Melden Geschrieben 24. November 2006 kann schon vorkommen das die admins eine GPO brauchen die andere einstellungen macht wie für den rest der welt und eben nicht default sind. hab ich auch auf meinen TS :D wie auch immer, GPO für admins erzeugen, bei authentifizierte benutzer den haken für anwenden raus aber nicht verweigern und für admins den haken anwenden setzen. Zitieren
IThome 10 Geschrieben 24. November 2006 Melden Geschrieben 24. November 2006 Dann wird es aber nicht klappen, ausser, das Computerkonto des TS wird noch zugefügt ... Zitieren
Hirgelzwift 10 Geschrieben 24. November 2006 Melden Geschrieben 24. November 2006 nicht wenn es nur benutzereinstellungen sind, dann klappt das wunderbar. :suspect: die computer sind in der gruppe der authentifizierten benutzer und dürfen die GPO ja lesen eben nur nicht anwenden, admins als benutzer aber schon. also bei mir funzt das absolut problemlos. Zitieren
IThome 10 Geschrieben 24. November 2006 Melden Geschrieben 24. November 2006 Wenn sie nicht anwenden dürfen, wendet der TS auch die Loopbackeinstellung nicht an. Wenn er die nicht anwendet, werden die Benutzerrichtlinien genauso wenig angewendet, da sich in der Reichweite der Richtlinie keine Benutzerkonten befinden ... Zitieren
Hirgelzwift 10 Geschrieben 24. November 2006 Melden Geschrieben 24. November 2006 also in meiner admin GPO ist keine loopback an. muss aber dazufügen das es eine GPO darüber gibt die für alle gilt in der der loopback an ist. rangfolge: 1 GPO Computer 2 GPO Admins (sicherheitsfilterung: nur admins anwenden) 3 GPO Benutzer (sicherheitsfilterung: admins anwenden verweigern) 4 GPO Alle (einzige mit Loopback, ersetzen) alle GPO's werden sauber und zuverlässig gezogen und angewendet. Zitieren
IThome 10 Geschrieben 24. November 2006 Melden Geschrieben 24. November 2006 Die Loopbackeinstellung muss übernommen werden. Wird sie nicht übernommen (das Computerkonto hat nicht die Berechtigungen Gruppenrichtlinie übernehmen), gelten auch die zu ersetzenden (falls Loopback auf Ersetzen steht) Benutzereinstellungen nicht. Bei Dir wird ja offensichtlich die Loopbackverarbeitung angewendet, also wird auch ersetzt ... :) edit: wo sind denn diese GPOs gelinkt ? Zitieren
Hirgelzwift 10 Geschrieben 24. November 2006 Melden Geschrieben 24. November 2006 ich verstehe jetzt um ehrlich zu sein nicht ganz was du meinst aber ich war früher auch der meinung das alle GPO's auf loopback stehen müssen, muss aber nicht. nur bei der ersten anzuwendenden GPO ist das quasi so. ich habe das gemerkt als ich meine W2K TS auf W2K3 TS umgestellt habe und das in einer komplett neuen OU mit komplett neuen GPO's abgebildet habe. wichtig ist sicher nur die rangfolge weil wohl erst wenn ersetzen gefunden wird ab dieser GPO ersetzt und dann alles was dannach folgt. wäre es anders würde es ja in meiner doch recht weitverzweigten landschaft nicht funktionieren :D edit: gelinkt sind sie natürlich nur auf die OU der TS Zitieren
IThome 10 Geschrieben 24. November 2006 Melden Geschrieben 24. November 2006 Es muss nur eine Richtlinie vorhanden sein, die den TS in den Loopbackverarbeitungsmodus versetzt. Diese Richtlinie muss so konfiguriert sein, dass der TS sie auch übernimmt. In dieser Richtlinie müssen keine Benutzereinstellungen vorhanden sein. Die Richtlinien, in denen die Benutzereinstellungen konfiguriert werden, müssen den TS aber erreichen (er ist ja bereits durch die zuerst ausgeführte Richtlinie, in der im Computerteil konfiguriert wurde, im Loopbackverarbeitungsmodus). Und genau das ist bei Dir der Fall. Der TS übernimmt die Einstellungen im Loopback-GPO und wird in diesen Modus versetzt. Dann werden die GPOs angewendet, die für den Benutzer gelten (der TS ersetzt die üblicherweise geltenden Richtlinien). Wird der TS nicht in den Loopbackmodus versetzt, weil er z.B. nicht die Berechtigung hat, das Loopback GPO zu übernehmen, gelten auch die Benutzereinstellungen nicht. Sie gelten nur dann, wenn der TS entweder im Loopbackverarbeitungsmodus ist oder sich in der Reichweite dieser GPOs Benutzerobjekte befinden (beides wäre nicht der Fall, wenn das Computerkonto, ob direkt oder durch die Mitgliedschaft in einer Gruppe, die Richtlinie nicht übernimmt) ... wie auch immer, GPO für admins erzeugen, bei authentifizierte benutzer den haken für anwenden raus aber nicht verweigern und für admins den haken anwenden setzen. Darauf habe ich mich eigentlich bezogen, denn das alleine reicht nicht. Bei Dir ist es anders, da durch ein anderes GPO der TS in den Loopbackmodus versetzt wird. Zitieren
Hirgelzwift 10 Geschrieben 24. November 2006 Melden Geschrieben 24. November 2006 deswegen habe ich es hier klargestellt: also in meiner admin GPO ist keine loopback an. muss aber dazufügen das es eine GPO darüber gibt die für alle gilt in der der loopback an ist. rangfolge: 1 GPO Computer 2 GPO Admins (sicherheitsfilterung: nur admins anwenden) 3 GPO Benutzer (sicherheitsfilterung: admins anwenden verweigern) 4 GPO Alle (einzige mit Loopback, ersetzen) alle GPO's werden sauber und zuverlässig gezogen und angewendet. http://www.mcseboard.de/post26-632549.html Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.