GPO "Datenträger ausblenden"

[IThome 10]

Jep, okay, dann wäre das ja jetzt auch geklärt. :)

@TO

also entweder mehrere GPOs (so wie bei Hirgelzwift), dann reicht zumindest für den Benutzerteil, dass die Domänenadmins Gruppenrichtlinien übernehmen bekommen und den Authentifizierten Benutzern diese Berechtigung entzogen (nicht verweigert) wird. In einem separaten GPO ist dann nur die Loopbackverarbeitung eingeschaltet und das Computerkonto des TS muss diese Richtlinie übernehmen (entweder direkt oder durch Mitgliedschaft einer Gruppe, z.B. die Authentifizierten Benutzer).

Hast Du nur ein GPO und willst, dass nur die Domänenadmins übernehmen, entfernst Du die Authentifizierten Benutzer, setzt bei den Domänenadmins Gruppenrichtlinie übernehmen und fügst das Computerkonto des TS zu und gibst ihm Lesen und Gruppenrichtlinie übernehmen (Du hast aber mindestens zwei, also reicht beim Admin-GPO den Auth. Benutzern den Haken zu entfernen und bei den Admins zu setzen, Loopback ist ja schon aktiv durch das andere GPO) ...

Eigentlich war das Thema für den TO ja schon erledigt, naja, dann war es eben ein kleiner Ausflug in die Gruppenrichtlinien ... :D

edit: hast aber recht, #29 hätte ich mir sparen können, war schon alles Wichtige geschrieben ... :)

[sreutemann 10]

So, jetzt hab ich auch alle Threads durchgelesen! Wie bereits berichtet, dass die GPO für die Admins nicht gezogen wird, hab ich ja erfolgreich mit eurer Hilfe eingestellt.

 

Ich verknüpf jetzt einfach noch eine GPO auf die OE mit den TS für die Admins wo ich bei Benutzern "anwenden" entferne! Dann passts ja,oder! Will in dieser GPO für die Admins eh nur den Proxy mitgeben!

[IThome 10]

Genau, bei Authentifizierten Benutzern Gruppenrichtlinie übernehmen entfernen und bei den Doänenadmins setzen, Loopback ist ja durch die andere Richtlinie schon aktiv ...

[sreutemann 10]

Und bei einer Richtlinie, die für die Domain gilt kann ich ja das gleiche Spielchen machen?! Vielen Dank!

[IThome 10]

Nochmal zusammenfassend (da hätte ich mich fast selbst verzettelt :D )

1 GPO :

Computerkonfiguration - Loopbackeinstellung

Benutzerkonfiguration - Einschränkungen für alle User

Sicherheit - Auth. Ben. Lesen und Gruppenrichtlinie übernehmen, Dom-Admins Gruppenrichtlinie übernehmen verweigern

2 GPO :

Benutzerkonfiguration - Einstellung nur für Admins

Sicherheit - kein Haken bei Gruppenrichtlinien übernehmen für Auth.-Ben., aber für Dom.Admins

 

oder mit 3 GPOs

 

1 GPO:

Computerkonfiguration - Loopbackeinstellung

Sicherheit - Standard

 

2. GPO

Benutzerkonfiguration - Einstellungen nur für Benutzer

Sicherheit - Standard , nur Gruppenrichtlinie übernehmen verweigern für Dom.-Admins

 

3. GPO

Benutzerkonfiguration - Einstellungen nur für Admins

Sicherheit - Auth.Ben. entweder raus oder Haken bei Gruppenrichtlinie übernehmen entfernen, Haken setzen bei Domänenadmins

 

Willst Du, dass nur eine bestimmte Gruppe (z.B. eine Teilmenge Deiner Benutzer) Richtlinien übernimmt, wenn sie sich am TS anmeldet, dann erzeugst Du Dir eine Gruppe und fügst ihr die entsprechenden Benutzer zu. Dann erzeugst Du ein GPO, in dem Du die Loopbackeinstellung vornimmst und stellst alle Einschränkungen in der Benutzerkonfiguration ein. In der Sicherheit des GPOs entfernst Du entweder Auth. Benutzer oder entfernst für diese Gruppe den Haken Gruppenrichtlinie übernehmen. Dann fügst Du die die erstellte Gruppe und das Computerkonto des TS zu und gibst beiden die Berechtigung Lesen und Gruppenrichtlinie übernehmen. Die Verweigerung Gruppenrichtlinie übernehmen für Domänenadmins benötigst Du nicht, da sie sich nicht in der erstellten Gruppe befinden und per Default die Richtlinien nicht übernehmen (in diesem Fall existiert nur ein GPO).

 

Ach übrigens: Hirgelzwifts #22 hätte gereicht, da Du ja schon ein Loopback-GPO hattest. Ich bin fälschlicherweise von nur einem GPO ausgegangen, was den Zweck verfehlt hätte ... :rolleyes:

[sreutemann 10]

Klasse, jetzt kann ich morgen halbwegs beruhigt die Serverumstellung angreifen! Wenn mir nur noch auf meinen anderen Beitrag (TS Profile) eine Antwort geben könntest?!