striplv
Goto Top

GPO für Benutzer nur auf bestimmten PCs Loopbackverarbeitung

Hallo Community,

Ich versuche nun schon seit geschlagenen 10 Stunden folgendes hinzubekommen, allerdings nur mit mäßigem Erfolg:

Ich will das wenn sich der Administrator am Mailserver (bzw. an Servern in der OU "Server") anmeldet eine Benutzerkonfiguration greift. Wenn er sich an anderen Rechnern anmeldet soll diese Benutzerkonfiguration nicht greifen.

Nun kann man ja nur Benutzerkonfigurationen mit OU´s verknüpfen in der auch Benutzer sind und Computerkonfigurationen nur mit OU´s in der auch PC´s sind.


Folgendes Szenario:

Ich habe eine OU "Server". In dieser ist der Mailserver.
Ich habe eine OU "Domänenbenutzer". Hier sind die User. Der Admin ist aber (noch) im Standardort, also in "Users".

Ich habe ein GPO "Benutzerkonfiguration" erstellt in dem die Benutzerkonfiguration drin ist mit der Sicherheitsfilterung "Administrator"
Ich habe ein GPO "Loopback" erstellt in dem der Loopbackverarbeitungsmodus aktiviert ist mit der Sicherheitsfilterung "Mailserver"
Beide habe ich mit der OU "Server" verknüpft. So gehts aber nicht.

WAS allerdings geht:

Wenn ich die GPO "Benutzerkonfiguration" mit der Sicherheitsfilterung "Administrator" UND "Mailserver" mit der OU "Server" verknüpfe, ohne "Loopback" (Also "Loopback" überhaupt nicht verwende)

Jetzt weiß ich nicht ob das so ok ist oder nicht, weil ich gelesen habe das man so was mit der Loopbackverarbeitung realisiert. Nur wie geht das? Was muss ich in der Sicherheitsfilterung eintragen (also bei ""Benutzerkonfiguration" oder "Loopback" und womit Verknüpfen (also mit "Domänenbenuter" oder "Server")?


Ich habe schon etliches gelesen in den 10 Stunden kapier es aber trotzdem nicht bzw. so wie ich es versucht habe geht es nicht. Das treibt mich noch zum Wahnsinn!
Ich habe mir sogar das Buch "Gruppenrichtlinien in Windows Server 2008 R2 und Windows 7" von Martin Dausch gekauft jedoch bringt mich das auch nicht weiter.

Wo hängt`s?

Bzw. wie würdet Ihr das machen wenn eine Benutzerrichtlinie nur an bestimmten PCs greifen soll? Das MUSS doch gehen?

DANKE!

Content-Key: 187609

Url: https://administrator.de/contentid/187609

Ausgedruckt am: 28.03.2024 um 08:03 Uhr

Mitglied: ceng.de
ceng.de 08.07.2012 um 09:53:53 Uhr
Goto Top
hilft Dir die Aussage von GPResult bzw. der Richtlinenmodellierung in der ADS weiter?

Ich empfehle Dir das Loopback zu nutzen -> http://support.microsoft.com/kb/231287/de

CENG
Mitglied: Hubert.N
Hubert.N 08.07.2012 aktualisiert um 14:31:12 Uhr
Goto Top
Moin

Zitat von @StripLV:
Ich habe ein GPO "Benutzerkonfiguration" erstellt in dem die Benutzerkonfiguration drin ist mit der Sicherheitsfilterung
"Administrator"
Ich habe ein GPO "Loopback" erstellt in dem der Loopbackverarbeitungsmodus aktiviert ist mit der Sicherheitsfilterung
"Mailserver"
Beide habe ich mit der OU "Server" verknüpft. So gehts aber nicht.

Wundert kaum. Wozu denn bitte 2 GPOs für eine Sache ? Was soll die Loopbackverarbeitung "solo" bringen ? Wenn du die Loopbackverarbeitung aktivierst bedeutet das, dass der Benutzerteil dieser Richtlinie übernommen wird. Deine Einstellungen aus der zweiten Richtlinie können so nicht angewendet werden.

Gruß
Mitglied: StripLV
StripLV 08.07.2012 um 14:53:34 Uhr
Goto Top
@ceng.de Das habe ich schon mehrfach durchgelesen

q@Hubert das verstehe ich nicht denn es wird überall geschrieben das es auch eine eigenständige GPO sein kann, u.a. auch hier:

http://www.gruppenrichtlinien.de/index.html?/Grundlagen/Loopback_Verarb ...

Zitat:
Wir erweitern das Beispiel um eine weitere Richtlinie: "Loopbackverarbeitungsmodus aktiviert"
Konfiguration, Pfad für Einstellungen:
Computerkonfiguration \ Administrative Vorlagen \ System \ Gruppenrichtlinien
Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie = aktiviert

- OU "Terminal Server", darin enthalten der Computer
- verlinktes GPObjekt "Loopbackverarbeitungsmodus aktiviert", darin NUR die oben aktivierte Richtlinie
Mitglied: Hubert.N
Hubert.N 08.07.2012 um 17:11:30 Uhr
Goto Top
Zitat von @StripLV:
Wir erweitern das Beispiel um eine weitere Richtlinie: "Loopbackverarbeitungsmodus aktiviert"

Siehst du dort eine "zwei" ?
Mitglied: StripLV
StripLV 08.07.2012 um 22:35:54 Uhr
Goto Top
Sorry ich versteh dich nicht. In dem o.g. Beispiel gibt es doch schon Richtlinien in der OU. Daher schreibt er ja auch "erweitern"

Wo soll denn der Unterschied sein ob ich eine OU habe "Server"

1.
und verknüpfe damit eine Richtlinie in der (auch) Benuterkonfigurationen sind und füge dann eine weitere zu der OU "Server" hinzu in der nur "Loopback aktiviert" ist

oder

2.
ich aktiviere in der Richtlinie "Benutzerkonfiguration" auch noch "Loopback Aktiviert"?
Ob ich nun 2 separate habe oder alles in einer GPO ist, müsste doch egal sein. Die werden doch sowieso abgearbeitet oder?

Abgesehen davon funktionert dann folgendes (oder müsste es funktionieren):
Ich erstelle eine GPO in der Benuterkonfiurationen sind und aktiviere in dieser GPO auch Loopback.
Für diese GPO füge ich den Administrtator und den Mailserver in der Sicherheitsilterung hinzu
Diese GPO verknüpfe ich mit der OU "Server" in welcher nur Computerkonten sind

Ist das dann der richtige Weg?
Mitglied: DerWoWusste
DerWoWusste 09.07.2012 um 00:25:25 Uhr
Goto Top
Moin.

Der LB kann entweder über die lokale GPO oder über irgendeine Domänen-GPO aktiviert werden. Es ist völlig egal, welche, und die Einstellungen, die für den Benutzer in anderen (egal welchen) Richtlinien konfiguriert wurden werden an diesem PC nicht greifen, sondern durch die Benutzereinstellungen aus den gesammelten Computerrichtlinien (lokale wie Domänen-GPOs) die auf den PC eingestellt sind, ersetzt ("replace"), oder, wenn du es so einstellst, damit zusammengeführt ("merge").

Du schaltest also bei einem Testrechner das Loopbackprocessing bitte jetzt einmal lokal per gpedit.msc ein und schaust, ob danach, wie zu erwarten ist, für den Nutzer nun die Einstellunmgen aus dem Nutzerteil der Computerpolicies gelten.

Wenn es Dir nicht gelingt, mach erstmal eine lokale Diagnose mit rsop.msc, ob die Policies auch wie erwartet ausgewertet wurden.
Mitglied: StripLV
StripLV 25.07.2012 um 13:19:00 Uhr
Goto Top
Also ich habs hinbekommen:

In der GPO "Loopback" musste ich den Mailserver als Sicherheitsfilterung auswählen und mit der OU "Server" verknüpfen


In der GPO "Benutzerkonfiguration" musste ich als SF den/die User UND den Mailserver hinzufügen und mit der OU "Server" verknüpfen

Anders gings nicht. Habe alle anderen Möglichkeiten ausprobiert. Da muss man erst mal drauf kommen.