4
Einschränkung eines bestimmten Benutzers per GPO auf TS
Hallo zusammen,
ich habe folgendes Problem, wo ich im Moment einfach nicht weiter komme....
Folgende Situation:
2012 DC
2012 TS
Der TS ist per GPO gelockt.
Es gibt eine OU TServer in der der TS drin ist. Die Richtlinien werden auf diese OU angewendet.
Daneben ( auf gleicher Höhe im Baum) gibt es eine OU in der die User sind.
Die Gruppenrichtlinien sind im Loopbackverarbeitungsmodus (Ersetzten) auf den TS angewendet.
Funktioniert auch prima.
Jetzt ist es so, dass der Kunde einen Zugang für einen externen Prüfer möchte (Steuerbüro),
der es dem Prüfer nur ermöglicht vom lokalen CD-Laufwerk eine Datei zu öffnen und sonst nichts.
Die Clients sind Igel Linux Thin-Clients, deshalb fallen die lokalen Möglichkeiten aus.
Ich habe eine Richtlinie erstellt mit der ich den Prüfer-User einschränken möchte.
Für die anderen Richtlinien habe ich das Recht zum übernehmen verweigert aber natürlich kann ich das nur auf den User legen.
Durch den Loopbackmodus ziehen die anderen Richtlinien für den Prüfer auch.
Vielleicht ist mein Denkansatz ja auch total falsch.
Habt ihr sowas schon mal gelöst?
Hat jemand einen Tipp?
Vielen Dank
Bodo
ich habe folgendes Problem, wo ich im Moment einfach nicht weiter komme....
Folgende Situation:
2012 DC
2012 TS
Der TS ist per GPO gelockt.
Es gibt eine OU TServer in der der TS drin ist. Die Richtlinien werden auf diese OU angewendet.
Daneben ( auf gleicher Höhe im Baum) gibt es eine OU in der die User sind.
Die Gruppenrichtlinien sind im Loopbackverarbeitungsmodus (Ersetzten) auf den TS angewendet.
Funktioniert auch prima.
Jetzt ist es so, dass der Kunde einen Zugang für einen externen Prüfer möchte (Steuerbüro),
der es dem Prüfer nur ermöglicht vom lokalen CD-Laufwerk eine Datei zu öffnen und sonst nichts.
Die Clients sind Igel Linux Thin-Clients, deshalb fallen die lokalen Möglichkeiten aus.
Ich habe eine Richtlinie erstellt mit der ich den Prüfer-User einschränken möchte.
Für die anderen Richtlinien habe ich das Recht zum übernehmen verweigert aber natürlich kann ich das nur auf den User legen.
Durch den Loopbackmodus ziehen die anderen Richtlinien für den Prüfer auch.
Vielleicht ist mein Denkansatz ja auch total falsch.
Habt ihr sowas schon mal gelöst?
Hat jemand einen Tipp?
Vielen Dank
Bodo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 276375
Url: https://administrator.de/contentid/276375
Printed on: April 20, 2024 at 04:04 o'clock
4 Comments
Latest comment
Hi,
leider verstehe ich gerade nicht wo genau das Problem liegt. Liest sich soweit eigentlich erstmal gut.
Gruß
Eric
leider verstehe ich gerade nicht wo genau das Problem liegt. Liest sich soweit eigentlich erstmal gut.
Gruß
Eric
Hi Eric,
mein Problem ist, dass die Richtlinie die den User einschränken soll gar nicht zieht.
Sie wir nicht angewendet.
Und die, die ich nicht anwenden wollte durch verbot der Übernahme, ziehen trotzdem, da ich den Loopbackverarbeitungsmodus für den TS ja aktivieren muss.
Also werden aus den Benutzereinstellungen quasi Computereinstellungen, die ich aber nicht blocken kann, weil sie dann auf keinen User mehr greifen...
Ich denke ich habe mehr ein Designproblem....
Gruß
Bodo
mein Problem ist, dass die Richtlinie die den User einschränken soll gar nicht zieht.
Sie wir nicht angewendet.
Und die, die ich nicht anwenden wollte durch verbot der Übernahme, ziehen trotzdem, da ich den Loopbackverarbeitungsmodus für den TS ja aktivieren muss.
Also werden aus den Benutzereinstellungen quasi Computereinstellungen, die ich aber nicht blocken kann, weil sie dann auf keinen User mehr greifen...
Ich denke ich habe mehr ein Designproblem....
Gruß
Bodo
Hi.
Erstelle eine User-GPO mit Leserechten und Übernahme-Rechten nur für diesen User. Dann setzt Du einen WMI-Filter auf diese GPO, dass sie nur auf dem TS ausgeführt wird (googeln). Fertig.
Erstelle eine User-GPO mit Leserechten und Übernahme-Rechten nur für diesen User. Dann setzt Du einen WMI-Filter auf diese GPO, dass sie nur auf dem TS ausgeführt wird (googeln). Fertig.
Hi,
der Loopbackmodus ändert nichts daran, welche GPO ein User anwenden darf oder nicht. Der Loopbackmodus hat nur Einfluss darauf, welche GPO dafür überhaupt in Frage kommen. Wenn ein User also nun eine GPO anwendet, dann ist diese beim GPO Collect bestimmt worden und dem User ist es auf irgendeine Weise erlaubt worden, diese anzuwenden (z.B. durch Gruppenmitgliedschaft).
Falls der betreffende User ein Roaming Profile hat, dann könnte es sein, dass er bei Deinen Test bereits Einstellungen übernommen hatte, die er gar nicht bekommen sollte. Und diese bleiben jetzt auch im Profile erhalten, bis man diese "gegensteuert". Also hier könnte es helfen, wenn Du mal einen Test mit frischem Profile machst. Lokal auf dem TS löschen und auf dem Server Share.
E.
der Loopbackmodus ändert nichts daran, welche GPO ein User anwenden darf oder nicht. Der Loopbackmodus hat nur Einfluss darauf, welche GPO dafür überhaupt in Frage kommen. Wenn ein User also nun eine GPO anwendet, dann ist diese beim GPO Collect bestimmt worden und dem User ist es auf irgendeine Weise erlaubt worden, diese anzuwenden (z.B. durch Gruppenmitgliedschaft).
Falls der betreffende User ein Roaming Profile hat, dann könnte es sein, dass er bei Deinen Test bereits Einstellungen übernommen hatte, die er gar nicht bekommen sollte. Und diese bleiben jetzt auch im Profile erhalten, bis man diese "gegensteuert". Also hier könnte es helfen, wenn Du mal einen Test mit frischem Profile machst. Lokal auf dem TS löschen und auf dem Server Share.
E.
