26
Gruppenprofile und Programm Whitelist ?
Hallo,
ich bin dabei eine neue Domäne zu integrieren auf einem Windows Server 2003 Standard.
Nun bin ich an den Punkt angelegt wo ich mir überlegen muss was ich mit den Profilen mache. Da die Benutzer in verschiedene Gruppen aufgeteilt sind und exakt dieselben Programme etc. benötigen wäre es nicht schlecht, wenn ich ein Gruppenprofil anlegen könnte, welches die Benutzer nicht verändern können.
Geht soetwas und wenn ja wie ?
Die zweite Anforderung besteht darin den Benutzern keinen Zugriff auf nicht freigegebene Programme zu gewähren. Hier also auch wieder Gruppenbasiert. Ist soetwas mit Bordmitteln möglich ?
Gruß
ich bin dabei eine neue Domäne zu integrieren auf einem Windows Server 2003 Standard.
Nun bin ich an den Punkt angelegt wo ich mir überlegen muss was ich mit den Profilen mache. Da die Benutzer in verschiedene Gruppen aufgeteilt sind und exakt dieselben Programme etc. benötigen wäre es nicht schlecht, wenn ich ein Gruppenprofil anlegen könnte, welches die Benutzer nicht verändern können.
Geht soetwas und wenn ja wie ?
Die zweite Anforderung besteht darin den Benutzern keinen Zugriff auf nicht freigegebene Programme zu gewähren. Hier also auch wieder Gruppenbasiert. Ist soetwas mit Bordmitteln möglich ?
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 80885
Url: https://administrator.de/contentid/80885
Printed on: April 18, 2024 at 01:04 o'clock
26 Comments
Latest comment
Ja, beide Aufgaben lassen sich lösen. Ein Gruppenprofil sollte ein schreibgeschütztes verbindliches Profil sein, das du auf dem Server hinterlegen kannst. Klingt kompliziert, ist es aber nicht. Das ganze geht wie folgt:
1. passe auf einem PC dein Default-Profil unter einem der User an (Vorzugsweise einem Vorlage-User).
2. Melde dich als Admin an diesem PC an und kopiere das Profil auf einen Netzwerkpfad (Eigenschaften -> Erweitert -> Profile -> Kopieren nach)
3. Benenne die Datei ntuser.dat in ntuser.man um. Das Profil ist ab sofort verbindlich.
4. Ändere in den Eigenschaften der betroffenen User den Profilpfad auf den Pfad in dem das Profil liegt.
Die zweite Anforderung kannst du über "Richtlinien zur Softwareeinschränkung" lösen. Erstelle ein neues GPO und aktiviere die Einschränkungen unter "Computereinstellungen -> Windows-Einstellungen -> Sicherheitseinstellungen -> Richtlinien zur Softwarebeschränkung". Anschließend das Standartprofil auf "Nicht erlaubt" setzen und die erlaubten Pfade, anwendungen usw. in der liste hinzufügen. Das machst du am besten von einem PC, auf dem alle erforderlichen Programme installiert sind. Zum schluss musst du alle betroffenen Computer in eine eigene OU verschieben und das GPO mit dieser verknüpfen. Nach einem Neustart sind die Richtlinien aktiv.
1. passe auf einem PC dein Default-Profil unter einem der User an (Vorzugsweise einem Vorlage-User).
2. Melde dich als Admin an diesem PC an und kopiere das Profil auf einen Netzwerkpfad (Eigenschaften -> Erweitert -> Profile -> Kopieren nach)
3. Benenne die Datei ntuser.dat in ntuser.man um. Das Profil ist ab sofort verbindlich.
4. Ändere in den Eigenschaften der betroffenen User den Profilpfad auf den Pfad in dem das Profil liegt.
Die zweite Anforderung kannst du über "Richtlinien zur Softwareeinschränkung" lösen. Erstelle ein neues GPO und aktiviere die Einschränkungen unter "Computereinstellungen -> Windows-Einstellungen -> Sicherheitseinstellungen -> Richtlinien zur Softwarebeschränkung". Anschließend das Standartprofil auf "Nicht erlaubt" setzen und die erlaubten Pfade, anwendungen usw. in der liste hinzufügen. Das machst du am besten von einem PC, auf dem alle erforderlichen Programme installiert sind. Zum schluss musst du alle betroffenen Computer in eine eigene OU verschieben und das GPO mit dieser verknüpfen. Nach einem Neustart sind die Richtlinien aktiv.
Können die User das Profil denn dann verändern ? Also Desktop Icons entfernen etc. ?
Soweit hört sich das ja erstmal ganz gut an...
Gibt es eigentlich auch die Möglichkeit den Benutzern den Schreibzugriff auf lokalen Laufwerken zu verwehren ?
Soweit hört sich das ja erstmal ganz gut an...
Gibt es eigentlich auch die Möglichkeit den Benutzern den Schreibzugriff auf lokalen Laufwerken zu verwehren ?
Du solltest immer eine Kombination auf Verbindlichen Profilen und Gruppenrichtlinien verwenden um dieses Ziel zu erreichen. So kannst du zb. die Option "Einstellungen beim beenden nicht speichern" zusammen mit einem Verbindlichem Profil und der Ordnerumleitung verwenden, um sämtliche änderungen am lokalem Rechner auszuschließen (Vorzugsweise immer über Gruppenrichtlinien).
Schreibzugriff kannst du über NTFS Dateisystemrechte verhindern. So kannst du zb. der Gruppe "Benutzer" das Recht "Erstellen von Ordnern" und "Erstellen von Dateien" entziehen und schon kann auf c:\ nichts mehr angelegt werden.
Schreibzugriff kannst du über NTFS Dateisystemrechte verhindern. So kannst du zb. der Gruppe "Benutzer" das Recht "Erstellen von Ordnern" und "Erstellen von Dateien" entziehen und schon kann auf c:\ nichts mehr angelegt werden.
Der erste neue Client in der Domäne nimmt derzeit überhaupt keine Einstellungen der erstellten Policy an. Ich habe einige Sachen eingestellt, aber es wird nichts übernommen, obwohl der Benutzer sich in der betreffenden OU befindet.
Die Option "Einstellungen beim herunterfahren nicht speichern." würde bewirken, dass zwar Änderungen gemacht werden können, aber das Profil davon nicht beeinflusst wird richtig ?
Wie macht man dann noch Änderungen daran ?
Wo findet man die Option mit den NTFS Schreibrechten denn ?
Danke
Die Option "Einstellungen beim herunterfahren nicht speichern." würde bewirken, dass zwar Änderungen gemacht werden können, aber das Profil davon nicht beeinflusst wird richtig ?
Wie macht man dann noch Änderungen daran ?
Wo findet man die Option mit den NTFS Schreibrechten denn ?
Danke
Die Option "Einstellungen beim herunterfahren nicht speichern." würde bewirken, dass zwar änderungen gemacht werden können, aber das Profil davon nicht beeinflusst wird richtig ?
Jepp. Genau das sollte Sie bewirken.
Der erste neue Client in der Domäne nimmt derzeit überhaupt keine Einstellungen der erstellten Policy an. Ich habe einige Sachen eingestellt, aber es wird nichts übernommen, obwohl der Benutzer sich in der betreffenden OU befindet.
Öhm, du hast sicher die Einstellungen zur Softwareinschränkung im Bereich Computerkonfiguration des GPO vorgenommen. Also musst du diese mit einer OU verknüpfen, in der sich das Computerkonto befindet.
Wo findet man die Option mit den NTFS Schreibrechten denn ?
Du musst auf dem Client selbst die NTFS Dateisystemrechte konfigurieren. Es ist zwar auch über ein GPO möglich, für das komplette LW C: würde ich die das allerdings nicht empfehlen. Um die Sicherheitseinstellungen anzuzeigen musst du 1. Sicherstellen das du NTFS verwendest und 2. in den Ordneroptionen unter Ansicht die Option "Einfache Dateifreigabe verwenden" deaktivieren. Anschließend kannst du die Rechte in den Eigenschaften eines Laufwerkes oder Ordners anzeigen und ändern. Aber Vorsicht: Auf gar keinen Fall Administratoren und System entfernen!!
Hi,
entschuldige bitte die späte Antwort, aber es war eine harte Woche.
Im Bereich Softwareeinschränkungen unter Computerkonfiguration -> Windows Einstellungen -> Sicherheitseinstellungen -> Richtlinien für Softwareeinschränkung ist überhaupt nichts definiert.
Er sagt mir "in diesem Gruppenrichtlinienobjekt wurden keine Richtlinien für Softwareeinschränkungen definiert."
Edit:
Die Computer befinden sich in dem Default Container "Computers" und für die Benutzer habe ich eine OU angelegt "Benutzer" angelegt die mit meiner Policy verknüpft ist. Erzwungen ist nicht aktiviert.
entschuldige bitte die späte Antwort, aber es war eine harte Woche.
Im Bereich Softwareeinschränkungen unter Computerkonfiguration -> Windows Einstellungen -> Sicherheitseinstellungen -> Richtlinien für Softwareeinschränkung ist überhaupt nichts definiert.
Er sagt mir "in diesem Gruppenrichtlinienobjekt wurden keine Richtlinien für Softwareeinschränkungen definiert."
Edit:
Die Computer befinden sich in dem Default Container "Computers" und für die Benutzer habe ich eine OU angelegt "Benutzer" angelegt die mit meiner Policy verknüpft ist. Erzwungen ist nicht aktiviert.
Hallo,
ich habe eben in der Gruppenrichtlinienverwaltung etwas ausprobiert.
Dort kann man ja direkt unter dem Namen der Domäne die Option "vorhandene Gruppenrichtlinienobjekte verknüpfen" auswählen. Standardmäßig ist da ja nur die Default Domain Policy enthalten. Ich habe also meine "Benutzer Policy" dort hinzugefügt und den Server und den Client neugestartet. Das Resultat war das der Server aufeinmal in WSUS auftaucht und die Policy voll übernommen wurde (Was ja nicht so gut ist für einen Server).
Der Client allerdings hat sich davon überhaupt nichts angenommen. Also habe ich die Verknüpfungen wieder gelöscht und bin bei dem selben Status.
ich habe eben in der Gruppenrichtlinienverwaltung etwas ausprobiert.
Dort kann man ja direkt unter dem Namen der Domäne die Option "vorhandene Gruppenrichtlinienobjekte verknüpfen" auswählen. Standardmäßig ist da ja nur die Default Domain Policy enthalten. Ich habe also meine "Benutzer Policy" dort hinzugefügt und den Server und den Client neugestartet. Das Resultat war das der Server aufeinmal in WSUS auftaucht und die Policy voll übernommen wurde (Was ja nicht so gut ist für einen Server).
Der Client allerdings hat sich davon überhaupt nichts angenommen. Also habe ich die Verknüpfungen wieder gelöscht und bin bei dem selben Status.
Hm, ok. Du erstellst deine GPO's mit dem Tool "Gruppenrichtlinienverwaltung"? alles klar. Wenn du ein GPO erstellst, landet es default im container "Gruppenrichtlinien" dieses Tools. Du musst das GPO noch mit einer passenden OU verknüpfen. Bitte nicht mit der Domäne.
Nun sollten die Einstellungen des GPO auf dem PC wirksam werden. Das kannst du prüfen indem du auf dem PC den befehl gpresult /v eingibst und im oberem Teil "Angewendete Gruppenrichtlinienobjekte" prüfst ob das GPO angewendet wurde. Dort siehst du auch welche Einstellungen tatsächlich übernommen wurden (Summe der Gruppenrichtlinien, result of policy, RSOP). Etwas übersichtlicher ist das ganze wenn du eine MMC öffnest und das SnapIn "Richtlinienergebnissatz" hinzufügst und auf "daten generieren" klickst.
- Erstelle eine OU
- verschiebe einen Testcomputer in diese (Computerobjekt im AD)
- Wechsle in die Gruppenrichtlinienverwaltungskonsole (tolles Wort) und verknüpfe das vorher erstellte GPO mit dieser OU (rechtsklick auf die OU, Vorhandenes GPO hier verknüpfen).
- auf dem betreffendem PC führst du in der konsole den Befehl gpupdate /force aus.
Nun sollten die Einstellungen des GPO auf dem PC wirksam werden. Das kannst du prüfen indem du auf dem PC den befehl gpresult /v eingibst und im oberem Teil "Angewendete Gruppenrichtlinienobjekte" prüfst ob das GPO angewendet wurde. Dort siehst du auch welche Einstellungen tatsächlich übernommen wurden (Summe der Gruppenrichtlinien, result of policy, RSOP). Etwas übersichtlicher ist das ganze wenn du eine MMC öffnest und das SnapIn "Richtlinienergebnissatz" hinzufügst und auf "daten generieren" klickst.
Hallo,
ich dachte bisher GPO´s beziehen sich immer auf Benutzer und nicht auf Computer...
Habe mal ein Bild gemacht und angestellt.
Ich habe jetzt eine neue OU "Clients" angelegt und meine bestehende "Benutzer Policy" damit verknüpft. Darin befindet sich jetzt der besagte Testclient. Versuche es gleich mal.
Also auf dem Client schaut es wie folgt aus:
P:\>gpresult /v
INFORMATION: Das Richtlinienobjekt ist nicht vorhanden.
auf dem Server so:
ENTFERNT
ich dachte bisher GPO´s beziehen sich immer auf Benutzer und nicht auf Computer...
Habe mal ein Bild gemacht und angestellt.
Ich habe jetzt eine neue OU "Clients" angelegt und meine bestehende "Benutzer Policy" damit verknüpft. Darin befindet sich jetzt der besagte Testclient. Versuche es gleich mal.
Also auf dem Client schaut es wie folgt aus:
P:\>gpresult /v
INFORMATION: Das Richtlinienobjekt ist nicht vorhanden.
auf dem Server so:
ENTFERNT
Ich sehe das etwas 
Kurz etwas Hintergrundwissen:
Gruppenrichtlinienobjekte (GPOs) sind in 2 grundlegende Teile gegliedert. Die Benutzer und die Computerkonfiguration. Jeder dieser Teile wird NUR auf das entsprechende Objekt angewendet. Wenn du also in Computerkonfiguration etwas konfigurierst, dieses GPO aber mit einer OU in der ausschließlich Benutzerkonten lieger verknüfpst, ist die Einstellung wirkungslos. Selbiges gilt natürlich auch für Benutzerkonfiguration.
Bei dem design sollte man aufpassen das man GPO's, die beide Bereiche verwenden entweder mit einer Übergeordneten OU verknüpft in der sich Benutzer und Computer befinden oder dieses GPO mit den OU's für Benutzer UND computer verknüpft.
Du solltest dein AD so organisieren das du flexiebel bist und aber gleichzeitig nicht zu komplexe Strukturen ausbaust. In deinem Fall würde ich das so machen:
Möchtest du nun einstellungen zur Softwareeinschränkung auf bestimmte Computer anwenden, erstelle ein GPO mit den passenden Einstellungen im bereich Computerkonfiguration und kerknüpfe es mit der OU Computer um es auf alle Clients anzuwenden. Sollen diese Einstellungen auch auf Memberserver übertragen werden, einfach das GPO auch noch mit dieser OU verknüpfen. Das selbe gilt für benutzerkonfig. Möchtest du besimmte Einstellungen für Ordnerumleitung usw. auf Benutzer einer Abteilung anwenden, erstelle ein GPO mit den passenden Einstellungen und verknüpfe es mit Benutzer -> Abteilung. Soll es für alle giltig sein, kannst du es gleich mit Benutzer verknüpfen.
diese Methode hat den Vorteil das du die DefaultDomainPolicy und andere Standarteinstellungen in der Domäne notfalls wiederherstellen kannst. geht zb. etwas mit einem GPO schief, einfach verknüpfung entfernen anstatt die DomainPolicy ändern zu müssen.
Kurz etwas Hintergrundwissen:
Gruppenrichtlinienobjekte (GPOs) sind in 2 grundlegende Teile gegliedert. Die Benutzer und die Computerkonfiguration. Jeder dieser Teile wird NUR auf das entsprechende Objekt angewendet. Wenn du also in Computerkonfiguration etwas konfigurierst, dieses GPO aber mit einer OU in der ausschließlich Benutzerkonten lieger verknüfpst, ist die Einstellung wirkungslos. Selbiges gilt natürlich auch für Benutzerkonfiguration.
Bei dem design sollte man aufpassen das man GPO's, die beide Bereiche verwenden entweder mit einer Übergeordneten OU verknüpft in der sich Benutzer und Computer befinden oder dieses GPO mit den OU's für Benutzer UND computer verknüpft.
Du solltest dein AD so organisieren das du flexiebel bist und aber gleichzeitig nicht zu komplexe Strukturen ausbaust. In deinem Fall würde ich das so machen:
domäne.lan {{hier werden nur grundlegende, für Server und Clients geltende GPOs verknüpft }}
|-OU Firma {{hier werden GPO's die Computer und Benutzereinstellungen enthalten verknüpft }}
| |-OU Computer {{ hier werden ausschließlich für clientcomputer geltende GPOs verknüpft }}
| | |-OU Abteilung {{ hier werden GPOs verknüpft, die auf bestimmte Computer angewendet werden sollen }}
| |-OU Benutzer {{ hier werden ausschließlich für Benutzer geltende GPOs verknüpft }}
| | |-OU Abteilung {{ hier werden GPOs verknüpft, die für bestimmte Benutzer gelten sollen }}
| |-OU Memberserver {{ hier werden GPOs verknüpft, die nur für Memberserver gültig sein sollen }}
|
| -Default Domain Controllers {{ hier werden GPOs verknüpft, die NUR für Domänencontroller gültig sein sollen }}Möchtest du nun einstellungen zur Softwareeinschränkung auf bestimmte Computer anwenden, erstelle ein GPO mit den passenden Einstellungen im bereich Computerkonfiguration und kerknüpfe es mit der OU Computer um es auf alle Clients anzuwenden. Sollen diese Einstellungen auch auf Memberserver übertragen werden, einfach das GPO auch noch mit dieser OU verknüpfen. Das selbe gilt für benutzerkonfig. Möchtest du besimmte Einstellungen für Ordnerumleitung usw. auf Benutzer einer Abteilung anwenden, erstelle ein GPO mit den passenden Einstellungen und verknüpfe es mit Benutzer -> Abteilung. Soll es für alle giltig sein, kannst du es gleich mit Benutzer verknüpfen.
diese Methode hat den Vorteil das du die DefaultDomainPolicy und andere Standarteinstellungen in der Domäne notfalls wiederherstellen kannst. geht zb. etwas mit einem GPO schief, einfach verknüpfung entfernen anstatt die DomainPolicy ändern zu müssen.
Hi,
Ok habe nun die Struktur entsprechend angepasst und meine Computer in eine neue OU namens Computer verschoben. Dort habe ich eine Policy angelegt udn verknüpft in der nur Computereinstellungen vorgenommen werden.
In der bestehenden Benutzer OU habe ich auch Computereinstellungen vorgenommen, weil ich es ja nicht besser gewusst habe. Muss ich diese wieder rückgängig machen ?
Hier die neue gpresult /v
ENTFERNT
Ok habe nun die Struktur entsprechend angepasst und meine Computer in eine neue OU namens Computer verschoben. Dort habe ich eine Policy angelegt udn verknüpft in der nur Computereinstellungen vorgenommen werden.
In der bestehenden Benutzer OU habe ich auch Computereinstellungen vorgenommen, weil ich es ja nicht besser gewusst habe. Muss ich diese wieder rückgängig machen ?
Hier die neue gpresult /v
ENTFERNT
Am besten du deaktivierst einfach den Bereich "Computereinstellungen" des GPO das auf die Benutzer-OU angewendet wird.
Um genau zu prüfen welche GPO's auf dem Computer für einen Benutzer angewendet werden, kannst du den Richtlinienergebnissatz im GP Editor verwenden. Einfach einen neuen Satz mit der OU Computer (für das Computerkonto) und der OU Benutzer (für das Benutzerkonto) erstellen, kurz auf die Analyse warten und du siehst genau was wie angewendet wird. Um nun zu prüfen ob auf dem Client alles richtig übernommen wurde, musst du auf einem Computer dessen Konto in der OU liegt, auf welche das GPO angewendet wird, gpresult /v ausführen. Den befehl auf einem DC auszuführen hat nur Sinn wenn man wissen möchte was auf die OU Domain Controllers angewendet wird. Noch ein Tipp, nimm doch bitte die Autoinstallation des VNC aus der Default Domain Policy und erstelle ein neues GPO "zb. Softwareverteilung" und wende es auf die OU mit den Computerkonten an. Auf einem DC ist es nicht so gut VNC zu installieren (lieber RemoteDesktop verwenden).
Im grunde genommen hast du also nun 2 OU's auf der Hauptebene, in einer befinden sich alle Benutzer und in der anderen alle Computerkonten. Auf der Benutzer-OU wendest du ein GPO mit allen Benutzereinstellungen und auf der Computer-OU ein GPO mit allen Computereinstellungen an. Auf die OU der Komputerkonten kannst du dann noch das SW-Install GPO legen und alles ist so wie es sein sollte. In der DefaultDomainPolicy(DDP) würde ich maximal kennwortrichtlinien und Ereignisprotokoll-einstellungen mitgeben die FÜR ALLE COMPUTER (Server und Clients) gültig sein sollen. Kennwortrichtlinien können immer nur per Domäne definiert werden, da bietet sich die DDP an. Alles weitere wie Benutzerrechte und Sicherheitseinstellungen bitte nur in extra GPOs definieren und vorher in einer OU mit einem einzelnem Computer oder Benutzer testen. Geht da etwas schief musst du dich nur um einen kümmern.
Schau nun bitte auf einem (XP)client mit gpresult /v ob alles richtig übernommen wurde. Wenn du noch fragen hast, du weißt ja wo du hilfe bekommst
Um genau zu prüfen welche GPO's auf dem Computer für einen Benutzer angewendet werden, kannst du den Richtlinienergebnissatz im GP Editor verwenden. Einfach einen neuen Satz mit der OU Computer (für das Computerkonto) und der OU Benutzer (für das Benutzerkonto) erstellen, kurz auf die Analyse warten und du siehst genau was wie angewendet wird. Um nun zu prüfen ob auf dem Client alles richtig übernommen wurde, musst du auf einem Computer dessen Konto in der OU liegt, auf welche das GPO angewendet wird, gpresult /v ausführen. Den befehl auf einem DC auszuführen hat nur Sinn wenn man wissen möchte was auf die OU Domain Controllers angewendet wird. Noch ein Tipp, nimm doch bitte die Autoinstallation des VNC aus der Default Domain Policy und erstelle ein neues GPO "zb. Softwareverteilung" und wende es auf die OU mit den Computerkonten an. Auf einem DC ist es nicht so gut VNC zu installieren (lieber RemoteDesktop verwenden).
Im grunde genommen hast du also nun 2 OU's auf der Hauptebene, in einer befinden sich alle Benutzer und in der anderen alle Computerkonten. Auf der Benutzer-OU wendest du ein GPO mit allen Benutzereinstellungen und auf der Computer-OU ein GPO mit allen Computereinstellungen an. Auf die OU der Komputerkonten kannst du dann noch das SW-Install GPO legen und alles ist so wie es sein sollte. In der DefaultDomainPolicy(DDP) würde ich maximal kennwortrichtlinien und Ereignisprotokoll-einstellungen mitgeben die FÜR ALLE COMPUTER (Server und Clients) gültig sein sollen. Kennwortrichtlinien können immer nur per Domäne definiert werden, da bietet sich die DDP an. Alles weitere wie Benutzerrechte und Sicherheitseinstellungen bitte nur in extra GPOs definieren und vorher in einer OU mit einem einzelnem Computer oder Benutzer testen. Geht da etwas schief musst du dich nur um einen kümmern.
Schau nun bitte auf einem (XP)client mit gpresult /v ob alles richtig übernommen wurde. Wenn du noch fragen hast, du weißt ja wo du hilfe bekommst
Wow Danke für deinen Einsatz.... Ich kann es aber erst heute Nachmittag probieren.
Danke !!!
Edit: So ich habe alles sortiert und in den Benutzer OU´s die Computereinstellungen entfernt und umgekehrt. Müssen GPO´s eigentlich erzwungen sein um wirksam zu werden ?
Ich habe mich auch mit einem anderen User der sich in der betreffenden OU befindet an dem einen Test PC angemeldet, aber es werden keinerlei Einstellungen übernommen.
Der Ergebnissatz sagt mir aber das alles funktionieren sollte.
Kann es sein das man die OU´s falsch anlegt ?
Danke !!!
Edit: So ich habe alles sortiert und in den Benutzer OU´s die Computereinstellungen entfernt und umgekehrt. Müssen GPO´s eigentlich erzwungen sein um wirksam zu werden ?
Ich habe mich auch mit einem anderen User der sich in der betreffenden OU befindet an dem einen Test PC angemeldet, aber es werden keinerlei Einstellungen übernommen.
Der Ergebnissatz sagt mir aber das alles funktionieren sollte.
Kann es sein das man die OU´s falsch anlegt ?
Nein. Die weise wie du die OU anlegst wirkt sich normalerweise nicht auf das GPO aus. Aber was sein kann, das für die OU irgendwo die vererbung deaktiviert wurde ODER ein anderes GPO den status Erzwungen hat (was dann das spätere GPO wieder aufhebt). Gib mit mal bitte einen Screnshot deiner OU-Struktur in der GP-Konsole (Bitte irgendwo hochladen und den Link per PN zusenden). Auch eine Ausgabe von gpresult von dem Test-PC mit angemeldetem Testuser müsstest du noch dazugeben. Ich hoffe ich erkenne dann das Problem
Alles klar mache ich heute Mittag und sende das dann zu
Es lag am nslookup. Ich betreibe als Firewall einen IPCop und hatte dort falsche DNS Einstellungen.
Nun übernehmen die Clients auch ohne Zicken die Policy. Ob es mit WSUS klappt weiß ich noch nicht genau. Mal sehen ob da gleich welche auftauchen
.
Auf einem DC ist allerdings die Remotesteuerung noch extrem langsam. Finde nicht heraus weshalb..Das Netz verfügt über eine 6Mbit Leitung, aber die Steuerung über .rdp und über Dameware sind sehr sehr schleppend. Muss ich vielleicht noch eine spezielle Einstellung im DNS machen ? Muss der PDC einen DNS Server haben ?
DHCP wird auch vom IPCop verwaltet in allen Netzen.
Nun übernehmen die Clients auch ohne Zicken die Policy. Ob es mit WSUS klappt weiß ich noch nicht genau. Mal sehen ob da gleich welche auftauchen
.Auf einem DC ist allerdings die Remotesteuerung noch extrem langsam. Finde nicht heraus weshalb..Das Netz verfügt über eine 6Mbit Leitung, aber die Steuerung über .rdp und über Dameware sind sehr sehr schleppend. Muss ich vielleicht noch eine spezielle Einstellung im DNS machen ? Muss der PDC einen DNS Server haben ?
DHCP wird auch vom IPCop verwaltet in allen Netzen.
OK, Da haben wir ja den übeltäter
Hast du das mit den GPOs soweit verstanden?
Zum Thema DNS:
Du solltest, damit so etwas nicht wieder passiert und dein DNS sauber funktioniert bitte noch folgendes machen:
Zum Thema Remotelogin:
Was deine Speed vom RDP angeht, ist das eine Symetrische 6MBit oder ein DSL6000? Versuche bitte mal einen Ping auf heise.de und schau die Laufzeiten an. Liegen diese um oder über 100ms ist RDP ziemlich träge. Welche VPN-technik verwendest du für die Einwahl in die Firma? Nicht das hier ein Problem vorliegt oder die Bandbreite in irgend einer weise begrenzt wurde.
Hast du das mit den GPOs soweit verstanden?
Zum Thema DNS:
Du solltest, damit so etwas nicht wieder passiert und dein DNS sauber funktioniert bitte noch folgendes machen:
- In den Eigenschaften des DNS-Dienstes auf dem DC klicke auf Weiterleitungen und richte eine Weiterleitung für alle anderen DNS-Domänen an den IPCop ein.
- Wenn du DHCP verwendest, trage als Primären DNS-Server den DC ein. Als sekundären den IPCop. Solltest du die Clients statisch konfiguriert haben, trage auf den Clients diese Konfig per Hand ein.
- Stelle sicher das alle Clients diese Konfiguration übernehmen und prüfe mit ein paar DNS-Abfragen ob die Weiterleitung auf dem DC an den IPCop funktioniert.
Zum Thema Remotelogin:
Was deine Speed vom RDP angeht, ist das eine Symetrische 6MBit oder ein DSL6000? Versuche bitte mal einen Ping auf heise.de und schau die Laufzeiten an. Liegen diese um oder über 100ms ist RDP ziemlich träge. Welche VPN-technik verwendest du für die Einwahl in die Firma? Nicht das hier ein Problem vorliegt oder die Bandbreite in irgend einer weise begrenzt wurde.
Hi,
die Weiterleitung war schon eingetragen, sodass ich da nicht mehr ändern musste.
Habe die DHCP Einstellungen auf dem IPCop angepasst und hoffe das das nun funktioniert.
Es ist ein DSL 6000 und ich logge mich über OpenVPN ein. Der Ping ist ganz normal.
nslookup domäenenname.localdomain
bringt mir in dieser einen Domäne aber auch seltstsame Ergebnisse.
Werde ich gleich nachreichen.
die Weiterleitung war schon eingetragen, sodass ich da nicht mehr ändern musste.
Habe die DHCP Einstellungen auf dem IPCop angepasst und hoffe das das nun funktioniert.
Es ist ein DSL 6000 und ich logge mich über OpenVPN ein. Der Ping ist ganz normal.
nslookup domäenenname.localdomain
bringt mir in dieser einen Domäne aber auch seltstsame Ergebnisse.
Werde ich gleich nachreichen.
Es liegt vermutlich an meinem Vista Laptop. Von anderen PC´s funktioniert die Remotesteuerung wesentlich schneller. Ich bekomme vom OpenVPN Client eine Ipv6 Adresse als DNS Server zurück. Ich werde dort mal ein Update durchführen und mal schauen ob es dann klappt.
Danke soweit
Danke soweit
Vista-Testsysteme verursachen bei uns auch komische dinge im Netzwerk. Hoffentlich wird das mit dem SP1 besser. Naja, andere Geschichte. Funktioniert nun alles bei dir?
Hi,
sorry das ich mich solange nicht gemeldet habe Die Policy funktioniert nun soweit ganz gut. DAs mit den verbindlichen Profilen bekomme ich nur noch nicht hin.
Ich muss die ntuser.dat in ntuser.man umbenennen und dann was ?
Alle User für die ich dieses Profil festlegen will im AD auf den einen Ordner legen ?
Die sollen daran ja nichts verändern dürfen. Wenn man Änderungen vornehmen möchte nimmt man die Sperre mit .man raus bearbeitet und speichert und benennt wieder in .man um richtig ?
sorry das ich mich solange nicht gemeldet habe
Die Policy funktioniert nun soweit ganz gut. DAs mit den verbindlichen Profilen bekomme ich nur noch nicht hin.Ich muss die ntuser.dat in ntuser.man umbenennen und dann was ?
Alle User für die ich dieses Profil festlegen will im AD auf den einen Ordner legen ?
Die sollen daran ja nichts verändern dürfen. Wenn man Änderungen vornehmen möchte nimmt man die Sperre mit .man raus bearbeitet und speichert und benennt wieder in .man um richtig ?
Ja, so in etwa. Du muss wie folgt vorgehen um ein verbindliches Profil zu erstellen:
Möchtest du etwas ändern, am besten wieder mit der Vorlage am Vorlage-PC anmelden, die änderungen machen, hochladen und die ntuser umbenennen. fertig.
Nur wie gesagt, über Gruppenrichtlinien kannst du auch profile als schreibgeschützt definieren indem du "Einstellungen beim beenden nicht speichern" aktivierst". Dort lassen sich auch zb. Systemfunktionen sperren und vieles mehr. Wesentlich mächtiger als verbindliche Profile aber auch schwieriger zu konfigurieren.
- erstelle im AD einen neuen user ohne Profilpfad (user zum erstellen der Vorlage)
- melde dich an einem PC mit diesem User an und mache deine anpassungen am desktop
- melde dich wieder ab
- melde dich als Admin an und gehe auf
Systemeigenschaften -> Erweitert -> Benutzerprofile - Markiere dort das betreffende Profil und klicke auf "Kopieren nach...". Wähle des Netzwerkpfad des Profilspeichers als Ziel.
- Öffne den Profilpfad im Explorer und benenne die Datei ntuser.dat in ntuser.man um
- Ändere im AD den Profilpfad der betroffenen Benutzer auf den Speicherort des eben erstellten Profiles
Möchtest du etwas ändern, am besten wieder mit der Vorlage am Vorlage-PC anmelden, die änderungen machen, hochladen und die ntuser umbenennen. fertig.
Nur wie gesagt, über Gruppenrichtlinien kannst du auch profile als schreibgeschützt definieren indem du "Einstellungen beim beenden nicht speichern" aktivierst". Dort lassen sich auch zb. Systemfunktionen sperren und vieles mehr. Wesentlich mächtiger als verbindliche Profile aber auch schwieriger zu konfigurieren.
Heißt nicht speichern löschen ?
DAs Problem was ich sonst habe ist, dass "böswillige" Daten ohne Ende auf den PC´s in Eigene Dateien speichern.
DAs Problem was ich sonst habe ist, dass "böswillige" Daten ohne Ende auf den PC´s in Eigene Dateien speichern.
Hi,
ich habe das eben wie in deiner Anleitung beschrieben ausprobiert, aber leider ohne Erfolg. Ich habe einen User angelegt,die Änderungen vorgenommen, als Admin das Profil ins Netz gelegt und den Benutzern lesende Rechte auf den Ordnern gegeben. Anschließen habe ich die ntuser.dat in ntuser.man umbenannt und einen User angemeldet, dessen Profil in dieses Verzeichnis zielt.
Mit dem Ergebniss, dass komischerweise die Einstellungen, die ich an der Policy gemacht habe (Taskmanager nicht aufrufbar etc.) nicht mehr gesetzt waren und das Profil nicht übernommen worden ist. Dieses komische Profil ( inkl englisches Tastaturlayout) wird auch noch ins Netz zurückgesichert.
Ich habe keine Idee wieso...
ich habe das eben wie in deiner Anleitung beschrieben ausprobiert, aber leider ohne Erfolg. Ich habe einen User angelegt,die Änderungen vorgenommen, als Admin das Profil ins Netz gelegt und den Benutzern lesende Rechte auf den Ordnern gegeben. Anschließen habe ich die ntuser.dat in ntuser.man umbenannt und einen User angemeldet, dessen Profil in dieses Verzeichnis zielt.
Mit dem Ergebniss, dass komischerweise die Einstellungen, die ich an der Policy gemacht habe (Taskmanager nicht aufrufbar etc.) nicht mehr gesetzt waren und das Profil nicht übernommen worden ist. Dieses komische Profil ( inkl englisches Tastaturlayout) wird auch noch ins Netz zurückgesichert.
Ich habe keine Idee wieso...
So habe es noch mal versucht.
Vorlage User angemeldet ohne servergespeichertes Profil. Änderungen vorgenommen.
Admin angemeldet und Profil auf Server verschoben.
ntuser.dat in ntuser.man umbenannt und einen anderen User angemeldet.
Fazit:
Das Profil wurde übernommen, allerdings ist das Tastaturlayout Englisch, der Zugriff auf den Taskmanager und die Systemsteuerung war problemlos möglich was eigentlich per Policy verhindert wird und das Startmenü wurde nicht übernommen.
Wenn ich danach wieder den Vorlageuser anmelde ist aber alles wie gewollt.
Wo liegt da der Hase im Pfeffer ?
Vorlage User angemeldet ohne servergespeichertes Profil. Änderungen vorgenommen.
Admin angemeldet und Profil auf Server verschoben.
ntuser.dat in ntuser.man umbenannt und einen anderen User angemeldet.
Fazit:
Das Profil wurde übernommen, allerdings ist das Tastaturlayout Englisch, der Zugriff auf den Taskmanager und die Systemsteuerung war problemlos möglich was eigentlich per Policy verhindert wird und das Startmenü wurde nicht übernommen.
Wenn ich danach wieder den Vorlageuser anmelde ist aber alles wie gewollt.
Wo liegt da der Hase im Pfeffer ?
Könnte es vielleicht sein, dass er sich das neue Profil nicht vollständig vom Server lädt sondern auch Teile lokal bezieht und deshalb nicht alle Einstellungen übernimmt ?
Wenn ja wo kann man verbieten das lokale Profil zu verwenden ?
Wenn ja wo kann man verbieten das lokale Profil zu verwenden ?
