23
2008 R2: Computerrichtlinien einem Benutzer zuweisen
Hallo,
ich habe aktuell ein Problem mit den Gruppenrichtlinien unter Windows Server 2008 R2. Ich habe den Anwendungsfall, dass an einem Rechner mehrere Leute arbeiten, aber bestimmten Benutzern zusätzliche Richtlinien (Computerrichtlinien) zugewiesen müssen.
Ich habe das auch bereits probiert, jedoch werden die Computerrichtlinien ignoriert, auch per Loopback funktioniert das scheinbar nicht.
Hatte irgendwer diesen Anwendungsfall schon mal?
Danke & Gruß
ich habe aktuell ein Problem mit den Gruppenrichtlinien unter Windows Server 2008 R2. Ich habe den Anwendungsfall, dass an einem Rechner mehrere Leute arbeiten, aber bestimmten Benutzern zusätzliche Richtlinien (Computerrichtlinien) zugewiesen müssen.
Ich habe das auch bereits probiert, jedoch werden die Computerrichtlinien ignoriert, auch per Loopback funktioniert das scheinbar nicht.
Hatte irgendwer diesen Anwendungsfall schon mal?
Danke & Gruß
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 243282
Url: https://administrator.de/forum/2008-r2-computerrichtlinien-einem-benutzer-zuweisen-243282.html
Ausgedruckt am: 08.04.2025 um 14:04 Uhr
23 Kommentare
Neuester Kommentar
Hallo Hummerman,
ich denke nicht, dass du Computerrichtlinien Benutzern zuweisen kannst. Das ist auch gar nicht Zweck des Loopbackmodus.
Computerrichtlinien gelten für Computer. Wenn sie greifen, dann für alle Benutzer des Computers, wenn sie nicht greifen ist der Computer nicht im Scope der Richtlinie oder per Sicherheitsfilterung, WMI-Filter, Zielgruppenadressierung etc. ausgeschlossen.
Einige (viele) Richtlinien gibt es sowohl im Computer- als auch im Benutzerteil. Hier ist es i.d.R. so, dass die Computerrichtlinie durchgesetzt wird falls beide konfiguriert sind.
Gruß,
gemini
ich denke nicht, dass du Computerrichtlinien Benutzern zuweisen kannst. Das ist auch gar nicht Zweck des Loopbackmodus.
Computerrichtlinien gelten für Computer. Wenn sie greifen, dann für alle Benutzer des Computers, wenn sie nicht greifen ist der Computer nicht im Scope der Richtlinie oder per Sicherheitsfilterung, WMI-Filter, Zielgruppenadressierung etc. ausgeschlossen.
Einige (viele) Richtlinien gibt es sowohl im Computer- als auch im Benutzerteil. Hier ist es i.d.R. so, dass die Computerrichtlinie durchgesetzt wird falls beide konfiguriert sind.
Gruß,
gemini
Hallo gemini,
danke für deine Antwort!
Also ist mein Vorhaben nicht möglich?
Der Sinn soll sein, das bestimmte Einschränkungen, leider nur als Computerrichtlinie verfügbar, nur für bestimmte Benutzer gelten sollen. Damit andere Benutzer ohne diese Einschränkungen an den Rechner arbeiten können.
Gruß
danke für deine Antwort!
Also ist mein Vorhaben nicht möglich?
Der Sinn soll sein, das bestimmte Einschränkungen, leider nur als Computerrichtlinie verfügbar, nur für bestimmte Benutzer gelten sollen. Damit andere Benutzer ohne diese Einschränkungen an den Rechner arbeiten können.
Gruß
Hi.
Gib bitte an, was Du konfigurieren möchtest - ein Beispiel reicht - und warum.
Gib bitte an, was Du konfigurieren möchtest - ein Beispiel reicht - und warum.
Hallo
Um welche Richtlinien handelt es sich denn?
gemini
Also ist mein Vorhaben nicht möglich?
Ich denke nicht.Um welche Richtlinien handelt es sich denn?
gemini
Hallo,
es geht u. a. um folgende Richtlinie: "Interaktive Anmeldung: Smartcard erforderlich"
Bestimmte Benutzer sollen sich nur per Smartcard anmelden können und beim Rest reicht das normale Passwort.
es geht u. a. um folgende Richtlinie: "Interaktive Anmeldung: Smartcard erforderlich"
Bestimmte Benutzer sollen sich nur per Smartcard anmelden können und beim Rest reicht das normale Passwort.
Ok, eine etwas abwegige Idee, das ist nicht vorgesehen. Hast Du noch ein weiteres Beispiel?
Zitat von @Hummerman:
Ich habe das auch bereits probiert, jedoch werden die Computerrichtlinien ignoriert, auch per Loopback funktioniert das scheinbar
nicht.
Ich habe das auch bereits probiert, jedoch werden die Computerrichtlinien ignoriert, auch per Loopback funktioniert das scheinbar
nicht.
Moin,
doch das sollte mit Loopback funktionieren, man muß nur verstehen wie das funktioniert. Vielleicht hilft der folgende Link:
http://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loo ...
VG,
Thomas
@tkr104
Nee, das zieht nicht. Lies Dir doch Deinen Link durch, das ist doch gar nicht sein Setup.
Nee, das zieht nicht. Lies Dir doch Deinen Link durch, das ist doch gar nicht sein Setup.
Darum geht es hauptsächlich, in dem Zusammenhang muss dann noch ein Dienst gestartet werden. Das wars dann schon.
Moin,
Grüße Uwe
Zitat von @Hummerman:
Bestimmte Benutzer sollen sich nur per Smartcard anmelden können und beim Rest reicht das normale Passwort.
schon mal in AD Users and Computers in die User-Accounts geschaut:Bestimmte Benutzer sollen sich nur per Smartcard anmelden können und beim Rest reicht das normale Passwort.
Grüße Uwe
Zitat von @DerWoWusste:
@tkr104
Nee, das zieht nicht. Lies Dir doch Deinen Link durch, das ist doch gar nicht sein Setup.
@tkr104
Nee, das zieht nicht. Lies Dir doch Deinen Link durch, das ist doch gar nicht sein Setup.
Warum muß sein Setup mit dem verlinkten Beispiel(!) identisch sein? Mir ging es primär darum das es mit Loopback Processing und WMI Filtern möglich ist Computerrichtlinien abhängig von Userobjekten wirken zu lassen.
VG,
Thomas
Zitat von @Th0mKa:
Warum muß sein Setup mit dem verlinkten Beispiel(!) identisch sein? Mir ging es primär darum das es mit Loopback
Processing und WMI Filtern möglich ist Computerrichtlinien abhängig von Userobjekten wirken zu lassen.
Es geht nur in die andere Richtung : "Usersettings abhängig vom Computer"Warum muß sein Setup mit dem verlinkten Beispiel(!) identisch sein? Mir ging es primär darum das es mit Loopback
Processing und WMI Filtern möglich ist Computerrichtlinien abhängig von Userobjekten wirken zu lassen.
Grüße Uwe
Hallo Hummerman,
die Smartcard-Anmeldung kannst du auch im Benutzerkonto erzwingen (ADUC: Eigenschaften von <User>\Konto\Kontooptionen: Benutzer muss sich mit einer Smartcard anmelden).
@tkr104
Hummerman möchte, dass der Benutzer den Anteil Computerkonfiguration liest, und das geht so nicht.
Gruß,
gemini
die Smartcard-Anmeldung kannst du auch im Benutzerkonto erzwingen (ADUC: Eigenschaften von <User>\Konto\Kontooptionen: Benutzer muss sich mit einer Smartcard anmelden).
@tkr104
doch das sollte mit Loopback funktionieren, man muß nur verstehen wie das funktioniert. Vielleicht hilft der folgende Link:
http://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loo ...
Der Loopbackmodus ermöglicht, dass ein Benutzer Richtlinien, genauer den Anteil Benutzerkonfiguration, zugewiesen bekommt die im Scope des Computerobjekts liegen.http://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loo ...
Hummerman möchte, dass der Benutzer den Anteil Computerkonfiguration liest, und das geht so nicht.
Gruß,
gemini
@colinardo und gemini: Danke für den Hinweis! Diese Option habe ich schon getestet, leider bewirkt diese, dass das Passwort vom Benutzer entfernt wird und dann ist auch kein Login mehr bei anderen Anwendungen möglich.
Mein Anwendungsfall ist leider ein wenig merkwürdig, die Struktur ist aber leider so.
Mein Anwendungsfall ist leider ein wenig merkwürdig, die Struktur ist aber leider so.
Sehr merkwürdig, indeed. Eigentlich soll damit ja ein Rechner abgesichert warden. nun ja.
Und was meintest Du mit
Und was meintest Du mit
in dem Zusammenhang muss dann noch ein Dienst gestartet werden
Zitat von @Hummerman:
@colinardo und gemini: Danke für den Hinweis! Diese Option habe ich schon getestet, leider bewirkt diese, dass das Passwort vom Benutzer entfernt wird und dann ist auch kein Login mehr bei anderen Anwendungen möglich.
@colinardo und gemini: Danke für den Hinweis! Diese Option habe ich schon getestet, leider bewirkt diese, dass das Passwort vom Benutzer entfernt wird und dann ist auch kein Login mehr bei anderen Anwendungen möglich.
habe ich jetzt so noch nicht ausprobiert: aber habt ihr im Account nach dem Setzen der Option schon mal das Kennwort des Accounts neu gesetzt, und dann in der entsprechenden Anwendung (nicht beim Windows Login) versucht mit dem Kennwort einzuloggen:
Benutzer muss sich mit einer Smartcard anmelden
Macht es erforderlich, dass ein Benutzer eine Smartcard besitzt, um sich interaktiv im Netzwerk anmelden zu können. Der Computer des Benutzers muss zudem über einen Smartcardleser verfügen, und der Benutzer muss eine gültige Geheimzahl (Personal Identification Number, PIN) für die Smartcard besitzen. Wenn diese Option aktiviert ist, wird das Kennwort für das Benutzerkonto automatisch auf einen zufälligen und komplexen Wert festgelegt, und die Kontooption Kennwort läuft nie ab wird festgelegt.
Macht es erforderlich, dass ein Benutzer eine Smartcard besitzt, um sich interaktiv im Netzwerk anmelden zu können. Der Computer des Benutzers muss zudem über einen Smartcardleser verfügen, und der Benutzer muss eine gültige Geheimzahl (Personal Identification Number, PIN) für die Smartcard besitzen. Wenn diese Option aktiviert ist, wird das Kennwort für das Benutzerkonto automatisch auf einen zufälligen und komplexen Wert festgelegt, und die Kontooption Kennwort läuft nie ab wird festgelegt.
Theoretisch hast du schon Recht, in dem Fall hängt damit aber noch mehr zusammen, z. B. Netzlaufwerke usw.
Folgender Dienst: "Richtlinie zum Entfernen der Smartcard"
Folgender Dienst: "Richtlinie zum Entfernen der Smartcard"
Danke! Auf die Idee bin ich noch nicht gekommen. Werde das mal ausprobieren.
Edit: Scheint zu funktionieren, ich werde das mal genauer testen.
Edit: Scheint zu funktionieren, ich werde das mal genauer testen.
Scheint zu funktionieren
Also bei mir nicht.
Die LDAP-Anwendungen funktionieren mit dem Trick, OWA, Outlook Anywhere und ActiveSync leider nicht.
...und interaktiv anmelden kann sich der Nutzer dann auch nirgendwo mehr ohne Smartcard.
Der Effekt ist ja gewünscht, bis auf die Exchange-Geschichte scheint das Ganze einwandfrei zu funktionieren.
Ach so...ich dachte, nur auf einem einzigen PC soll es beschränkt werden. Gut.
