joedevlin
Goto Top

Bildschirmschoner GPO - Ausnahmen

Guten Morgen,

wir setzen aktuell per GPO für nahezu alle Benutzer die Bildschirmschoner-Einstellungen. Es gibt jedoch ein paar Ausnahmen, dies haben wir derzeit über eine separate OU gelöst, auf der die GPO nicht wirkt.

Das ist nicht sonderlich effizient, da durch die Deaktivierung der Vererbung GPOs manuell den OUs zugeordnete werden müssen.

Wenn ich die GPO nun oben setze und erzwinge, dann könnte ich die ausgenommenen Benutzer über das Verweigern-Recht auf der GPO ausschliessen. Gibt es noch einen sauberen Weg?

Noch was anderes: Die Ausnahmen betreffen im eigentlichen Sinne nicht Benutzer sondern die jeweiligen Computer. Wenn ich die GPO nun grundsätzlich bei den Computern setze und die Loopbackverarbeitung aktiviere, dann wäre erstmal auf allen Computern der Bildschirmschoner gesetzt, unabhängig vom Benutzer. Hier müsste ich dann ebenfalls mit verweigern arbeiten, jedoch dann Computer verweigern, oder habe ich einen Denkfehler?

Content-ID: 640991

Url: https://administrator.de/forum/bildschirmschoner-gpo-ausnahmen-640991.html

Ausgedruckt am: 25.12.2024 um 17:12 Uhr

Inf1d3l
Lösung Inf1d3l 16.01.2021 um 09:39:02 Uhr
Goto Top
GPP mit Zielgruppenadressierung.
JoeDevlin
JoeDevlin 16.01.2021 um 10:16:19 Uhr
Goto Top
Zitat von @Inf1d3l:

GPP mit Zielgruppenadressierung.

Das wäre natürlich möglich, dazu müsste ich den Bildschirmschoner per Registry konfigurieren. Der Nachteil hierbei ist, dass der Benutzer die Einstellungen änder kann und diese erst mit dem nächsten gpupdate wieder überschrieben werden.
Doskias
Lösung Doskias 16.01.2021 aktualisiert um 10:34:22 Uhr
Goto Top
Moin

Zitat von @JoeDevlin:
wir setzen aktuell per GPO für nahezu alle Benutzer die Bildschirmschoner-Einstellungen. Es gibt jedoch ein paar Ausnahmen, dies haben wir derzeit über eine separate OU gelöst, auf der die GPO nicht wirkt.

Du könntest die EInordnung der OUs umkehren. Sprich:

1. OU Ebene nur die Ausnahmen und alle GPOs die füpr alle wiken
2. OU Ebene alle anderen Benutzer mit der Zusätzlichen GPO

Ansonsten wenn alle in einer OU sein soll wie folgt vorgehen:

1. authentifizierte Benutzer bei der Zuordnung raus
2. autehntifizierte Benutzer in der deligierung Lesend hinzufügen
3. AD-Gruppe erstellen für die, die die Einstellung bekommen sollen
4. AD-Gruppe der GPO zuordnen

Gruß
Doskias
DerWoWusste
DerWoWusste 16.01.2021 um 11:57:50 Uhr
Goto Top
dazu müsste ich den Bildschirmschoner per Registry konfigurieren. Der Nachteil hierbei ist, dass der Benutzer die Einstellungen änder kann und diese erst mit dem nächsten gpupdate wieder überschrieben werden.
Das stimmt nicht. Die GPO ist ebenso registrybasiert. Unter HKCU\Software\policies kann der Nutzer nicht schreiben.
SeaStorm
Lösung SeaStorm 16.01.2021 um 15:04:59 Uhr
Goto Top
Hi

Ich hab das bei mir so, das ich eine GPO für alle habe, die eine deny-gruppe hat. Damit gilt die GPO für alle,Ausser der Gruppe.
Da die Einstellungen aber nicht umgekehrt werden, wenn die GPO bei einem User nachträglich nicht mehr gilt, braucht man noch eine GPO die nur für die Deny-gruppe gilt, in der dann die default Werte wieder gesetzt werden.
Klappt bei uns gut
Doskias
Doskias 16.01.2021 um 15:37:54 Uhr
Goto Top
Zitat von @SeaStorm:
Ich hab das bei mir so, das ich eine GPO für alle habe, die eine deny-gruppe hat. Damit gilt die GPO für alle,Ausser der Gruppe.

Ich habe zwei EInstellungen bei uns. Eine für alle und eine für die Admins. Die der Admins ist eine Ebene höher (andere OU). Keine auf Deny, da die Reihenfolge das schon regelt.

Da die Einstellungen aber nicht umgekehrt werden, wenn die GPO bei einem User nachträglich nicht mehr gilt, braucht man noch eine GPO die nur für die Deny-gruppe gilt, in der dann die default Werte wieder gesetzt werden.

Die Diskussion hatten wir neulich doch auch erst hier im Forum. Ich war auch davon ausgegangen, dass die Dafault-Werte nicht wieder gesetzt werden, habe es aber nach einer längeren Diskussion dann natürlich auch testen wollen um sagen zu können "Bei meinem Test ging es nicht automatisch mit einer Wiederherstellung der Default-Werte", musste dann aber nach meinem Test doch zugeben, dass die Default-Werte automatisch wiederkommen und keine eigene GPO dafür benötigt werden.
SeaStorm
Lösung SeaStorm 16.01.2021 aktualisiert um 18:32:18 Uhr
Goto Top
Zitat von @Doskias:

musste dann aber nach meinem Test doch zugeben, dass die Default-Werte automatisch wiederkommen und keine eigene GPO dafür benötigt werden.
Gibt ja zig verschiedene Möglichkeiten den Screensaver einzustellen. Jetzt müsste man mal vergleichen über welche Einstellung genau man redet. Ich erinnere mich noch dunkel daran wie das bei uns war und da habe ich das extra noch im Nachgang so gemacht.

[Edit]
Du hast recht. Eben noch mal nachgesehen. Wir haben es tatsächlich so gelöst:
Eine UserPolicy für alle mit einer Exception-Gruppe:
msedge_2021-01-16_18-28-51

Und noch mal eine Computer-Policy mit eigener Gruppe (Usersetting mit Loopback) um den Lockscreen an einem Computer allgemein abzuschalten, aber nicht den User. Irgendwas wegen Anmeldungen an Rechnern in der Produktion ...
msedge_2021-01-16_18-31-21
JoeDevlin
JoeDevlin 17.01.2021 um 08:29:19 Uhr
Goto Top
Guten Morgen,

eine explizite Allow-Gruppe ist unserem Design eher schlecht, da von ca. 300 Benutzern ungefähr zehn den Bildschirmschoner nicht bekommen sollen. Es wäre zwar in der GPO am elegantesten einstellbar (authentifizierte Benutzer raus, Allow-Gruppe rein), jedoch wäre der. Verwaltungsaufwand höher.

Auch wenn ich grundsätzlich der Ansicht bin, dass Deny-Rechte vermieden werden sollen, können Sie im AD gut dokumentiert doch auch eine Lösung sein. Ich werde das wohl so umsetzen.

Es geht im Übrigen genau um die o.g. Einstellungen für Bildschirmschoner und mir ist auch schon mal aufgefallen, dass die Default-Werte nicht zurückgesetzt werden, auch wenn eure Tests zum Teil etwas anderes aussagen. Jedoch kann der Anwender nach Deaktivierung der OU den Bildschirmschoner wieder manuell deaktivieren.
Doskias
Doskias 18.01.2021 um 08:03:49 Uhr
Goto Top
Guten Morgen,
eine explizite Allow-Gruppe ist unserem Design eher schlecht, da von ca. 300 Benutzern ungefähr zehn den Bildschirmschoner nicht bekommen sollen. Es wäre zwar in der GPO am elegantesten einstellbar (authentifizierte Benutzer raus, Allow-Gruppe rein), jedoch wäre der. Verwaltungsaufwand höher.

Guten Morgen,

nein wäre es nicht. Es heißt Gruppenrichtlinien, weil du mir Gruppen arbeiten sollst face-smile

Wenn du weißt, wer es nicht bekommen soll, dann schreib die 10 Namen in ne Textdatei und lass ein PS-Skript die Gruppe anlegen und jeden hinzufügen der nicht in der Text-Datei steht.

Klar: alle anderen 290 händisch in eine Gruppe einordnen ist aufwändiger und unverhältnismäßig. Wenn du schon automatisierte Prozesse wie die GPO anwenden willst, wieso dann nicht automatisierte Prozesse er PS nutzen?

Gruß
Doskias
SeaStorm
SeaStorm 18.01.2021 um 08:31:50 Uhr
Goto Top
Das ist aber auch irgendwie überverkompliziert...
Dann kann man auch wie oben beschrieben eine GPO machen die für alle gilt und darin eine Deny-Gruppe pflegen
Doskias
Doskias 18.01.2021 um 08:39:26 Uhr
Goto Top
Zitat von @SeaStorm:

Das ist aber auch irgendwie überverkompliziert...
Dann kann man auch wie oben beschrieben eine GPO machen die für alle gilt und darin eine Deny-Gruppe pflegen


Bei mir laufen die AD-Gruppen Grundsätzlich via Text-Datei und PS-Import. Von daher wäre es für mich kein Mehraufwand, da das Skript schon steht. Es ging nur darum, weil @redhorse schrieb, dass er Deny Rechte vermeiden möchte und der Aufwand für 290 User in einer neuen Gruppe zu hoch sei.