11
Bildschirmschoner GPO - Ausnahmen
Guten Morgen,
wir setzen aktuell per GPO für nahezu alle Benutzer die Bildschirmschoner-Einstellungen. Es gibt jedoch ein paar Ausnahmen, dies haben wir derzeit über eine separate OU gelöst, auf der die GPO nicht wirkt.
Das ist nicht sonderlich effizient, da durch die Deaktivierung der Vererbung GPOs manuell den OUs zugeordnete werden müssen.
Wenn ich die GPO nun oben setze und erzwinge, dann könnte ich die ausgenommenen Benutzer über das Verweigern-Recht auf der GPO ausschliessen. Gibt es noch einen sauberen Weg?
Noch was anderes: Die Ausnahmen betreffen im eigentlichen Sinne nicht Benutzer sondern die jeweiligen Computer. Wenn ich die GPO nun grundsätzlich bei den Computern setze und die Loopbackverarbeitung aktiviere, dann wäre erstmal auf allen Computern der Bildschirmschoner gesetzt, unabhängig vom Benutzer. Hier müsste ich dann ebenfalls mit verweigern arbeiten, jedoch dann Computer verweigern, oder habe ich einen Denkfehler?
wir setzen aktuell per GPO für nahezu alle Benutzer die Bildschirmschoner-Einstellungen. Es gibt jedoch ein paar Ausnahmen, dies haben wir derzeit über eine separate OU gelöst, auf der die GPO nicht wirkt.
Das ist nicht sonderlich effizient, da durch die Deaktivierung der Vererbung GPOs manuell den OUs zugeordnete werden müssen.
Wenn ich die GPO nun oben setze und erzwinge, dann könnte ich die ausgenommenen Benutzer über das Verweigern-Recht auf der GPO ausschliessen. Gibt es noch einen sauberen Weg?
Noch was anderes: Die Ausnahmen betreffen im eigentlichen Sinne nicht Benutzer sondern die jeweiligen Computer. Wenn ich die GPO nun grundsätzlich bei den Computern setze und die Loopbackverarbeitung aktiviere, dann wäre erstmal auf allen Computern der Bildschirmschoner gesetzt, unabhängig vom Benutzer. Hier müsste ich dann ebenfalls mit verweigern arbeiten, jedoch dann Computer verweigern, oder habe ich einen Denkfehler?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 640991
Url: https://administrator.de/contentid/640991
Printed on: April 19, 2024 at 10:04 o'clock
11 Comments
Latest comment
GPP mit Zielgruppenadressierung.
Das wäre natürlich möglich, dazu müsste ich den Bildschirmschoner per Registry konfigurieren. Der Nachteil hierbei ist, dass der Benutzer die Einstellungen änder kann und diese erst mit dem nächsten gpupdate wieder überschrieben werden.
Moin
Du könntest die EInordnung der OUs umkehren. Sprich:
1. OU Ebene nur die Ausnahmen und alle GPOs die füpr alle wiken
2. OU Ebene alle anderen Benutzer mit der Zusätzlichen GPO
Ansonsten wenn alle in einer OU sein soll wie folgt vorgehen:
1. authentifizierte Benutzer bei der Zuordnung raus
2. autehntifizierte Benutzer in der deligierung Lesend hinzufügen
3. AD-Gruppe erstellen für die, die die Einstellung bekommen sollen
4. AD-Gruppe der GPO zuordnen
Gruß
Doskias
Zitat von @JoeDevlin:
wir setzen aktuell per GPO für nahezu alle Benutzer die Bildschirmschoner-Einstellungen. Es gibt jedoch ein paar Ausnahmen, dies haben wir derzeit über eine separate OU gelöst, auf der die GPO nicht wirkt.
wir setzen aktuell per GPO für nahezu alle Benutzer die Bildschirmschoner-Einstellungen. Es gibt jedoch ein paar Ausnahmen, dies haben wir derzeit über eine separate OU gelöst, auf der die GPO nicht wirkt.
Du könntest die EInordnung der OUs umkehren. Sprich:
1. OU Ebene nur die Ausnahmen und alle GPOs die füpr alle wiken
2. OU Ebene alle anderen Benutzer mit der Zusätzlichen GPO
Ansonsten wenn alle in einer OU sein soll wie folgt vorgehen:
1. authentifizierte Benutzer bei der Zuordnung raus
2. autehntifizierte Benutzer in der deligierung Lesend hinzufügen
3. AD-Gruppe erstellen für die, die die Einstellung bekommen sollen
4. AD-Gruppe der GPO zuordnen
Gruß
Doskias
dazu müsste ich den Bildschirmschoner per Registry konfigurieren. Der Nachteil hierbei ist, dass der Benutzer die Einstellungen änder kann und diese erst mit dem nächsten gpupdate wieder überschrieben werden.
Das stimmt nicht. Die GPO ist ebenso registrybasiert. Unter HKCU\Software\policies kann der Nutzer nicht schreiben.
Hi
Ich hab das bei mir so, das ich eine GPO für alle habe, die eine deny-gruppe hat. Damit gilt die GPO für alle,Ausser der Gruppe.
Da die Einstellungen aber nicht umgekehrt werden, wenn die GPO bei einem User nachträglich nicht mehr gilt, braucht man noch eine GPO die nur für die Deny-gruppe gilt, in der dann die default Werte wieder gesetzt werden.
Klappt bei uns gut
Ich hab das bei mir so, das ich eine GPO für alle habe, die eine deny-gruppe hat. Damit gilt die GPO für alle,Ausser der Gruppe.
Da die Einstellungen aber nicht umgekehrt werden, wenn die GPO bei einem User nachträglich nicht mehr gilt, braucht man noch eine GPO die nur für die Deny-gruppe gilt, in der dann die default Werte wieder gesetzt werden.
Klappt bei uns gut
Zitat von @SeaStorm:
Ich hab das bei mir so, das ich eine GPO für alle habe, die eine deny-gruppe hat. Damit gilt die GPO für alle,Ausser der Gruppe.
Ich hab das bei mir so, das ich eine GPO für alle habe, die eine deny-gruppe hat. Damit gilt die GPO für alle,Ausser der Gruppe.
Ich habe zwei EInstellungen bei uns. Eine für alle und eine für die Admins. Die der Admins ist eine Ebene höher (andere OU). Keine auf Deny, da die Reihenfolge das schon regelt.
Da die Einstellungen aber nicht umgekehrt werden, wenn die GPO bei einem User nachträglich nicht mehr gilt, braucht man noch eine GPO die nur für die Deny-gruppe gilt, in der dann die default Werte wieder gesetzt werden.
Die Diskussion hatten wir neulich doch auch erst hier im Forum. Ich war auch davon ausgegangen, dass die Dafault-Werte nicht wieder gesetzt werden, habe es aber nach einer längeren Diskussion dann natürlich auch testen wollen um sagen zu können "Bei meinem Test ging es nicht automatisch mit einer Wiederherstellung der Default-Werte", musste dann aber nach meinem Test doch zugeben, dass die Default-Werte automatisch wiederkommen und keine eigene GPO dafür benötigt werden.
Zitat von @Doskias:
musste dann aber nach meinem Test doch zugeben, dass die Default-Werte automatisch wiederkommen und keine eigene GPO dafür benötigt werden.
Gibt ja zig verschiedene Möglichkeiten den Screensaver einzustellen. Jetzt müsste man mal vergleichen über welche Einstellung genau man redet. Ich erinnere mich noch dunkel daran wie das bei uns war und da habe ich das extra noch im Nachgang so gemacht.musste dann aber nach meinem Test doch zugeben, dass die Default-Werte automatisch wiederkommen und keine eigene GPO dafür benötigt werden.
[Edit]
Du hast recht. Eben noch mal nachgesehen. Wir haben es tatsächlich so gelöst:
Eine UserPolicy für alle mit einer Exception-Gruppe:
Und noch mal eine Computer-Policy mit eigener Gruppe (Usersetting mit Loopback) um den Lockscreen an einem Computer allgemein abzuschalten, aber nicht den User. Irgendwas wegen Anmeldungen an Rechnern in der Produktion ...
Guten Morgen,
eine explizite Allow-Gruppe ist unserem Design eher schlecht, da von ca. 300 Benutzern ungefähr zehn den Bildschirmschoner nicht bekommen sollen. Es wäre zwar in der GPO am elegantesten einstellbar (authentifizierte Benutzer raus, Allow-Gruppe rein), jedoch wäre der. Verwaltungsaufwand höher.
Auch wenn ich grundsätzlich der Ansicht bin, dass Deny-Rechte vermieden werden sollen, können Sie im AD gut dokumentiert doch auch eine Lösung sein. Ich werde das wohl so umsetzen.
Es geht im Übrigen genau um die o.g. Einstellungen für Bildschirmschoner und mir ist auch schon mal aufgefallen, dass die Default-Werte nicht zurückgesetzt werden, auch wenn eure Tests zum Teil etwas anderes aussagen. Jedoch kann der Anwender nach Deaktivierung der OU den Bildschirmschoner wieder manuell deaktivieren.
eine explizite Allow-Gruppe ist unserem Design eher schlecht, da von ca. 300 Benutzern ungefähr zehn den Bildschirmschoner nicht bekommen sollen. Es wäre zwar in der GPO am elegantesten einstellbar (authentifizierte Benutzer raus, Allow-Gruppe rein), jedoch wäre der. Verwaltungsaufwand höher.
Auch wenn ich grundsätzlich der Ansicht bin, dass Deny-Rechte vermieden werden sollen, können Sie im AD gut dokumentiert doch auch eine Lösung sein. Ich werde das wohl so umsetzen.
Es geht im Übrigen genau um die o.g. Einstellungen für Bildschirmschoner und mir ist auch schon mal aufgefallen, dass die Default-Werte nicht zurückgesetzt werden, auch wenn eure Tests zum Teil etwas anderes aussagen. Jedoch kann der Anwender nach Deaktivierung der OU den Bildschirmschoner wieder manuell deaktivieren.
Guten Morgen,
eine explizite Allow-Gruppe ist unserem Design eher schlecht, da von ca. 300 Benutzern ungefähr zehn den Bildschirmschoner nicht bekommen sollen. Es wäre zwar in der GPO am elegantesten einstellbar (authentifizierte Benutzer raus, Allow-Gruppe rein), jedoch wäre der. Verwaltungsaufwand höher.
eine explizite Allow-Gruppe ist unserem Design eher schlecht, da von ca. 300 Benutzern ungefähr zehn den Bildschirmschoner nicht bekommen sollen. Es wäre zwar in der GPO am elegantesten einstellbar (authentifizierte Benutzer raus, Allow-Gruppe rein), jedoch wäre der. Verwaltungsaufwand höher.
Guten Morgen,
nein wäre es nicht. Es heißt Gruppenrichtlinien, weil du mir Gruppen arbeiten sollst
Wenn du weißt, wer es nicht bekommen soll, dann schreib die 10 Namen in ne Textdatei und lass ein PS-Skript die Gruppe anlegen und jeden hinzufügen der nicht in der Text-Datei steht.
Klar: alle anderen 290 händisch in eine Gruppe einordnen ist aufwändiger und unverhältnismäßig. Wenn du schon automatisierte Prozesse wie die GPO anwenden willst, wieso dann nicht automatisierte Prozesse er PS nutzen?
Gruß
Doskias
Das ist aber auch irgendwie überverkompliziert...
Dann kann man auch wie oben beschrieben eine GPO machen die für alle gilt und darin eine Deny-Gruppe pflegen
Dann kann man auch wie oben beschrieben eine GPO machen die für alle gilt und darin eine Deny-Gruppe pflegen
Zitat von @SeaStorm:
Das ist aber auch irgendwie überverkompliziert...
Dann kann man auch wie oben beschrieben eine GPO machen die für alle gilt und darin eine Deny-Gruppe pflegen
Das ist aber auch irgendwie überverkompliziert...
Dann kann man auch wie oben beschrieben eine GPO machen die für alle gilt und darin eine Deny-Gruppe pflegen
Bei mir laufen die AD-Gruppen Grundsätzlich via Text-Datei und PS-Import. Von daher wäre es für mich kein Mehraufwand, da das Skript schon steht. Es ging nur darum, weil @redhorse schrieb, dass er Deny Rechte vermeiden möchte und der Aufwand für 290 User in einer neuen Gruppe zu hoch sei.
