2
Computer-GPO auf User filtern
Hallo,
ich habe einen Knoten im Kopf, ist ja eigentlich schon Wochenende.
Ich habe eine OU mit Geräten an denen der Administrator (wenn er sich anmeldet) einen eigenen Profilpfad bekommt mit %COMPUTERNAME% als Bestandteil - das funktioniert wie gewünscht. So ist hat der Administrator-Account ein eigenes Profil pro Maschine - Die Einstellung fällt unter Computerkonfiguration.
Für Benutzer möchte ich die Profile nicht nach %COMPUTERNAME% sondern nach OS Version ablegen. Auch dazu habe ich eine funktionsfähige GPO mit WMI-Filter.
Jetzt möchte ich beide GPOs gleichzeitig anwenden, sprich meldet sich der Administrator an Computer X an soll die erste GPO greifen, meldet sich ein anderer User an soll die zweite GPO greifen. Eine der beiden GPOs mit Computerkonfiguration müsste also User-bedingt gefiltert werden, das geht ja aber gar nicht!? - Gibt es für mein Problem überhaupt eine Lösung?
Wenn ich die Sicherheitsfilterung auf einen User nutze und unter Delegierung Leserechte setze kann die GPO auf dem Zielsystem gelesen werden, wird aber immer abgelehnt (vermutlich weil die GPO ja nicht vom User sondern vom System-User gelesen wird). Mit der WMI-Filterung müsste es nach meinem Verständnis genau so sein. Loop back vermeide ich schon mein ganzes Berufsleben, aber auch hier sehe ich keinen Lösungsweg.
Gefunden habe ich nur Posts von Leuten mit ähnlichen Ideen, aber keiner mit einer Lösung, z.B.:
https://community.spiceworks.com/topic/1898397-apply-gpo-to-computer-for ...
ich habe einen Knoten im Kopf, ist ja eigentlich schon Wochenende.
Ich habe eine OU mit Geräten an denen der Administrator (wenn er sich anmeldet) einen eigenen Profilpfad bekommt mit %COMPUTERNAME% als Bestandteil - das funktioniert wie gewünscht. So ist hat der Administrator-Account ein eigenes Profil pro Maschine - Die Einstellung fällt unter Computerkonfiguration.
Für Benutzer möchte ich die Profile nicht nach %COMPUTERNAME% sondern nach OS Version ablegen. Auch dazu habe ich eine funktionsfähige GPO mit WMI-Filter.
Jetzt möchte ich beide GPOs gleichzeitig anwenden, sprich meldet sich der Administrator an Computer X an soll die erste GPO greifen, meldet sich ein anderer User an soll die zweite GPO greifen. Eine der beiden GPOs mit Computerkonfiguration müsste also User-bedingt gefiltert werden, das geht ja aber gar nicht!? - Gibt es für mein Problem überhaupt eine Lösung?
Wenn ich die Sicherheitsfilterung auf einen User nutze und unter Delegierung Leserechte setze kann die GPO auf dem Zielsystem gelesen werden, wird aber immer abgelehnt (vermutlich weil die GPO ja nicht vom User sondern vom System-User gelesen wird). Mit der WMI-Filterung müsste es nach meinem Verständnis genau so sein. Loop back vermeide ich schon mein ganzes Berufsleben, aber auch hier sehe ich keinen Lösungsweg.
Gefunden habe ich nur Posts von Leuten mit ähnlichen Ideen, aber keiner mit einer Lösung, z.B.:
https://community.spiceworks.com/topic/1898397-apply-gpo-to-computer-for ...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2211006597
Url: https://administrator.de/contentid/2211006597
Printed on: May 7, 2024 at 07:05 o'clock
2 Comments
Latest comment
Zitat von @ukulele-7:
Jetzt möchte ich beide GPOs gleichzeitig anwenden, sprich meldet sich der Administrator an Computer X an soll die erste GPO greifen, meldet sich ein anderer User an soll die zweite GPO greifen. Eine der beiden GPOs mit Computerkonfiguration müsste also User-bedingt gefiltert werden, das geht ja aber gar nicht!? - Gibt es für mein Problem überhaupt eine Lösung?
Wenn ich die Sicherheitsfilterung auf einen User nutze und unter Delegierung Leserechte setze kann die GPO auf dem Zielsystem gelesen werden, wird aber immer abgelehnt (vermutlich weil die GPO ja nicht vom User sondern vom System-User gelesen wird). Mit der WMI-Filterung müsste es nach meinem Verständnis genau so sein. Loop back vermeide ich schon mein ganzes Berufsleben, aber auch hier sehe ich keinen Lösungsweg.
Wenn ich die Sicherheitsfilterung auf einen User nutze und unter Delegierung Leserechte setze kann die GPO auf dem Zielsystem gelesen werden, wird aber immer abgelehnt (vermutlich weil die GPO ja nicht vom User sondern vom System-User gelesen wird). Mit der WMI-Filterung müsste es nach meinem Verständnis genau so sein. Loop back vermeide ich schon mein ganzes Berufsleben, aber auch hier sehe ich keinen Lösungsweg.
Sind das im Bereich Delegation nicht zu wenig Rechte? Es fehlen doch die Computer bzw. als Alternative die Authenticated Users.
Also wenn ich authentifizierte Benutzer delegiere kann er die GPO lesen, sie steht dann aber als "abgelehnt" im Report. Sie wird auch nicht angewandt, ich denke mal weil es eine Computer-GPO ist.
Wenn ich authentifizierte Benutzer nicht delegiere, steht sie nicht mal im Report, wird also überhaupt nicht gelesen - verständlicherweise.
Wenn ich authentifizierte Benutzer nicht delegiere, steht sie nicht mal im Report, wird also überhaupt nicht gelesen - verständlicherweise.
