ukulele-7
Goto Top

Computer-GPO auf User filtern

Hallo,

ich habe einen Knoten im Kopf, ist ja eigentlich schon Wochenende.

Ich habe eine OU mit Geräten an denen der Administrator (wenn er sich anmeldet) einen eigenen Profilpfad bekommt mit %COMPUTERNAME% als Bestandteil - das funktioniert wie gewünscht. So ist hat der Administrator-Account ein eigenes Profil pro Maschine - Die Einstellung fällt unter Computerkonfiguration.

Für Benutzer möchte ich die Profile nicht nach %COMPUTERNAME% sondern nach OS Version ablegen. Auch dazu habe ich eine funktionsfähige GPO mit WMI-Filter.

Jetzt möchte ich beide GPOs gleichzeitig anwenden, sprich meldet sich der Administrator an Computer X an soll die erste GPO greifen, meldet sich ein anderer User an soll die zweite GPO greifen. Eine der beiden GPOs mit Computerkonfiguration müsste also User-bedingt gefiltert werden, das geht ja aber gar nicht!? - Gibt es für mein Problem überhaupt eine Lösung?

Wenn ich die Sicherheitsfilterung auf einen User nutze und unter Delegierung Leserechte setze kann die GPO auf dem Zielsystem gelesen werden, wird aber immer abgelehnt (vermutlich weil die GPO ja nicht vom User sondern vom System-User gelesen wird). Mit der WMI-Filterung müsste es nach meinem Verständnis genau so sein. Loop back vermeide ich schon mein ganzes Berufsleben, aber auch hier sehe ich keinen Lösungsweg.

Gefunden habe ich nur Posts von Leuten mit ähnlichen Ideen, aber keiner mit einer Lösung, z.B.:
https://community.spiceworks.com/topic/1898397-apply-gpo-to-computer-for ...

Content-ID: 2211006597

Url: https://administrator.de/contentid/2211006597

Ausgedruckt am: 18.12.2024 um 22:12 Uhr

mbehrens
mbehrens 18.03.2022 um 22:50:16 Uhr
Goto Top
Zitat von @ukulele-7:

Jetzt möchte ich beide GPOs gleichzeitig anwenden, sprich meldet sich der Administrator an Computer X an soll die erste GPO greifen, meldet sich ein anderer User an soll die zweite GPO greifen. Eine der beiden GPOs mit Computerkonfiguration müsste also User-bedingt gefiltert werden, das geht ja aber gar nicht!? - Gibt es für mein Problem überhaupt eine Lösung?

Wenn ich die Sicherheitsfilterung auf einen User nutze und unter Delegierung Leserechte setze kann die GPO auf dem Zielsystem gelesen werden, wird aber immer abgelehnt (vermutlich weil die GPO ja nicht vom User sondern vom System-User gelesen wird). Mit der WMI-Filterung müsste es nach meinem Verständnis genau so sein. Loop back vermeide ich schon mein ganzes Berufsleben, aber auch hier sehe ich keinen Lösungsweg.

Sind das im Bereich Delegation nicht zu wenig Rechte? Es fehlen doch die Computer bzw. als Alternative die Authenticated Users.
ukulele-7
ukulele-7 21.03.2022 um 08:39:55 Uhr
Goto Top
Also wenn ich authentifizierte Benutzer delegiere kann er die GPO lesen, sie steht dann aber als "abgelehnt" im Report. Sie wird auch nicht angewandt, ich denke mal weil es eine Computer-GPO ist.

Wenn ich authentifizierte Benutzer nicht delegiere, steht sie nicht mal im Report, wird also überhaupt nicht gelesen - verständlicherweise.