8
Computerrichtlinienverwaltung - Computerkonfiguration nur auf Bestimmte Benutzer anwenden
Hallo,
nach langem Suchen in allen Ecken des Internets (auch mit Taschenlampe) muss ich doch mal nachfragen. Erstmal ein Paar Infos vorweg:
Der Server läuft auf Windows Server 2012 R2 (die Lizenz gabs mal für lau) und die Clients (größtenteils Laptops) alle auf Win 10.
Der Plan ist (wie im Titel schon beschrieben), dass Computerrichtlinien nur auf bestimmte Benutzer angewendet werden. Dafür existiert eine OU wo alle Benutzer dieser Gruppe enthalten sind. Ich habe u. a. schon diese beiden Beiträge durchforstet:
GPO Computerkonfiguration nur auf Benutzer einer Sicherheitsgruppe anwenden
Computerrichtlinie abhängig vom Benutzer anwenden
Ich habe schon versucht in der Delegierung alle anderen Benutzer auf Gruppenrichtlinie verweigern zu setzen aber ohne Erfolg. Per OU hat es auch nicht funktioniert. Ein weiterer Lösungsvorschlag war auch Loopback zu aktivieren. Da hat sich aber herausgestellt, dass Loopback zwar das macht was es soll, aber nicht mit den Computerrichtlinien.
Verbessert mich gerne.
Viele Grüße
Matthias
nach langem Suchen in allen Ecken des Internets (auch mit Taschenlampe) muss ich doch mal nachfragen. Erstmal ein Paar Infos vorweg:
Der Server läuft auf Windows Server 2012 R2 (die Lizenz gabs mal für lau) und die Clients (größtenteils Laptops) alle auf Win 10.
Der Plan ist (wie im Titel schon beschrieben), dass Computerrichtlinien nur auf bestimmte Benutzer angewendet werden. Dafür existiert eine OU wo alle Benutzer dieser Gruppe enthalten sind. Ich habe u. a. schon diese beiden Beiträge durchforstet:
GPO Computerkonfiguration nur auf Benutzer einer Sicherheitsgruppe anwenden
Computerrichtlinie abhängig vom Benutzer anwenden
Ich habe schon versucht in der Delegierung alle anderen Benutzer auf Gruppenrichtlinie verweigern zu setzen aber ohne Erfolg. Per OU hat es auch nicht funktioniert. Ein weiterer Lösungsvorschlag war auch Loopback zu aktivieren. Da hat sich aber herausgestellt, dass Loopback zwar das macht was es soll, aber nicht mit den Computerrichtlinien.
Verbessert mich gerne.
Viele Grüße
Matthias
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1332993278
Url: https://administrator.de/contentid/1332993278
Ausgedruckt am: 29.09.2024 um 03:09 Uhr
8 Kommentare
Neuester Kommentar
Moin,
ausnahmlos alle Computerrichtlinien ziehen bereits vor der Benutzeranmeldung…
Wie soll das funktionieren, dass du nach Benutzern filterst und die Policy bereits durch ist?
Nimm dir die Zeit und Knie dich da nochmal rein.
Und wenn du dann noch verrätst, was du vorhast, kann dir ggf. auch jemand helfen.
VG
ausnahmlos alle Computerrichtlinien ziehen bereits vor der Benutzeranmeldung…
Wie soll das funktionieren, dass du nach Benutzern filterst und die Policy bereits durch ist?
Nimm dir die Zeit und Knie dich da nochmal rein.
Und wenn du dann noch verrätst, was du vorhast, kann dir ggf. auch jemand helfen.
VG
Nabend,
will eigentlich nur die Aussage von @chgorges bestätigen.
Das ist ja der Sinn von Computerrichtlinien. Damit haben Benutzer nichts zu tun.
Viele Richtlinien gibt es als Benutzerrichtlinien.
Sag uns was du vor hast und vielleicht haben wir eine Lösung.
VG
will eigentlich nur die Aussage von @chgorges bestätigen.
Das ist ja der Sinn von Computerrichtlinien. Damit haben Benutzer nichts zu tun.
Viele Richtlinien gibt es als Benutzerrichtlinien.
Sag uns was du vor hast und vielleicht haben wir eine Lösung.
VG
Hi
Nenn bitte ein konkretes Beispiel und ich mach einen Vorschlag.
Nenn bitte ein konkretes Beispiel und ich mach einen Vorschlag.
Also,
Aufgrund dessen, dass der Großteil der Endgeräte Laptops sind hat jeder Benutzer zwei Benutzer-accounts. Einen „Lokalen“, bei dem der Basisprofilpfad lokal auf dem Rechner liegt, der geht aber auch nur auf diesem Rechner. Und einen Mobilen, der auf allen Rechnern geht und bei dem der Basisprofilpfad auf dem Server liegt. Jetzt haben (zumindest unsere) Laptops nicht so viel Speicherplatz und aufgrund der Mobilen Natur der Geräte wird halt auch viel lokal gespeichert. tldr ist, dass mir auf vielen Laptops der Speicher ausgeht und ich nicht noch zusätzlich 3 GB an quasi unbenutzten Benutzerprofilen draufhaben will. Dafür gibt es ja die Computerrichtlinie "Benutzerprofile, die älter als X Tage sind beim Systemneustart löschen". Problem da ist, dass es lokale Benutzer gibt, die nicht gelöscht werden sollen. Nur die Mobilen Benutzerprofile.
Grundsätzlich fände ich es schön, wenn wir herausfinden, wie man das grundsätzlich macht (nicht nur auf dieses Beispiel bezogen).
Grüße
Aufgrund dessen, dass der Großteil der Endgeräte Laptops sind hat jeder Benutzer zwei Benutzer-accounts. Einen „Lokalen“, bei dem der Basisprofilpfad lokal auf dem Rechner liegt, der geht aber auch nur auf diesem Rechner. Und einen Mobilen, der auf allen Rechnern geht und bei dem der Basisprofilpfad auf dem Server liegt. Jetzt haben (zumindest unsere) Laptops nicht so viel Speicherplatz und aufgrund der Mobilen Natur der Geräte wird halt auch viel lokal gespeichert. tldr ist, dass mir auf vielen Laptops der Speicher ausgeht und ich nicht noch zusätzlich 3 GB an quasi unbenutzten Benutzerprofilen draufhaben will. Dafür gibt es ja die Computerrichtlinie "Benutzerprofile, die älter als X Tage sind beim Systemneustart löschen". Problem da ist, dass es lokale Benutzer gibt, die nicht gelöscht werden sollen. Nur die Mobilen Benutzerprofile.
Grundsätzlich fände ich es schön, wenn wir herausfinden, wie man das grundsätzlich macht (nicht nur auf dieses Beispiel bezogen).
Grüße
Zeig mir einen Anwendungsfall, der sinnvoll ist und ich zeige Dir eine Lösung. Gib ein anderes Beispiel, bitte.
Dieses taugt nicht wirklich, da die Logik verbietet, dass man dem Rechner sagt "lösche Profile älter als" und dann aber sagt "aber nicht dieses Profil" - das ist schlicht nicht vorgesehen von der Poliucy und das hat nichts zu tun mit dem Nichtanwenden von Computerpolicies bei bestimmten Usern.
Dieses taugt nicht wirklich, da die Logik verbietet, dass man dem Rechner sagt "lösche Profile älter als" und dann aber sagt "aber nicht dieses Profil" - das ist schlicht nicht vorgesehen von der Poliucy und das hat nichts zu tun mit dem Nichtanwenden von Computerpolicies bei bestimmten Usern.
nächstes Beispiel:
Die lokalen benutzer dürfen sich Biometrisch anmelden, die Mobilen nicht. Ich hoffe, das das ein besseres Beispiel ist.
Gruß
Die lokalen benutzer dürfen sich Biometrisch anmelden, die Mobilen nicht. Ich hoffe, das das ein besseres Beispiel ist.
Gruß
Sorry, kam nicht dazu, eher zu antworten.
Ok, das ist auch ein eher exotisches Bedürfnis - wenn man bestimmten Usern Biometrie erlauben will und anderen Usern auf dem selben PC nicht. Generell macht man das, weil man die Sicherheit erhöhen will (oder aber bewusst herabsetzt, wenn man Biometrie als schwach ansieht, aber den Komfort als hoch), und dann willst Du eh den PC nicht mit anderen teilen (was immer sicherheitstechnisch schlecht ist).
Ja gut, da hast Du einen Fall, worüber man zumindest nachdenken könnte, aber das bleibt die Ausnahme (habe in 20 Jahren AD nie eine Machinepolicy abhängig vom User anwenden/nicht anwenden wollen).
Hier kannst Du als Workaround nur zu etwas wie SmartCards greifen, die Du eben einem Userkonto zuordnest und dem anderen nicht.
Ok, das ist auch ein eher exotisches Bedürfnis - wenn man bestimmten Usern Biometrie erlauben will und anderen Usern auf dem selben PC nicht. Generell macht man das, weil man die Sicherheit erhöhen will (oder aber bewusst herabsetzt, wenn man Biometrie als schwach ansieht, aber den Komfort als hoch), und dann willst Du eh den PC nicht mit anderen teilen (was immer sicherheitstechnisch schlecht ist).
Ja gut, da hast Du einen Fall, worüber man zumindest nachdenken könnte, aber das bleibt die Ausnahme (habe in 20 Jahren AD nie eine Machinepolicy abhängig vom User anwenden/nicht anwenden wollen).
Hier kannst Du als Workaround nur zu etwas wie SmartCards greifen, die Du eben einem Userkonto zuordnest und dem anderen nicht.
Also TLR ist, dass es nicht geht (nur um das mal schwarz auf weiß zu haben). Vielen dank DerWoWusste für dein wissen!
