gelöst Denkfehler bei GPO-Delegierung?

Mitglied: Doskias

Doskias (Level 2) - Jetzt verbinden

26.10.2020, aktualisiert 17:28 Uhr, 475 Aufrufe, 7 Kommentare

Hallo,

wer meine letzten beiden Themen verfolgt weiß, dass ich grade auf der Suche nach einer Möglichkeit bin, einen Besprechungsrechner so weit wie möglich zu begrenzen, dass hier "nur" RDP möglich ist. Da ich an der Stelle nicht weiter gekommen bin, wollte ich nun die Absicherung Gruppenrichtlinien vornehmen. Da ein Teil der Gruppenrichtlinien vom Benutzer abhängig ist (Beispielsweise das Laufwerks- und/oder Druckermapping), so wie einige Einstellungen NUR an dem PC aber nicht an anderen PCs gelten sollen habe ich zunächst nur für diesen einen Rechner den Loopback-Verarbeitungsmodus aktiviert und eine GPO gebaut, die an diesem Rechner bestimmte Einstellungen vornimmt.

Es sieht nun so aus:
1. Eine Gruppenrichtlinie die den Loopback aktiviert (ersetzen), Sicherheitsfilter der Besprechungsraurechner.
2. Eine Gruppenrichtlinie Besprechungsraum, Sicherheitsfilter Besprechungsraumrechner und Domänen-Benutzer
Beide Gruppenrichtlinien liegen in der OU für die Unternehmensclients.
Fazit: Es funktioniert Die in der zweiten GPO eingestellten Benutzer-Konfigurationen werden erfolgreich ausgeführt.

Das sah/sieht schonmal gut aus. Aber es müssen noch ein paar andere Dinge weg. Netzlaufwerke und Drucker werden hier nicht gebraucht. Also habe ich unter Delegierung folgendes eingetragen:
Besprechungsrechner -> erweitert -> Gruppenrichtlinie übernehmen -> verweigern

Mein Gedankengang war, dass damit die Netzlaufwerke und Drucker nicht bei der Anmeldung an diesem Rechner verbunden werden. Werden Sie allerdings dennoch. Frage an der Stelle: Habe ich hier einen Denkfehler? Ich bin davon ausgegangen, wenn ich einen Computer hier den Zugriff verweigere, dann wird das nicht ausgeführt oder gilt das Verweigern nur für den Teil der Computerkonfiguration? Beide Gruppenrichtlinien liegen im direkten Domänen-Pfad und werde Domänenweit ausgeführt. Bei diesen beiden könnte ich natürlich in der Zielgruppenadressierung noch einen Filter setzen, aber den müsste ich dann ja bei jedem Laufwerk und jedem Drucker einfügen. Es gibt aber noch weitere die in der OU der Mitarbeiter stehen.

Ich könnte auch einen WMI Filter auf die GPO legen, die dann diesen einen Rechner ausschließt, aber WMI Filter bremsen immer so und darauf würde ich gerne verzichten.

Daher jetzt nochmal klar die Frage: Wie muss ich eine Delegierung konfigurieren, damit eine Gruppenrichtlinien die in der OU Mitarbeiter Benutzerkonfigurationen definiert auf einem Client in der OU Clients diese Benutzerkonfigurationen bei der Anmeldung eines Mitarbeiters nicht übernimmt?

Gruß
Doskias
Kommentar vom Moderator tomolpi am 26.10.2020 um 17:28:38 Uhr
Typo im Titel korrigiert
Mitglied: Hubert.N
26.10.2020 um 17:12 Uhr
Moin

Zitat von Doskias:
Das sah/sieht schonmal gut aus. Aber es müssen noch ein paar andere Dinge weg. Netzlaufwerke und Drucker werden hier nicht gebraucht. Also habe ich unter Delegierung folgendes eingetragen:
Besprechungsrechner -> erweitert -> Gruppenrichtlinie übernehmen -> verweigern

Mein Gedankengang war, dass damit die Netzlaufwerke und Drucker nicht bei der Anmeldung an diesem Rechner verbunden werden.

Ich stehe da gerade vlt. ein wenig auf dem Schlauch...
Wenn Du die Übernahme der GPO verweigerst, wird die GPO nicht angewendet. Wieso sollte dann irgendetwas überhaupt passieren?

oder gilt das Verweigern nur für den Teil der Computerkonfiguration?

das gilt für die Übernahme der Richtlinie auf dem System. Und wenn der Computer sie nicht übernimmt, wird sie auch nicht für Benutzer übernommen. Wenn du die "Authentifizierten Benutzer" entfernst, wirst du immer extra darauf hingewiesen, dass auch für die Benutzerkonfiguration der Computer die Richtlinie lesen und übernehmen können muss.

Ich könnte auch einen WMI Filter auf die GPO legen, die dann diesen einen Rechner ausschließt, aber WMI Filter bremsen immer so und darauf würde ich gerne verzichten.

s.o. - weil gleiches Ergebnis...

Daher jetzt nochmal klar die Frage: Wie muss ich eine Delegierung konfigurieren, damit eine Gruppenrichtlinien die in der OU Mitarbeiter Benutzerkonfigurationen definiert auf einem Client in der OU Clients diese Benutzerkonfigurationen bei der Anmeldung eines Mitarbeiters nicht übernimmt?

Loopbackverarbeitung mit "Ersetzen"

Gruß
Bitte warten ..
Mitglied: erikro
LÖSUNG 26.10.2020 um 17:20 Uhr
Moin,

das ist schon der richtige Weg mit der Loopback-Verarbeitung mit Ersetzen. Aber dadurch überschreibst Du nur die GPOs der Benutzer. Die der Clients bleiben erhalten. Deshalb würde ich so vorgehen:

1. Der Rechner kommt in eine eigene OU.
2. Für diese OU wird die Vererbung unterbrochen und nur die DDP verknüpft. Dann bist Du sicher, dass keine andere GPO mehr auf den Rechner wirkt.
3. Es wird eine GPO erstellt, in der die entsprechenden Einstellungen vorgenommen werden. Hier wird auch die Loopback-Verarbeitung eingestellt.

Wenn dann noch unerwünschte LWe verbunden werden, dann werden sie nicht über GPOs, sondern über Login-Skripts eingerichtet.

hth

Erik
Bitte warten ..
Mitglied: Doskias
26.10.2020 um 17:45 Uhr
Zitat von Hubert.N:
Ich stehe da gerade vlt. ein wenig auf dem Schlauch...
Wenn Du die Übernahme der GPO verweigerst, wird die GPO nicht angewendet. Wieso sollte dann irgendetwas überhaupt passieren?

Weil ich nicht nur eine GPO habe sondern mehrere. Wenn cih eine Verweigere, die die Benutzerdrucker mappt, dann wird immernoch die ausgeführt, die ich speziell für diesen einen Rechner (mit dem Drucker im Raum) erstellt habe

oder gilt das Verweigern nur für den Teil der Computerkonfiguration?

das gilt für die Übernahme der Richtlinie auf dem System. Und wenn der Computer sie nicht übernimmt, wird sie auch nicht für Benutzer übernommen. Wenn du die "Authentifizierten Benutzer" entfernst, wirst du immer extra darauf hingewiesen, dass auch für die Benutzerkonfiguration der Computer die Richtlinie lesen und übernehmen können muss.

richtig. ich habe nicht expliziet geschireben, dass ich den Authentifizierten bei der Sicherheitseisntellung entfernt und bei der Delegierung wieder hinzugefügt habe.

Ich könnte auch einen WMI Filter auf die GPO legen, die dann diesen einen Rechner ausschließt, aber WMI Filter bremsen immer so und darauf würde ich gerne verzichten.
s.o. - weil gleiches Ergebnis...

nein leider nicht. Delegierung verbieten funktioniert nicht. WMI-Filter funktioniert.

Daher jetzt nochmal klar die Frage: Wie muss ich eine Delegierung konfigurieren, damit eine Gruppenrichtlinien die in der OU Mitarbeiter Benutzerkonfigurationen definiert auf einem Client in der OU Clients diese Benutzerkonfigurationen bei der Anmeldung eines Mitarbeiters nicht übernimmt?

Loopbackverarbeitung mit "Ersetzen"

Siehe oben. Das ist schon der Fall. Das Problem ist allerdings folgendes (bei den Netzlaufwerken. Sie werden als Benutzer Domainweit gemappt und es gibt keine Konfiguration für Netzlaufwerke auf "Besprechungsraum"-Ebene. Daher führt ersetzen folglich zu nichts. Es gibt ja nichts was ersetz werden kann. Natürlich kann ich die Netzlaufwerke auch wieder löschen, aber dann hab ich in der Verarbeitungsreihenfolge erst die GPO die das Domainweit hinzufügt und dann die die es wieder entfernt. Das sind zwei unnötige, da sich aufhebende Konfigurationen, die zu nichts weiter führen als die Anmeldung unnötig zu verlangsamen. Dann kann ich auch mit WMI Filtern arbeiten.

Gruß
Bitte warten ..
Mitglied: Doskias
26.10.2020 um 17:52 Uhr
Zitat von erikro:

das ist schon der richtige Weg mit der Loopback-Verarbeitung mit Ersetzen. Aber dadurch überschreibst Du nur die GPOs der Benutzer. Die der Clients bleiben erhalten.

Das ist durchaus richtig. Ein Großteil der Computer-Einstellungen sollen auch erhalten bleiben. WSUS-Updates, Virenscanner definitionen, Proxy Eisntellungen, Deaktivierung von Wechsellaufwerken, etc.. Das alles soll ja erhalten bleiben. Es müssen nur einige Eisntellungen beim Benutzer angepasst werden.

Deshalb würde ich so vorgehen:

1. Der Rechner kommt in eine eigene OU.
2. Für diese OU wird die Vererbung unterbrochen und nur die DDP verknüpft. Dann bist Du sicher, dass keine andere GPO mehr auf den Rechner wirkt.
3. Es wird eine GPO erstellt, in der die entsprechenden Einstellungen vorgenommen werden. Hier wird auch die Loopback-Verarbeitung eingestellt.

Die Idee mit der deaktivieren Vereerbung werde ich mir mal durch den Kopf gehen lassen. Dann muss ich die oben genannten GPOs halt doppelt verknüpfen. MS empfiehlt (und so habe ich es bislang auch in den Systemhäusern immer gehandhabt), dass es eine GPO gibt, die nichts macht als den Loopback-Verarbeitungsmodus zu aktivieren. Dadurch bleibt es immer schön übersichtlich zu erkennen, wo der Loopbackmodus aktiviert ist und wo nicht.


Wenn dann noch unerwünschte LWe verbunden werden, dann werden sie nicht über GPOs, sondern über Login-Skripts eingerichtet.

Danke für den Hinweis. Wir haben noch einige Logon-Skripte aktiv, aber nicht bei dem user wo das Problem heute in der Teststellung aufgefallen ist.

Gruß
Doskias
Bitte warten ..
Mitglied: erikro
26.10.2020 um 18:11 Uhr
Zitat von Doskias:

Zitat von erikro:

das ist schon der richtige Weg mit der Loopback-Verarbeitung mit Ersetzen. Aber dadurch überschreibst Du nur die GPOs der Benutzer. Die der Clients bleiben erhalten.

Das ist durchaus richtig. Ein Großteil der Computer-Einstellungen sollen auch erhalten bleiben. WSUS-Updates, Virenscanner definitionen, Proxy Eisntellungen, Deaktivierung von Wechsellaufwerken, etc.. Das alles soll ja erhalten bleiben. Es müssen nur einige Eisntellungen beim Benutzer angepasst werden.

Verständlich. Dann würde ich erstmal das machen, wie ich es vorgeschlagen habe. Dann testen, ob die unerwünschten LWe und Drucker weg sind. Wenn ja, nach und nach die anderen erwünschten GPOs verknüpfen und jedes Mal testen.

Die Idee mit der deaktivieren Vereerbung werde ich mir mal durch den Kopf gehen lassen. Dann muss ich die oben genannten GPOs halt doppelt verknüpfen. MS empfiehlt (und so habe ich es bislang auch in den Systemhäusern immer gehandhabt), dass es eine GPO gibt, die nichts macht als den Loopback-Verarbeitungsmodus zu aktivieren. Dadurch bleibt es immer schön übersichtlich zu erkennen, wo der Loopbackmodus aktiviert ist und wo nicht.

Früher galt die Regel: Wenn Microsoft was empfiehlt, mache das Gegenteil. Ich tendiere dazu, möglichst nur ein GPO-Objekt mt einer OU zu verknüpfen, weil es dann schön übersichtlich bleibt, was da direkt drauf wirkt. Das ist wahrscheinlich aber eher Geschmackssache.

Wenn dann noch unerwünschte LWe verbunden werden, dann werden sie nicht über GPOs, sondern über Login-Skripts eingerichtet.

Danke für den Hinweis. Wir haben noch einige Logon-Skripte aktiv, aber nicht bei dem user wo das Problem heute in der Teststellung aufgefallen ist.

Was mir noch dazu einfällt: Wenn Du die Laufwerke persistent eingebunden hast, dann bleiben die so lange, bis Du sie wieder explizit trennst. Das könnte auch ein Grund dafür sein, dass sie nicht verschwinden, obwohl die GPO nicht mehr da ist.
Bitte warten ..
Mitglied: Hubert.N
27.10.2020 um 09:54 Uhr
Guten Morgen

Zitat von Doskias:
Sie werden als Benutzer Domainweit gemappt (...)

Nun habe ich Dein Problem auch endlich so wirklich verstanden

Du solltest Dir mal Gedanken zum grundsätzlichen Design deiner Richtlinien machen. Hättest Du dir initial nur ein wenig mehr Arbeit gemacht und die OUs besser strukturiert und die Benutzerrichtlinien nicht einfach global auf die gesamte Domäne gelegt, dann hättest Du diese Probleme erst gar nicht.

Gruß
Bitte warten ..
Mitglied: Doskias
27.10.2020, aktualisiert um 11:21 Uhr
Zitat von Hubert.N:

Guten Morgen

Zitat von Doskias:
Sie werden als Benutzer Domainweit gemappt (...)

Nun habe ich Dein Problem auch endlich so wirklich verstanden

Du solltest Dir mal Gedanken zum grundsätzlichen Design deiner Richtlinien machen. Hättest Du dir initial nur ein wenig mehr Arbeit gemacht und die OUs besser strukturiert und die Benutzerrichtlinien nicht einfach global auf die gesamte Domäne gelegt, dann hättest Du diese Probleme erst gar nicht.

Gruß

Wir haben eine Struktur und an der Optimierung arbeite ich noch. Aber wenn man neu im Unternehmen ist, dann kann man nicht einfach alles was sich in 20 Jahren entwickelt hat von jetzt auf gleich umwerfen. Einige Dinge greifen auf OUs zurück und bevor ich nicht alles richtig verstanden habe, wird da nicht dran rumgefummelt. Aber:

Es sind "nur" 4 GPOs die Domainweit gemappt sind von der Default Domain Policy abgesehen. Diese sind:
- Bei Anmeldung aufs Netzwerkwarten: ist da sinnvoll, da es überall greifen soll und muss so nicht bei jeder OU händisch hinzugenommen werden

- WINRM Dienst aktivieren und Zugriff nur von bestimmten IPs zulassen. ist auch da sinnvoll, damit es nicht in jeder OU gepflegt werden muss

- Druckermapping: Da wir zu Übersicht nur eine Druckermapping GPO haben liegt die hier. Die Drucker werden dann über die Zielgruppenadressierung an die User Verteilt die sich in entsprechenden Berechtigungsgruppen befinden. Warum liegt die GPO hier und nicht bei den Usern. Es erden sowohl die Drucker verteilt (Benutzerkonfiguration) als auch die Server mitgegeben von denen Druckertreiber installiert werden dürfen (Computerkonfiguration). Wenn ich die GPO in die OU der User lege, so wird der Computer-Teil nicht mehr ausgeführt bzw. in den OUs der Rechner/Server das Mapping bei den Usern nicht mehr durchgeführt. Hier müsste man dann die GPO in 2 Trennen um sie hier wegzubekommen.

- Netzlaufwerksmapping. Die liegt hier, weil wir die OUs Strukturiert haben. Wir haben Mitarbeiter, Admins, Serviceaccounts. alles in eigenen OUs aber nur eine GPO die die Netzlaufwerke mappt. Auch hier gilt wieder die Zuordnung über eine Zielgruppenadressierung und damit es nicht in jeder OU verknüpft werden muss liegt es hier.

Alles anderen GPOs liegen in den entsprechenden OUs und sind da gut Strukturiert. Nur: Selbst wenn ich die GPOs nun trenne und mehrfach verbinde, würde das nichts ändern. Der User bekommt weiterhin das Netzlaufwerk gemappt. Egal ob auf Domain oder OU Ebene (habe ich nämlich schon probiert). Und bei den Druckern.

Die Struktur sieht so aus:
Domain -> OU Clients -> OU Standort 1
Domain -> OU Clients -> OU Standort 1 -> OU Besprechungsraum
Domain -> OU Clients -> OU Standort 2
Domain -> OU Clients -> OU Standort 3

Derzeit liegen die Drucker auf Domäneneben. Schieb ich es auf OU Clients ändert sich nicht. Schieb ich Es auf die OU Standort würde sich immer noch nichts ändern. Ändern würde sich das nur, wenn ich für den Besprechungsraum eine eigene OU einbaue, was dann so aussieht:

Domain -> OU Clients -> OU Standort 1
Domain -> OU Clients -> OU Standort 1 Besprechungsraum
Domain -> OU Clients -> OU Standort 2
Domain -> OU Clients -> OU Standort 3

und dann die Mappings von der Domäne in die jeweiligen OU Standorte schiebe. Dann hab ich aber eine OU in der nur ein Client ist und die immer noch die gleichen Benutzerkonfigurationen lädt (bis auf die Drucker) die unter beispielsweise Domain -> MA -> MA Standort 1. Das würde ich ja nur dann lösen könne, wenn ich die Mitarbeiter neu sortiere, aber da sich die Mitarbeiter sowohl am Standort als auch im Besprechungsraum anmelden sollen, macht hier eine Trennung ja keinen Sinn.

Ich hab jetzt, wie oben beschrieben eine neue OU am Standort für den Besprechungsraum angelegt und hier wie von Erikro vorgeschlagen die Vererbung deaktiviert. Dadurch werden sämtliche Benutzer-GPOs kategorisch abgelehnt, egal ob auf Domain- oder OU MA- Ebene. Jetzt muss ich nur noch die GPOs die hier greifen sollen hinzufügen und dann kann ich in den Test gehen.

Lösungsmarkierungen erfolgen dann später
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Wie geht ihr mit grantigen "Kunden" um?
AbstrackterSystemimperatorErfahrungsberichtOff Topic24 Kommentare

Moin Kollegen, mal eine Offtopic Frage in die Runde gestellt. Wie geht ihr mit grantigen "Kunden" (interne IT) / ...

Windows Server
Druckserver Domäne GPO
arik12FrageWindows Server22 Kommentare

Hallo zusammen, Ich möchte einen Druckserver einrichten und Drucker auf dem Druckserver installieren. Die Drucker sollen dann per GPO ...

Netzwerke
Sicherheitsbetrachtung virtualisierte Umgebung
gelöst Philipp711FrageNetzwerke22 Kommentare

Hallo liebe Community, ich habe eine kleine Frage bzgl. der Netzwerksicherheit in virtualisierten Umgebungen. Beispiel: Ich habe einen Hypervisor ...

Exchange Server
Exchg2016: ECP-Anzeigefehler oder echtes Problem?
winackerFrageExchange Server13 Kommentare

Hallo, mein Exchg16 (auf SRV16) hat ein Phäomen was bislang keiner aufklären kann - und ich weiß nicht ob ...

Off Topic
Adventskalender 2020
LochkartenstanzerInformationOff Topic12 Kommentare

Was haltet ihr von einer Sammlung von Adventskalendern? (Hier im Thread z.B.) Ich fang mal mit dem Heise-Kalender an: ...

Server-Hardware
Hp Proliant ml350 g5 kommt nicht zum POST
jetstream3000FrageServer-Hardware12 Kommentare

Hallo Forum So hab mir einen Hp Server zum herumprobieren gekauft hat auch alles funktioniert hat zwei Intel Xeon ...

Ähnliche Inhalte
Windows Server
3 Tiers und Delegierung
NordicMikeFrageWindows Server3 Kommentare

Hallo zusammen, ich frage mich gerade, ob das 3-Tier Prinzip nicht durch Delegierungen in Konflikt kommt. Bei dem 3-Tier ...

Windows Userverwaltung
Rechte Delegierung Active Directory
ThorstenRayFrageWindows Userverwaltung2 Kommentare

Hallo zusammen, ich habe da ein kleines Problem, bei dem ich leider nicht weiter weiß und auch keine Lösung ...

Windows Server
GPO Komplexitätsvoraussetzungen
GassstFrageWindows Server1 Kommentar

Servus, kann mir eventuell jemand beantworten, wo ich die Datei der Komplexitätsvoraussetzungen anpassen kann? Es steht ja bei Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Kontorichtlinien/Kennwortrichtlinien ...

Windows 10
GPO Datenschutz
PN-SchrauberFrageWindows 102 Kommentare

Hallo, ich habe mal wieder eine Frage. Ich bin derzeit dabei eine GPO für die Datenschutzeinstellungen zu erstellen, und ...

Windows Server
Desktopverknüpfung GPO
SPSmanFrageWindows Server9 Kommentare

Hi, ich habe gerade naiv wie ich bin eine SiGr und ein GPO erstellt. Einem User die SiGr zugewiesen ...

Windows Server
GPO Drucker
gelöst Andreas-scaFrageWindows Server8 Kommentare

Hallo zusammen, ich muss 16 Drucker verteilen (per GPO) mein Plan wäre nun folgender: Für jeden Drucker eine Druckergruppe ...

Neue Fragen
Administrator Magazin
11 | 2020 Virtualisierung ist aus der IT nicht mehr wegzudenken. In der November-Ausgabe des IT-Administrator Magazins dreht sich der Schwerpunkt um das Thema "Server- und Storage-Virtualisierung". Darin erfahren Sie, wie sich die Virtualisierungstechnologie entwickelt hat, welche Varianten es im Bereich Server und Speicher gibt und wie ...
Neue Beiträge
Neue Jobangebote
Server- und Storage-VirtualisierungServer- und Storage-VirtualisierungBerechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid Cloud