kmulife
Goto Top

GPO: Benutzerkonfiguration nicht auf Server anwenden

Hallo zusammen!

Ich habe eine Frage bezüglich den Computer/Benutzerkonfigurationen. Ich weiss nicht ob ich was Grundlegendes an der OU-Struktur ändern muss das dies "sinnvoll" gelöst werden kann oder ob ich da mit WMI-Filtern arbeiten kann. Folgend unsere Struktur vereinfacht:
benutzerrichtlinie

Der User1 meldet sich per Remotedesktop am ServerABC an. Da nun aber eine Benutzerkonfiguration in der OU Computers liegt, wird diese automatisch auch für den Server gezogen. Da ich beim Server nicht wirklich will, dass eine Ordnerumleitung stattfindet, soll er dies aber unterlassen.

Gibt es ein WMI-Filter welche steuert, dass GPO's nicht übernommen werden, wenn z.B. per Remotedesktop angemeldet wird? Ich habe auch von der "Zielgruppenadressierung" gelesen, da es aber viele verscheidene GPO's sind, will ich eigentlich nicht bei jeder einzeln eine solche Einstellung vornehmen.

Freue mich über eure Antworten!

Liebe Grüsse
KMUlife

Content-ID: 353834

Url: https://administrator.de/forum/gpo-benutzerkonfiguration-nicht-auf-server-anwenden-353834.html

Ausgedruckt am: 25.12.2024 um 14:12 Uhr

SarekHL
Lösung SarekHL 06.11.2017 aktualisiert um 19:31:12 Uhr
Goto Top
Zitat von @KMUlife:

Gibt es ein WMI-Filter welche steuert, dass GPO's nicht übernommen werden, wenn z.B. per Remotedesktop angemeldet wird?

Das weiß ich gerade nicht. Aber Du könntest nach Betriebssystemen filtern und GPO nur anwenden lassen, wenn das Betriebssystem NICHT Server 2016 (oder was auch immer Ihr dort habt) ist:

https://miriamxyra.com/2016/05/24/einfache-administration-durch-wmi-filt ...
emeriks
Lösung emeriks 06.11.2017 aktualisiert um 19:31:59 Uhr
Goto Top
Hi,
Du könntest es mit Loopback-Modus oder einfach mit GPO-Rechten regeln.
Loopback ist für GPO-Anfänger nicht gleich zu empfehlen.
Am einfachsten dürfte es sein, wenn Du eine Gruppe erstellst, für welche diese GPO nicht gelten soll. Dann verweigerst Du dieser Gruppe das Recht "Lesen" für diese GPO. (Schau mal bei der GPO rechts in der Verwaltungs-MMC unter "Delegierung". Danach fügst Du alle Computer dieser Gruppe hinzu, für welche diese GPO nicht gelten soll.
Auch wenn Deine GPO für Benutzer wirkt, so muss doch der Computer sie lesen können, damit der GPO-Client-Dienst diese für den Benutzer anwenden kann. Indem man dem Server-Computer das Recht entzieht, diese GPO zu lesen, verhindert man auch, dass er diese GPO für den Benutzer anwenden kann.
Hinweis: Dieses Verfahren eignet sich nicht für Domaincontroller.

E.
KMUlife
KMUlife 07.11.2017 um 08:59:04 Uhr
Goto Top
Hallo euch beiden!

Danke für die schnelle Antwort! - Ich prüfe die beiden Wege mal. Der Vorschlag von SarekHL passt mir eingentlich ganz gut, das problem hierbei ist, dass wir z.B. ein Build"server" haben der aber unter Windows 10 läuft, weil es einfach reicht. Aber das sind 2-3 Geräte, für die könnte ich Notfalls auch eine eigene Ausnahme generieren.

@emeriks, warum eignet sich das verfahren nicht für DC's? Ich meine Grundsätzlich wäre es keine "riesen" Sache alle Server in eine Gruppe zu nehmen und die bei den GPO's zu hinterlegen. Liegt das daran, dass dann der DC die GPO nicht mehr verteilen kann, weil er sie schlicht nicht mehr lesen kann?

LG
KMUlife
emeriks
emeriks 07.11.2017 aktualisiert um 11:25:46 Uhr
Goto Top
warum eignet sich das verfahren nicht für DC's?
Ich habe das so noch nie umgesetzt. Aber wenn man den DC's das Lesen der GPO's verweigert, dann weiß ich nicht, wie sich das mit der Replikation verhält. Auf diese Idee, einem DC den Zugriff im AD zu verweigern bin ich noch nie gekommen.
KMUlife
KMUlife 07.11.2017 um 10:56:26 Uhr
Goto Top
Ist glaube ich auch eine eher "blöde" Idee face-wink.

Mal schauen, ich glaube ich arbeite mit dem WMI-Filter für Windows 10. Servergpo's muss ich dann halt zusätzlich anlegen (gibts schon ein paar), aber dies sind nicht allzu viele.

Danke für eure Hinweise!

MFG
KMUlife
emeriks
emeriks 07.11.2017 um 11:28:17 Uhr
Goto Top
dem WMI-Filter für Windows 10
Win10 hat extra/eigene WMI-Filter? Das wusste ich noch gar nicht ... face-wink
Du meinst sicher, dass Du per WMI das OS auf Win10 filtern willst?
DerWoWusste
DerWoWusste 07.11.2017 aktualisiert um 12:56:11 Uhr
Goto Top
Indem man dem Server-Computer das Recht entzieht, diese GPO zu lesen, verhindert man auch, dass er diese GPO für den Benutzer anwenden kann.
Hinweis: Dieses Verfahren eignet sich nicht für Domaincontroller.
Lesen und übernehmen sind getrennt zu vergebende Rechte - wenn man übernehmen nicht erteilt, reicht das und ist völlig gefahrlos für Replikation/GPO-Backup.
KMUlife
KMUlife 07.11.2017 um 13:06:44 Uhr
Goto Top
Zitat von @emeriks:

dem WMI-Filter für Windows 10
Win10 hat extra/eigene WMI-Filter? Das wusste ich noch gar nicht ... face-wink
Du meinst sicher, dass Du per WMI das OS auf Win10 filtern willst?

Yes, diesen hier: select * from Win32_OperatingSystem where (Version like "10.%") and ProductType = "1"

@dww, danke für die Info!
emeriks
emeriks 07.11.2017 um 13:22:53 Uhr
Goto Top
Zitat von @DerWoWusste:
Lesen und übernehmen sind getrennt zu vergebende Rechte - wenn man übernehmen nicht erteilt, reicht das und ist völlig gefahrlos für Replikation/GPO-Backup.
Richtig. Aber hier geht es nicht darum, dass mein einem Computer das Recht entziehen will, eine GPO mit Computereinstellungen zu übernehmen, sondern darum, ohne Loopback dafür zu sorgen, dass der GPO-Client-Dienst eine GPO mit Benutzereinstellungen nicht lesen kann, um sie für den Benutzer anzuwenden. Zur Erinnerung: Wenn man die Sicherheitsfilterung einschränkt auf nicht-"Autentifizierte Benutzer", und vergisst, den "Autentifizierte Benutzer" oder den "Domänencomputern" oder bestimmten Computern das Recht zu erteilen, die GPO lesen zu können, dann wird die GPO für einen Benutzer nicht angewendet. Das hat doch MS irgendwann mit einem Patch so eingeführt. Das müsste man doch auch auf diese Weise ausnutzen können, um die Anwendung von Benutzer-GPO auf bestimmte Computer einzuschränken.