9
GPO: Benutzerkonfiguration nicht auf Server anwenden
Hallo zusammen!
Ich habe eine Frage bezüglich den Computer/Benutzerkonfigurationen. Ich weiss nicht ob ich was Grundlegendes an der OU-Struktur ändern muss das dies "sinnvoll" gelöst werden kann oder ob ich da mit WMI-Filtern arbeiten kann. Folgend unsere Struktur vereinfacht:
Der User1 meldet sich per Remotedesktop am ServerABC an. Da nun aber eine Benutzerkonfiguration in der OU Computers liegt, wird diese automatisch auch für den Server gezogen. Da ich beim Server nicht wirklich will, dass eine Ordnerumleitung stattfindet, soll er dies aber unterlassen.
Gibt es ein WMI-Filter welche steuert, dass GPO's nicht übernommen werden, wenn z.B. per Remotedesktop angemeldet wird? Ich habe auch von der "Zielgruppenadressierung" gelesen, da es aber viele verscheidene GPO's sind, will ich eigentlich nicht bei jeder einzeln eine solche Einstellung vornehmen.
Freue mich über eure Antworten!
Liebe Grüsse
KMUlife
Ich habe eine Frage bezüglich den Computer/Benutzerkonfigurationen. Ich weiss nicht ob ich was Grundlegendes an der OU-Struktur ändern muss das dies "sinnvoll" gelöst werden kann oder ob ich da mit WMI-Filtern arbeiten kann. Folgend unsere Struktur vereinfacht:
Der User1 meldet sich per Remotedesktop am ServerABC an. Da nun aber eine Benutzerkonfiguration in der OU Computers liegt, wird diese automatisch auch für den Server gezogen. Da ich beim Server nicht wirklich will, dass eine Ordnerumleitung stattfindet, soll er dies aber unterlassen.
Gibt es ein WMI-Filter welche steuert, dass GPO's nicht übernommen werden, wenn z.B. per Remotedesktop angemeldet wird? Ich habe auch von der "Zielgruppenadressierung" gelesen, da es aber viele verscheidene GPO's sind, will ich eigentlich nicht bei jeder einzeln eine solche Einstellung vornehmen.
Freue mich über eure Antworten!
Liebe Grüsse
KMUlife
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 353834
Url: https://administrator.de/contentid/353834
Printed on: April 24, 2024 at 04:04 o'clock
9 Comments
Latest comment
Zitat von @KMUlife:
Gibt es ein WMI-Filter welche steuert, dass GPO's nicht übernommen werden, wenn z.B. per Remotedesktop angemeldet wird?
Gibt es ein WMI-Filter welche steuert, dass GPO's nicht übernommen werden, wenn z.B. per Remotedesktop angemeldet wird?
Das weiß ich gerade nicht. Aber Du könntest nach Betriebssystemen filtern und GPO nur anwenden lassen, wenn das Betriebssystem NICHT Server 2016 (oder was auch immer Ihr dort habt) ist:
https://miriamxyra.com/2016/05/24/einfache-administration-durch-wmi-filt ...
Hi,
Du könntest es mit Loopback-Modus oder einfach mit GPO-Rechten regeln.
Loopback ist für GPO-Anfänger nicht gleich zu empfehlen.
Am einfachsten dürfte es sein, wenn Du eine Gruppe erstellst, für welche diese GPO nicht gelten soll. Dann verweigerst Du dieser Gruppe das Recht "Lesen" für diese GPO. (Schau mal bei der GPO rechts in der Verwaltungs-MMC unter "Delegierung". Danach fügst Du alle Computer dieser Gruppe hinzu, für welche diese GPO nicht gelten soll.
Auch wenn Deine GPO für Benutzer wirkt, so muss doch der Computer sie lesen können, damit der GPO-Client-Dienst diese für den Benutzer anwenden kann. Indem man dem Server-Computer das Recht entzieht, diese GPO zu lesen, verhindert man auch, dass er diese GPO für den Benutzer anwenden kann.
Hinweis: Dieses Verfahren eignet sich nicht für Domaincontroller.
E.
Du könntest es mit Loopback-Modus oder einfach mit GPO-Rechten regeln.
Loopback ist für GPO-Anfänger nicht gleich zu empfehlen.
Am einfachsten dürfte es sein, wenn Du eine Gruppe erstellst, für welche diese GPO nicht gelten soll. Dann verweigerst Du dieser Gruppe das Recht "Lesen" für diese GPO. (Schau mal bei der GPO rechts in der Verwaltungs-MMC unter "Delegierung". Danach fügst Du alle Computer dieser Gruppe hinzu, für welche diese GPO nicht gelten soll.
Auch wenn Deine GPO für Benutzer wirkt, so muss doch der Computer sie lesen können, damit der GPO-Client-Dienst diese für den Benutzer anwenden kann. Indem man dem Server-Computer das Recht entzieht, diese GPO zu lesen, verhindert man auch, dass er diese GPO für den Benutzer anwenden kann.
Hinweis: Dieses Verfahren eignet sich nicht für Domaincontroller.
E.
Hallo euch beiden!
Danke für die schnelle Antwort! - Ich prüfe die beiden Wege mal. Der Vorschlag von SarekHL passt mir eingentlich ganz gut, das problem hierbei ist, dass wir z.B. ein Build"server" haben der aber unter Windows 10 läuft, weil es einfach reicht. Aber das sind 2-3 Geräte, für die könnte ich Notfalls auch eine eigene Ausnahme generieren.
@emeriks, warum eignet sich das verfahren nicht für DC's? Ich meine Grundsätzlich wäre es keine "riesen" Sache alle Server in eine Gruppe zu nehmen und die bei den GPO's zu hinterlegen. Liegt das daran, dass dann der DC die GPO nicht mehr verteilen kann, weil er sie schlicht nicht mehr lesen kann?
LG
KMUlife
Danke für die schnelle Antwort! - Ich prüfe die beiden Wege mal. Der Vorschlag von SarekHL passt mir eingentlich ganz gut, das problem hierbei ist, dass wir z.B. ein Build"server" haben der aber unter Windows 10 läuft, weil es einfach reicht. Aber das sind 2-3 Geräte, für die könnte ich Notfalls auch eine eigene Ausnahme generieren.
@emeriks, warum eignet sich das verfahren nicht für DC's? Ich meine Grundsätzlich wäre es keine "riesen" Sache alle Server in eine Gruppe zu nehmen und die bei den GPO's zu hinterlegen. Liegt das daran, dass dann der DC die GPO nicht mehr verteilen kann, weil er sie schlicht nicht mehr lesen kann?
LG
KMUlife
warum eignet sich das verfahren nicht für DC's?
Ich habe das so noch nie umgesetzt. Aber wenn man den DC's das Lesen der GPO's verweigert, dann weiß ich nicht, wie sich das mit der Replikation verhält. Auf diese Idee, einem DC den Zugriff im AD zu verweigern bin ich noch nie gekommen.
Ist glaube ich auch eine eher "blöde" Idee 
.
Mal schauen, ich glaube ich arbeite mit dem WMI-Filter für Windows 10. Servergpo's muss ich dann halt zusätzlich anlegen (gibts schon ein paar), aber dies sind nicht allzu viele.
Danke für eure Hinweise!
MFG
KMUlife
.Mal schauen, ich glaube ich arbeite mit dem WMI-Filter für Windows 10. Servergpo's muss ich dann halt zusätzlich anlegen (gibts schon ein paar), aber dies sind nicht allzu viele.
Danke für eure Hinweise!
MFG
KMUlife
dem WMI-Filter für Windows 10
Win10 hat extra/eigene WMI-Filter? Das wusste ich noch gar nicht ... Du meinst sicher, dass Du per WMI das OS auf Win10 filtern willst?
Indem man dem Server-Computer das Recht entzieht, diese GPO zu lesen, verhindert man auch, dass er diese GPO für den Benutzer anwenden kann.
Hinweis: Dieses Verfahren eignet sich nicht für Domaincontroller.
Lesen und übernehmen sind getrennt zu vergebende Rechte - wenn man übernehmen nicht erteilt, reicht das und ist völlig gefahrlos für Replikation/GPO-Backup.Hinweis: Dieses Verfahren eignet sich nicht für Domaincontroller.
Zitat von @emeriks:
Du meinst sicher, dass Du per WMI das OS auf Win10 filtern willst?
dem WMI-Filter für Windows 10
Win10 hat extra/eigene WMI-Filter? Das wusste ich noch gar nicht ... Du meinst sicher, dass Du per WMI das OS auf Win10 filtern willst?
Yes, diesen hier: select * from Win32_OperatingSystem where (Version like "10.%") and ProductType = "1"
@dww, danke für die Info!
Zitat von @DerWoWusste:
Lesen und übernehmen sind getrennt zu vergebende Rechte - wenn man übernehmen nicht erteilt, reicht das und ist völlig gefahrlos für Replikation/GPO-Backup.
Richtig. Aber hier geht es nicht darum, dass mein einem Computer das Recht entziehen will, eine GPO mit Computereinstellungen zu übernehmen, sondern darum, ohne Loopback dafür zu sorgen, dass der GPO-Client-Dienst eine GPO mit Benutzereinstellungen nicht lesen kann, um sie für den Benutzer anzuwenden. Zur Erinnerung: Wenn man die Sicherheitsfilterung einschränkt auf nicht-"Autentifizierte Benutzer", und vergisst, den "Autentifizierte Benutzer" oder den "Domänencomputern" oder bestimmten Computern das Recht zu erteilen, die GPO lesen zu können, dann wird die GPO für einen Benutzer nicht angewendet. Das hat doch MS irgendwann mit einem Patch so eingeführt. Das müsste man doch auch auf diese Weise ausnutzen können, um die Anwendung von Benutzer-GPO auf bestimmte Computer einzuschränken.Lesen und übernehmen sind getrennt zu vergebende Rechte - wenn man übernehmen nicht erteilt, reicht das und ist völlig gefahrlos für Replikation/GPO-Backup.
