6
GPO Computerrichtlinie in Benutzer OU
Hallo,
ist gerade zu lange her und hätte gerne eine kurze Bestätigung.
Eine Globale Computerrichtlinie Richtlinie die eine GPO für die Verschlüsselung setzt und dann über eine weitere erzwungene Computerrichtlinie, die mit einer nur Benutzer enthaltenden OU verknüpft ist wieder für eine Gruppe deaktiviert - das sollte funktionieren richtig?
Soweit mir bekannt ist, sind WMI Filter unübersichtlich und langsam, weshalb ich diese Variante gewählt habe.
Danke.
Mfg
ist gerade zu lange her und hätte gerne eine kurze Bestätigung.
Eine Globale Computerrichtlinie Richtlinie die eine GPO für die Verschlüsselung setzt und dann über eine weitere erzwungene Computerrichtlinie, die mit einer nur Benutzer enthaltenden OU verknüpft ist wieder für eine Gruppe deaktiviert - das sollte funktionieren richtig?
Soweit mir bekannt ist, sind WMI Filter unübersichtlich und langsam, weshalb ich diese Variante gewählt habe.
Danke.
Mfg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1864034762
Url: https://administrator.de/contentid/1864034762
Printed on: July 27, 2024 at 12:07 o'clock
6 Comments
Latest comment
Zitat von @Marabunta:
Eine Globale Computerrichtlinie Richtlinie die eine GPO für die Verschlüsselung setzt
Kannst Du das bitte mal übersetzen?Eine Globale Computerrichtlinie Richtlinie die eine GPO für die Verschlüsselung setzt
"eine GPO für die Verschlüsselung" - Hast Du da mehrere GPO erstellt?
und dann über eine weitere erzwungene Computerrichtlinie, die mit einer nur Benutzer enthaltenden OU verknüpft ist wieder für eine Gruppe deaktiviert - das sollte funktionieren richtig?
Wenn meine Glaskugel mich nicht trügt, was Du meinst, dann ist die Antwort: Nein, das funktioniert nicht.Soweit mir bekannt ist, sind WMI Filter unübersichtlich und langsam, weshalb ich die se Variante gewählt habe.
Das kann man so pauschal nicht sagen. Das hängt immer davon ab, was genau man da abfragt.Ein Tipp:
Mit der richtigen Terminologie schon im Kopf gedacht, ist schon der halbe Weg aus dem Jungle der Gedanken.
Bitlockerverschlüsselung ist gemeint.
2 GPOs eine die es aktiviert und eine die es deaktivert.
So kann man es sich vorstellen:
Domäne(GPO Bitlocker aktivieren)
- BenutzerGruppen
-- AbteilungX(GPO Bitlocker Deaktivieren & Erzwungen)
-ComputerGruppen
-Keine BitlockerGPO
2 GPOs eine die es aktiviert und eine die es deaktivert.
So kann man es sich vorstellen:
Domäne(GPO Bitlocker aktivieren)
- BenutzerGruppen
-- AbteilungX(GPO Bitlocker Deaktivieren & Erzwungen)
-ComputerGruppen
-Keine BitlockerGPO
Deine Auflistung ist jetzt nicht sehr hilfreich.
Richtlinien zu BitLocker sind aus dem Zweig "Computerkonfiguration". Diese kann man nicht abhängig vom Benutzer zuweisen. Das macht ja auch keinen Sinn. Meldet sich Alfred an, dann werden die Laufwerke verschlüsselt. Und wenn sich dann am selben Computer Frida anmeldet, dann werden sie wieder entschlüsselt? Oder was?
Du musst die Computer in 2 "Typen" separieren und dann für den einen Typ die GPO mit "kein Bitlocker" und für den anderen die GPO mit "Bitlocker!" wirken lassen. Separieren kannst Du z.B. über 2 OU in selber Ebene. Die Computerobjekte da verteilen und je eine dieser GPO an die zugehörige OU verlinken.
Oder durch AD Gruppen. Man kann auch Computer zu Gruppen hinzufügen. Beide GPO verlinkst Du dann mit der OU, in welcher die Computer sind. Die GPO filterst Du in der Sicherheitsfilterung für nur je eine der beiden AD-Gruppen.
Richtlinien zu BitLocker sind aus dem Zweig "Computerkonfiguration". Diese kann man nicht abhängig vom Benutzer zuweisen. Das macht ja auch keinen Sinn. Meldet sich Alfred an, dann werden die Laufwerke verschlüsselt. Und wenn sich dann am selben Computer Frida anmeldet, dann werden sie wieder entschlüsselt? Oder was?
Du musst die Computer in 2 "Typen" separieren und dann für den einen Typ die GPO mit "kein Bitlocker" und für den anderen die GPO mit "Bitlocker!" wirken lassen. Separieren kannst Du z.B. über 2 OU in selber Ebene. Die Computerobjekte da verteilen und je eine dieser GPO an die zugehörige OU verlinken.
Oder durch AD Gruppen. Man kann auch Computer zu Gruppen hinzufügen. Beide GPO verlinkst Du dann mit der OU, in welcher die Computer sind. Die GPO filterst Du in der Sicherheitsfilterung für nur je eine der beiden AD-Gruppen.
Muss ergänzen, es geht um USB-Verschlüsselung. Einige sollen auf unverschlüsselte Sticks lesen&schreiben dürfen die anderen nur lesen bis es verschlüsselt wurde.
Ja, das dachte ich mir.
Und diese Richtline ist nun mal eine Computerkonfiguration und diese können nun mal nicht per Benutzer angewendet werden. Nicht mit Bordmitteln.
Man könnte höchstens versuchen, per Scheduled Task zu tricksen. In etwa so:
Und diese Richtline ist nun mal eine Computerkonfiguration und diese können nun mal nicht per Benutzer angewendet werden. Nicht mit Bordmitteln.
Man könnte höchstens versuchen, per Scheduled Task zu tricksen. In etwa so:
- im AD zwei GPO erstellen; eine für "Bitlocker erzwingen" und eine, welche das wieder abstellt (Gegen-Richtlinie)
- im AD zwei Gruppen ("Computergruppen") erstellen; je eine für eine der beiden GPOs
- diese beiden GPO je über die zugehörige Gruppe filtern
- den Computerkonten das Recht erteilen, die Mitgliedschaft dieser beiden Computergruppen zu bearbeiten
- im AD zwei Gruppen ("Benutzergruppen") erstellen; je eine für eine der beiden GPOs
- die Benutzer diesen beiden Benutzergruppen zuordnen (Jeden Benutzer in nur eine der beiden, ist klar.)
- eine GPO erstellen, welche
- eine Datei auf alle Computer verteilt; Ein PS-Script was u.g. tut.
- einen Scheduled Task an alle Computer verteilt, welcher bei Anmeldung eines Benutzers mit der Anmeldung von SYSTEM das o.g. PS-Script startet. Dabei den Benutzernamen als Parameter übergeben.
- Das PS-Script wertet die Mitgliedschaft des übergebenen Benutzerkontos in den o.g. Benutzergruppen aus und fügt davon abhängig das Computerkonto einer der beiden o.g. Computergruppen hinzu bzw. entfernt es. Nach ca. 1 Minute Pause löscht es das Sitzungstoken ("klist purge") und löst ein "gpupdate /force" aus.
Möglicherweise geht es sogar noch komplizierter.