marabunta
Goto Top

GPO Computerrichtlinie in Benutzer OU

Hallo,

ist gerade zu lange her und hätte gerne eine kurze Bestätigung.
Eine Globale Computerrichtlinie Richtlinie die eine GPO für die Verschlüsselung setzt und dann über eine weitere erzwungene Computerrichtlinie, die mit einer nur Benutzer enthaltenden OU verknüpft ist wieder für eine Gruppe deaktiviert - das sollte funktionieren richtig?
Soweit mir bekannt ist, sind WMI Filter unübersichtlich und langsam, weshalb ich diese Variante gewählt habe.

Danke.

Mfg

Content-ID: 1864034762

Url: https://administrator.de/forum/gpo-computerrichtlinie-in-benutzer-ou-1864034762.html

Ausgedruckt am: 25.12.2024 um 20:12 Uhr

emeriks
emeriks 08.02.2022 um 15:28:52 Uhr
Goto Top
Zitat von @Marabunta:
Eine Globale Computerrichtlinie Richtlinie die eine GPO für die Verschlüsselung setzt
Kannst Du das bitte mal übersetzen?
"eine GPO für die Verschlüsselung" - Hast Du da mehrere GPO erstellt?

und dann über eine weitere erzwungene Computerrichtlinie, die mit einer nur Benutzer enthaltenden OU verknüpft ist wieder für eine Gruppe deaktiviert - das sollte funktionieren richtig?
Wenn meine Glaskugel mich nicht trügt, was Du meinst, dann ist die Antwort: Nein, das funktioniert nicht.

Soweit mir bekannt ist, sind WMI Filter unübersichtlich und langsam, weshalb ich die se Variante gewählt habe.
Das kann man so pauschal nicht sagen. Das hängt immer davon ab, was genau man da abfragt.

Ein Tipp:
Mit der richtigen Terminologie schon im Kopf gedacht, ist schon der halbe Weg aus dem Jungle der Gedanken. face-wink
Marabunta
Marabunta 08.02.2022 aktualisiert um 16:06:06 Uhr
Goto Top
Bitlockerverschlüsselung ist gemeint.
2 GPOs eine die es aktiviert und eine die es deaktivert.

So kann man es sich vorstellen:
Domäne(GPO Bitlocker aktivieren)
- BenutzerGruppen
-- AbteilungX(GPO Bitlocker Deaktivieren & Erzwungen)

-ComputerGruppen
-Keine BitlockerGPO
emeriks
emeriks 08.02.2022 um 16:06:40 Uhr
Goto Top
Deine Auflistung ist jetzt nicht sehr hilfreich.

Richtlinien zu BitLocker sind aus dem Zweig "Computerkonfiguration". Diese kann man nicht abhängig vom Benutzer zuweisen. Das macht ja auch keinen Sinn. Meldet sich Alfred an, dann werden die Laufwerke verschlüsselt. Und wenn sich dann am selben Computer Frida anmeldet, dann werden sie wieder entschlüsselt? Oder was?

Du musst die Computer in 2 "Typen" separieren und dann für den einen Typ die GPO mit "kein Bitlocker" und für den anderen die GPO mit "Bitlocker!" wirken lassen. Separieren kannst Du z.B. über 2 OU in selber Ebene. Die Computerobjekte da verteilen und je eine dieser GPO an die zugehörige OU verlinken.
Oder durch AD Gruppen. Man kann auch Computer zu Gruppen hinzufügen. Beide GPO verlinkst Du dann mit der OU, in welcher die Computer sind. Die GPO filterst Du in der Sicherheitsfilterung für nur je eine der beiden AD-Gruppen.
Marabunta
Marabunta 08.02.2022 um 16:18:49 Uhr
Goto Top
Muss ergänzen, es geht um USB-Verschlüsselung. Einige sollen auf unverschlüsselte Sticks lesen&schreiben dürfen die anderen nur lesen bis es verschlüsselt wurde.
emeriks
emeriks 08.02.2022 aktualisiert um 18:02:02 Uhr
Goto Top
Ja, das dachte ich mir.
Und diese Richtline ist nun mal eine Computerkonfiguration und diese können nun mal nicht per Benutzer angewendet werden. Nicht mit Bordmitteln.

Man könnte höchstens versuchen, per Scheduled Task zu tricksen. In etwa so:
  • im AD zwei GPO erstellen; eine für "Bitlocker erzwingen" und eine, welche das wieder abstellt (Gegen-Richtlinie)
  • im AD zwei Gruppen ("Computergruppen") erstellen; je eine für eine der beiden GPOs
  • diese beiden GPO je über die zugehörige Gruppe filtern
  • den Computerkonten das Recht erteilen, die Mitgliedschaft dieser beiden Computergruppen zu bearbeiten
  • im AD zwei Gruppen ("Benutzergruppen") erstellen; je eine für eine der beiden GPOs
  • die Benutzer diesen beiden Benutzergruppen zuordnen (Jeden Benutzer in nur eine der beiden, ist klar.)
  • eine GPO erstellen, welche
    • eine Datei auf alle Computer verteilt; Ein PS-Script was u.g. tut.
    • einen Scheduled Task an alle Computer verteilt, welcher bei Anmeldung eines Benutzers mit der Anmeldung von SYSTEM das o.g. PS-Script startet. Dabei den Benutzernamen als Parameter übergeben.
  • Das PS-Script wertet die Mitgliedschaft des übergebenen Benutzerkontos in den o.g. Benutzergruppen aus und fügt davon abhängig das Computerkonto einer der beiden o.g. Computergruppen hinzu bzw. entfernt es. Nach ca. 1 Minute Pause löscht es das Sitzungstoken ("klist purge") und löst ein "gpupdate /force" aus.
emeriks
emeriks 08.02.2022 um 18:02:26 Uhr
Goto Top
Möglicherweise geht es sogar noch komplizierter.