ribrob
Goto Top

GPO Computerrichtlinie soll NICHT für lokale Benutzer gelten

Hallo,

folgendes Problem habe ich:

- wir haben eine GPO Computer, in der der "Pfad des servergespeicherten Profils für alle Benutzer" festgelegt wird (Comp. > Admin. Vorlagen > System > Benutzerprofile)
- der Pfad liegt logischerweise im Netzwerk
- ich möchte mich mit einem lokal angelegten Nutzer anmelden, doch dies scheitert aufgrund der GPO

Nun habe ich der GPO im Sicherheitsfilter die Gruppen Domänencomputer UND Domänenbenutzer hinzugefügt, sodass die GPO nur für diese Personen gilt. Doch leider greift die GPO weiterhin für den lokalen Nutzer.
Somit kann sich der lokale Nutzer nicht anmelden, da er den Pfad im Netzwerk ja nicht finden kann, er ihn aber auch nicht verwenden soll (Außer wenn ich "Benutzer mit temporären Profilen nicht anmelden" deaktiviere. Aber dann meldet er sich eben nur mit teporären Profil, und nicht mit dem lokalen Default-Profil an)... Bei der versuchten Anmeldung erscheint "benutzerprofildienst kann nicht geladen werden" und ich gelange wieder zum Anmeldebildschirm.

Habe ich es halbwegs verständlich erklärt?

VG robbery

Content-ID: 223101

Url: https://administrator.de/forum/gpo-computerrichtlinie-soll-nicht-fuer-lokale-benutzer-gelten-223101.html

Ausgedruckt am: 23.12.2024 um 23:12 Uhr

Onitnarat
Onitnarat 28.11.2013 um 10:25:19 Uhr
Goto Top
Hallo robbery,
ja, verständlich erklärt und auch schon selbst beantwortet face-smile

Wenn Du die Einstellung im Bereich Computerkonfiguration setzt und dann die Gruppe der Domänencomputer im Sicherheitsfilter einträgst, dann greift diese Einstellung natürlich auch auf ALLEN DomänenCOMPUTERN, egal wer sich dort anmeldet!

Warum definiert Ihr den Pfad der servergespeicherten Profile nicht in jedem einzelnen Domänenbenutzerkonto?

Gruß
Marcus
ribrob
ribrob 28.11.2013 aktualisiert um 10:41:49 Uhr
Goto Top
OK, deine Verdeutlichung klingt natürlich logisch face-smile Insofern greift die GPO dann eben auch auf lokale Benutzerkonten...

Und zu deiner Frage:
Auf diese Frage habe ich ehrlich gesagt schon gewartet face-smile So ist ja auch der eigentliche Weg. Doch bei uns ist es so gewachsen, da wir unsere Profile noch nie über die Windowsdomäne verwaltet haben und somit nun bei der Umstellung auf Windows7 diesen Weg gewählt haben.

Fällt dir womöglich trotzdem eine Möglichkeit ein, wie ich die GPO nur für Domänenbenutzer eingrenze und es eben nicht für lokale Benutzer greift?
Laut meiner Logik müsste die Abgrenzung ja durch das Hinzufügen der Gruppe Domänenbenutzer im Sicherheitsfilter erreicht werden, aber tut es leider nicht...
Onitnarat
Onitnarat 28.11.2013 um 10:58:22 Uhr
Goto Top
Nein, deine Logik hat einen Fehler:

Computereinstellungen greifen immer nur auf COMPUTERN!
Benutzereinstellungen greifen immer nur für BENUTZER!

Beispiel:
Du aktivierst unter "BENUTZERkonfiguration/Administrative Vorlagen/System/Gruppenrichtlinien" die Richtlinie "Group Policy slow link detection", fügst aber bei der Sicherheitsfilterung nur die DomänenCOMPUTER hinzu, wird die Richtlinie nicht und nirgends greifen!

Genau so verhält es sich wenn Du unter "COMPUTERkonfiguration/Administrative Vorlagen/System/Gruppenrichtlinien" die gleiche Richtlinie aktivierst, aber in der Sicherheitsfilterung nur die DomänenBENUTZER stehen hast.

Darum stehen ja in einer neuerstellten Policy auch die authentifizierten Benutzer drin, das sind sowohl BENUTZER- wie auch COMPUTERkonten.

Ergo:
BENUTZEReinstellungen betreffen BENUTZERkonten, egal auf welchem COMPUTER sie sich anmelden.
COMPUTEReinstellungen betreffen COMPUTERkonten, egal WER sich dort anmeldet.

Ausnahmen gibt es hier natürlich auch, aber generell stimmt die obige Aussage!

Lies Dich mal hier ein, vielleicht bringt Dich das weiter: http://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loo ...

Gruß
Marcus
ribrob
ribrob 28.11.2013 aktualisiert um 15:20:02 Uhr
Goto Top
Der Link frischt das Wissen zu GPOs auf jeden Fall auf - dankeschön!

Ich habe in der GPO, in welcher nur Comp.-konfigurationen gesetzt sind, noch den Loopbackverarbeitungsmodus aktiviert. Und auth. Benutzer als Sicherheitsfilter.
Doch die Gpo greift trotzdem nicht für lokale Nutzer -.-

Aber genau das soll er eben nicht, sondern nur für Domänenbenutzer greifen... Wenn ich also recht darüber nachdenke, trifft Loopback für meinen Fall leider nicht zu. Oder habe ich ein Verständnisproblem?!? Denn die GPO mit aktivierter Loopback greift zwar für Domänenbenutzer, was ohne Loopback ja gar nicht greift (also Sicherheitsfilter nur Dom.-benutzer und nichts anderes), aber greift eben immer noch für lokale Benutzer (was aber nun mal nicht sein soll)

Es muss doch eine Einstellungsmöglichkeit geben, womit die Computer-GPO nicht für lokale Nutzer greift?!?! face-sad
Onitnarat
Onitnarat 29.11.2013 um 10:54:36 Uhr
Goto Top
Es muss doch eine Einstellungsmöglichkeit geben, womit die Computer-GPO nicht für lokale Nutzer greift?!?! face-sad

Das gibt es eben nicht...die Computersettings haben nichts mit dem angemeldeten bzw. anmeldenden Benutzer zu tun...klassische Sackgasse würde ich sagen.