7
GPO für Benutzer nur auf bestimmten PCs Loopbackverarbeitung
Hallo Community,
Ich versuche nun schon seit geschlagenen 10 Stunden folgendes hinzubekommen, allerdings nur mit mäßigem Erfolg:
Ich will das wenn sich der Administrator am Mailserver (bzw. an Servern in der OU "Server") anmeldet eine Benutzerkonfiguration greift. Wenn er sich an anderen Rechnern anmeldet soll diese Benutzerkonfiguration nicht greifen.
Nun kann man ja nur Benutzerkonfigurationen mit OU´s verknüpfen in der auch Benutzer sind und Computerkonfigurationen nur mit OU´s in der auch PC´s sind.
Folgendes Szenario:
Ich habe eine OU "Server". In dieser ist der Mailserver.
Ich habe eine OU "Domänenbenutzer". Hier sind die User. Der Admin ist aber (noch) im Standardort, also in "Users".
Ich habe ein GPO "Benutzerkonfiguration" erstellt in dem die Benutzerkonfiguration drin ist mit der Sicherheitsfilterung "Administrator"
Ich habe ein GPO "Loopback" erstellt in dem der Loopbackverarbeitungsmodus aktiviert ist mit der Sicherheitsfilterung "Mailserver"
Beide habe ich mit der OU "Server" verknüpft. So gehts aber nicht.
WAS allerdings geht:
Wenn ich die GPO "Benutzerkonfiguration" mit der Sicherheitsfilterung "Administrator" UND "Mailserver" mit der OU "Server" verknüpfe, ohne "Loopback" (Also "Loopback" überhaupt nicht verwende)
Jetzt weiß ich nicht ob das so ok ist oder nicht, weil ich gelesen habe das man so was mit der Loopbackverarbeitung realisiert. Nur wie geht das? Was muss ich in der Sicherheitsfilterung eintragen (also bei ""Benutzerkonfiguration" oder "Loopback" und womit Verknüpfen (also mit "Domänenbenuter" oder "Server")?
Ich habe schon etliches gelesen in den 10 Stunden kapier es aber trotzdem nicht bzw. so wie ich es versucht habe geht es nicht. Das treibt mich noch zum Wahnsinn!
Ich habe mir sogar das Buch "Gruppenrichtlinien in Windows Server 2008 R2 und Windows 7" von Martin Dausch gekauft jedoch bringt mich das auch nicht weiter.
Wo hängt`s?
Bzw. wie würdet Ihr das machen wenn eine Benutzerrichtlinie nur an bestimmten PCs greifen soll? Das MUSS doch gehen?
DANKE!
Ich versuche nun schon seit geschlagenen 10 Stunden folgendes hinzubekommen, allerdings nur mit mäßigem Erfolg:
Ich will das wenn sich der Administrator am Mailserver (bzw. an Servern in der OU "Server") anmeldet eine Benutzerkonfiguration greift. Wenn er sich an anderen Rechnern anmeldet soll diese Benutzerkonfiguration nicht greifen.
Nun kann man ja nur Benutzerkonfigurationen mit OU´s verknüpfen in der auch Benutzer sind und Computerkonfigurationen nur mit OU´s in der auch PC´s sind.
Folgendes Szenario:
Ich habe eine OU "Server". In dieser ist der Mailserver.
Ich habe eine OU "Domänenbenutzer". Hier sind die User. Der Admin ist aber (noch) im Standardort, also in "Users".
Ich habe ein GPO "Benutzerkonfiguration" erstellt in dem die Benutzerkonfiguration drin ist mit der Sicherheitsfilterung "Administrator"
Ich habe ein GPO "Loopback" erstellt in dem der Loopbackverarbeitungsmodus aktiviert ist mit der Sicherheitsfilterung "Mailserver"
Beide habe ich mit der OU "Server" verknüpft. So gehts aber nicht.
WAS allerdings geht:
Wenn ich die GPO "Benutzerkonfiguration" mit der Sicherheitsfilterung "Administrator" UND "Mailserver" mit der OU "Server" verknüpfe, ohne "Loopback" (Also "Loopback" überhaupt nicht verwende)
Jetzt weiß ich nicht ob das so ok ist oder nicht, weil ich gelesen habe das man so was mit der Loopbackverarbeitung realisiert. Nur wie geht das? Was muss ich in der Sicherheitsfilterung eintragen (also bei ""Benutzerkonfiguration" oder "Loopback" und womit Verknüpfen (also mit "Domänenbenuter" oder "Server")?
Ich habe schon etliches gelesen in den 10 Stunden kapier es aber trotzdem nicht bzw. so wie ich es versucht habe geht es nicht. Das treibt mich noch zum Wahnsinn!
Ich habe mir sogar das Buch "Gruppenrichtlinien in Windows Server 2008 R2 und Windows 7" von Martin Dausch gekauft jedoch bringt mich das auch nicht weiter.
Wo hängt`s?
Bzw. wie würdet Ihr das machen wenn eine Benutzerrichtlinie nur an bestimmten PCs greifen soll? Das MUSS doch gehen?
DANKE!
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 187609
Url: https://administrator.de/forum/gpo-fuer-benutzer-nur-auf-bestimmten-pcs-loopbackverarbeitung-187609.html
Ausgedruckt am: 10.04.2025 um 18:04 Uhr
7 Kommentare
Neuester Kommentar
hilft Dir die Aussage von GPResult bzw. der Richtlinenmodellierung in der ADS weiter?
Ich empfehle Dir das Loopback zu nutzen -> http://support.microsoft.com/kb/231287/de
CENG
Ich empfehle Dir das Loopback zu nutzen -> http://support.microsoft.com/kb/231287/de
CENG
Moin
Wundert kaum. Wozu denn bitte 2 GPOs für eine Sache ? Was soll die Loopbackverarbeitung "solo" bringen ? Wenn du die Loopbackverarbeitung aktivierst bedeutet das, dass der Benutzerteil dieser Richtlinie übernommen wird. Deine Einstellungen aus der zweiten Richtlinie können so nicht angewendet werden.
Gruß
Zitat von @StripLV:
Ich habe ein GPO "Benutzerkonfiguration" erstellt in dem die Benutzerkonfiguration drin ist mit der Sicherheitsfilterung
"Administrator"
Ich habe ein GPO "Loopback" erstellt in dem der Loopbackverarbeitungsmodus aktiviert ist mit der Sicherheitsfilterung
"Mailserver"
Beide habe ich mit der OU "Server" verknüpft. So gehts aber nicht.
Ich habe ein GPO "Benutzerkonfiguration" erstellt in dem die Benutzerkonfiguration drin ist mit der Sicherheitsfilterung
"Administrator"
Ich habe ein GPO "Loopback" erstellt in dem der Loopbackverarbeitungsmodus aktiviert ist mit der Sicherheitsfilterung
"Mailserver"
Beide habe ich mit der OU "Server" verknüpft. So gehts aber nicht.
Wundert kaum. Wozu denn bitte 2 GPOs für eine Sache ? Was soll die Loopbackverarbeitung "solo" bringen ? Wenn du die Loopbackverarbeitung aktivierst bedeutet das, dass der Benutzerteil dieser Richtlinie übernommen wird. Deine Einstellungen aus der zweiten Richtlinie können so nicht angewendet werden.
Gruß
@ceng.de Das habe ich schon mehrfach durchgelesen
q@Hubert das verstehe ich nicht denn es wird überall geschrieben das es auch eine eigenständige GPO sein kann, u.a. auch hier:
http://www.gruppenrichtlinien.de/index.html?/Grundlagen/Loopback_Verarb ...
Zitat:
Wir erweitern das Beispiel um eine weitere Richtlinie: "Loopbackverarbeitungsmodus aktiviert"
Konfiguration, Pfad für Einstellungen:
Computerkonfiguration \ Administrative Vorlagen \ System \ Gruppenrichtlinien
Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie = aktiviert
- OU "Terminal Server", darin enthalten der Computer
- verlinktes GPObjekt "Loopbackverarbeitungsmodus aktiviert", darin NUR die oben aktivierte Richtlinie
q@Hubert das verstehe ich nicht denn es wird überall geschrieben das es auch eine eigenständige GPO sein kann, u.a. auch hier:
http://www.gruppenrichtlinien.de/index.html?/Grundlagen/Loopback_Verarb ...
Zitat:
Wir erweitern das Beispiel um eine weitere Richtlinie: "Loopbackverarbeitungsmodus aktiviert"
Konfiguration, Pfad für Einstellungen:
Computerkonfiguration \ Administrative Vorlagen \ System \ Gruppenrichtlinien
Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie = aktiviert
- OU "Terminal Server", darin enthalten der Computer
- verlinktes GPObjekt "Loopbackverarbeitungsmodus aktiviert", darin NUR die oben aktivierte Richtlinie
Zitat von @StripLV:
Wir erweitern das Beispiel um eine weitere Richtlinie: "Loopbackverarbeitungsmodus aktiviert"
Wir erweitern das Beispiel um eine weitere Richtlinie: "Loopbackverarbeitungsmodus aktiviert"
Siehst du dort eine "zwei" ?
Sorry ich versteh dich nicht. In dem o.g. Beispiel gibt es doch schon Richtlinien in der OU. Daher schreibt er ja auch "erweitern"
Wo soll denn der Unterschied sein ob ich eine OU habe "Server"
1.
und verknüpfe damit eine Richtlinie in der (auch) Benuterkonfigurationen sind und füge dann eine weitere zu der OU "Server" hinzu in der nur "Loopback aktiviert" ist
oder
2.
ich aktiviere in der Richtlinie "Benutzerkonfiguration" auch noch "Loopback Aktiviert"?
Ob ich nun 2 separate habe oder alles in einer GPO ist, müsste doch egal sein. Die werden doch sowieso abgearbeitet oder?
Abgesehen davon funktionert dann folgendes (oder müsste es funktionieren):
Ich erstelle eine GPO in der Benuterkonfiurationen sind und aktiviere in dieser GPO auch Loopback.
Für diese GPO füge ich den Administrtator und den Mailserver in der Sicherheitsilterung hinzu
Diese GPO verknüpfe ich mit der OU "Server" in welcher nur Computerkonten sind
Ist das dann der richtige Weg?
Wo soll denn der Unterschied sein ob ich eine OU habe "Server"
1.
und verknüpfe damit eine Richtlinie in der (auch) Benuterkonfigurationen sind und füge dann eine weitere zu der OU "Server" hinzu in der nur "Loopback aktiviert" ist
oder
2.
ich aktiviere in der Richtlinie "Benutzerkonfiguration" auch noch "Loopback Aktiviert"?
Ob ich nun 2 separate habe oder alles in einer GPO ist, müsste doch egal sein. Die werden doch sowieso abgearbeitet oder?
Abgesehen davon funktionert dann folgendes (oder müsste es funktionieren):
Ich erstelle eine GPO in der Benuterkonfiurationen sind und aktiviere in dieser GPO auch Loopback.
Für diese GPO füge ich den Administrtator und den Mailserver in der Sicherheitsilterung hinzu
Diese GPO verknüpfe ich mit der OU "Server" in welcher nur Computerkonten sind
Ist das dann der richtige Weg?
Moin.
Der LB kann entweder über die lokale GPO oder über irgendeine Domänen-GPO aktiviert werden. Es ist völlig egal, welche, und die Einstellungen, die für den Benutzer in anderen (egal welchen) Richtlinien konfiguriert wurden werden an diesem PC nicht greifen, sondern durch die Benutzereinstellungen aus den gesammelten Computerrichtlinien (lokale wie Domänen-GPOs) die auf den PC eingestellt sind, ersetzt ("replace"), oder, wenn du es so einstellst, damit zusammengeführt ("merge").
Du schaltest also bei einem Testrechner das Loopbackprocessing bitte jetzt einmal lokal per gpedit.msc ein und schaust, ob danach, wie zu erwarten ist, für den Nutzer nun die Einstellunmgen aus dem Nutzerteil der Computerpolicies gelten.
Wenn es Dir nicht gelingt, mach erstmal eine lokale Diagnose mit rsop.msc, ob die Policies auch wie erwartet ausgewertet wurden.
Der LB kann entweder über die lokale GPO oder über irgendeine Domänen-GPO aktiviert werden. Es ist völlig egal, welche, und die Einstellungen, die für den Benutzer in anderen (egal welchen) Richtlinien konfiguriert wurden werden an diesem PC nicht greifen, sondern durch die Benutzereinstellungen aus den gesammelten Computerrichtlinien (lokale wie Domänen-GPOs) die auf den PC eingestellt sind, ersetzt ("replace"), oder, wenn du es so einstellst, damit zusammengeführt ("merge").
Du schaltest also bei einem Testrechner das Loopbackprocessing bitte jetzt einmal lokal per gpedit.msc ein und schaust, ob danach, wie zu erwarten ist, für den Nutzer nun die Einstellunmgen aus dem Nutzerteil der Computerpolicies gelten.
Wenn es Dir nicht gelingt, mach erstmal eine lokale Diagnose mit rsop.msc, ob die Policies auch wie erwartet ausgewertet wurden.
Also ich habs hinbekommen:
In der GPO "Loopback" musste ich den Mailserver als Sicherheitsfilterung auswählen und mit der OU "Server" verknüpfen
In der GPO "Benutzerkonfiguration" musste ich als SF den/die User UND den Mailserver hinzufügen und mit der OU "Server" verknüpfen
Anders gings nicht. Habe alle anderen Möglichkeiten ausprobiert. Da muss man erst mal drauf kommen.
In der GPO "Loopback" musste ich den Mailserver als Sicherheitsfilterung auswählen und mit der OU "Server" verknüpfen
In der GPO "Benutzerkonfiguration" musste ich als SF den/die User UND den Mailserver hinzufügen und mit der OU "Server" verknüpfen
Anders gings nicht. Habe alle anderen Möglichkeiten ausprobiert. Da muss man erst mal drauf kommen.
