8
GPO - Konflikt zwischen "Lokal anmelden ." und "eingeschränkte Gruppen" ?
Hallo miteinander,
allem Anschein nach widersprechen/behindern sich in meiner Domäne 2 Gruppenrichtlinien bezüglich lokaler Anmeldemöglichkeiten - anders kann ich mir es nicht erklären
und zwar administrative Vorlage:"Lokale Richtlinien/Zuweisen von Benutzerrechten"(übergreordnete OU) vs Sicherheitseinstellungen:"Eingeschränkte Gruppe"(untergeordnete OU)
Phänomen:
Computer in denen bestimmten AD-Gruppen das lokale Anmelden verweigert wird, da funktioniert dies auch - in anderen funktionierte es nicht; Nach einigen gpresults etc brachte nur ein direkter Vergleich der GPO Vererbung einen Indiiz zur Fehlerquelle -> OUs in denen via "Eingeschränkte Gruppen" eine extra Gruppe für lokale Admins definiert ist, dort funktioniert das Lokale Anmelden einer EIGENTLICH verweigerten Usergruppe DOCH, obwohl es laut gpresult erfolgreich angewandt war!
Wohlbemerkt: Die *Verbots-Gruppe* ist eine normale UserGruppe (Domänenbenutzer!) ohne Adminrechte !
Erst nach deaktivierte Verknüpfung (Eingeschränkte Gruppen) funktionierte dies auch in diesen OUs.
Eine mögliche Lösung war bisher *administrative Vorlage:"Lokale Richtlinien/Zuweisen von Benutzerrechten* zu forcieren (up>down).
Aber WARUM das so ist ?? - Hat hier jemand dafür eine logische Erklärung? - Ich möchte ungern mit Force an dieser Stelle arbeiten...
Eine grobe Übersicht der 2 Komponenten siehe unten
(OU=*Alle Computer*)
Computerkonfiguration:
Richtlinien
Windows-Einstellungen
Sicherheitseinstellungen
Lokale Richtlinien/Zuweisen von Benutzerrechten
"Lokal anmelden verweigern" (bestimmte Membergruppe)
(OU=*untergeordne Computer*)
Computerkonfiguration:
Richtlinien
Windows-Einstellungen
Sicherheitseinstellungen
Eingeschränkte Gruppen
Gruppe Mitglieder / Mitglied von
VORDEFINIERT\Administratoren
Beispielgruppe\Administratoren
MfG
Kunst
allem Anschein nach widersprechen/behindern sich in meiner Domäne 2 Gruppenrichtlinien bezüglich lokaler Anmeldemöglichkeiten - anders kann ich mir es nicht erklären
und zwar administrative Vorlage:"Lokale Richtlinien/Zuweisen von Benutzerrechten"(übergreordnete OU) vs Sicherheitseinstellungen:"Eingeschränkte Gruppe"(untergeordnete OU)
Phänomen:
Computer in denen bestimmten AD-Gruppen das lokale Anmelden verweigert wird, da funktioniert dies auch - in anderen funktionierte es nicht; Nach einigen gpresults etc brachte nur ein direkter Vergleich der GPO Vererbung einen Indiiz zur Fehlerquelle -> OUs in denen via "Eingeschränkte Gruppen" eine extra Gruppe für lokale Admins definiert ist, dort funktioniert das Lokale Anmelden einer EIGENTLICH verweigerten Usergruppe DOCH, obwohl es laut gpresult erfolgreich angewandt war!
Wohlbemerkt: Die *Verbots-Gruppe* ist eine normale UserGruppe (Domänenbenutzer!) ohne Adminrechte !
Erst nach deaktivierte Verknüpfung (Eingeschränkte Gruppen) funktionierte dies auch in diesen OUs.
Eine mögliche Lösung war bisher *administrative Vorlage:"Lokale Richtlinien/Zuweisen von Benutzerrechten* zu forcieren (up>down).
Aber WARUM das so ist ?? - Hat hier jemand dafür eine logische Erklärung? - Ich möchte ungern mit Force an dieser Stelle arbeiten...
Eine grobe Übersicht der 2 Komponenten siehe unten
(OU=*Alle Computer*)
Computerkonfiguration:
Richtlinien
Windows-Einstellungen
Sicherheitseinstellungen
Lokale Richtlinien/Zuweisen von Benutzerrechten
"Lokal anmelden verweigern" (bestimmte Membergruppe)
(OU=*untergeordne Computer*)
Computerkonfiguration:
Richtlinien
Windows-Einstellungen
Sicherheitseinstellungen
Eingeschränkte Gruppen
Gruppe Mitglieder / Mitglied von
VORDEFINIERT\Administratoren
Beispielgruppe\Administratoren
MfG
Kunst
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 576692
Url: https://administrator.de/contentid/576692
Printed on: April 27, 2024 at 00:04 o'clock
8 Comments
Latest comment
Hi,
Mitglieder der VORDEFINIERT\Administratoren sind dahingehend geschützt, dass sie sich nicht selbst aussperren können. Ebenso nicht ausgesperrt werden können. Also können sich diese auch immer lokal anmelden.
E.
Mitglieder der VORDEFINIERT\Administratoren sind dahingehend geschützt, dass sie sich nicht selbst aussperren können. Ebenso nicht ausgesperrt werden können. Also können sich diese auch immer lokal anmelden.
E.
Hi,
sorry, aber nochmal den Teil, den du möglicherweise überlesen hast:
"Wohlbemerkt: Die *Verbots-Gruppe* ist eine normale UserGruppe (Domänenbenutzer!) ohne Adminrechte !"
Also das ist leider nicht des Rätsels Lösung...
MfG
Kunst
sorry, aber nochmal den Teil, den du möglicherweise überlesen hast:
"Wohlbemerkt: Die *Verbots-Gruppe* ist eine normale UserGruppe (Domänenbenutzer!) ohne Adminrechte !"
Also das ist leider nicht des Rätsels Lösung...
MfG
Kunst
Ja, können ja. Aber wenn wir hier von Anmeldung eines Benutzers sprechen und Du selbst diese ganzen Zusammenhänge herstellst, dann kann ich doch davon ausgehen, dass der betreffende Benutzer in beiden Gruppen ist. Jene, der das lokale Anmelden verweigert wurde und jener anderen, welche Mitglied der lokalen Administratoren ist. Wenn ja, dann überwiegt hier die Mitgliedschaft des Benutzers zu den lokalen Administratoren. Wenn nein, wovon reden wir dann überhaupt, warum stellst Du diese dann offenbar nicht bestehenden Zusammenhänge her?
Also: Was genau ist Phase?
Was passiert wann oder passiert nicht?
Was hast Du erwartet, das Deiner Meinung nach passieren sollte?
Also: Was genau ist Phase?
Was passiert wann oder passiert nicht?
Was hast Du erwartet, das Deiner Meinung nach passieren sollte?
Der einzige Zusammenhang aus meiner Sicht ist der, dass wenn beide GPOs für dasselbe System gelten, die GPO "Lokal anmelden verweigert (für eine bestimmte Gruppe)" vom System ignoriert wird !?
Denn bei Computern in deren OU keine "Eingeschränkte Gruppen" aktiv verknüpft sind, funktioniert die Verweigerung.
Bei allen andren Computer (in deren OUs die "Eingeschränkte Gruppen"-GPO aktiv ist) können sich die *verweigerten User* trotzdem anmelden.
Und nochmal: *verweigerten User* != Administratoren bzw. Eingeschränkte Gruppe (Mitglieder)
In "Eingeschränkte Gruppen" steht ledigleich eine Gruppe von Domänenusern die nichts mit *verweigerten User* (GPO "Lokal anmelden verweigert") gemin hat, außer das es ebenfalls Domänenuser sind.
Vermutlich könnte "Eingeschränkte Gruppen" auch komplett leer sein und immer noch würde es die GPO-"Lokal anmelden verweigert" behindern...
Das ist ja das Verwirrende dabei...
Also direkt auf deine Fragen:
"Also: Was genau ist Phase?"
- die GPO "Lokal anmelden verweigert (für eine bestimmte Gruppe)" wird von einigen Systemen ignoriert - von anderen nicht - einziger Unterschied: Es gibt dort zusätzlich die GPO "Eingeschränkte Gruppen"
"Was passiert wann oder passiert nicht?"
- s.o. - Der User der sich eigentlich nicht lokal anmelden darf kann es trotzdem (@ OUs mit Eingeschränkter Gruppe - obwohl es hier um ganz andere User geht)
"Was hast Du erwartet, das Deiner Meinung nach passieren sollte?"
- Das es unabhängig von "Eingeschränkte Gruppen" das Anmelden verweigert.
Denn bei Computern in deren OU keine "Eingeschränkte Gruppen" aktiv verknüpft sind, funktioniert die Verweigerung.
Bei allen andren Computer (in deren OUs die "Eingeschränkte Gruppen"-GPO aktiv ist) können sich die *verweigerten User* trotzdem anmelden.
Und nochmal: *verweigerten User* != Administratoren bzw. Eingeschränkte Gruppe (Mitglieder)
In "Eingeschränkte Gruppen" steht ledigleich eine Gruppe von Domänenusern die nichts mit *verweigerten User* (GPO "Lokal anmelden verweigert") gemin hat, außer das es ebenfalls Domänenuser sind.
Vermutlich könnte "Eingeschränkte Gruppen" auch komplett leer sein und immer noch würde es die GPO-"Lokal anmelden verweigert" behindern...
Das ist ja das Verwirrende dabei...
Also direkt auf deine Fragen:
"Also: Was genau ist Phase?"
- die GPO "Lokal anmelden verweigert (für eine bestimmte Gruppe)" wird von einigen Systemen ignoriert - von anderen nicht - einziger Unterschied: Es gibt dort zusätzlich die GPO "Eingeschränkte Gruppen"
"Was passiert wann oder passiert nicht?"
- s.o. - Der User der sich eigentlich nicht lokal anmelden darf kann es trotzdem (@ OUs mit Eingeschränkter Gruppe - obwohl es hier um ganz andere User geht)
"Was hast Du erwartet, das Deiner Meinung nach passieren sollte?"
- Das es unabhängig von "Eingeschränkte Gruppen" das Anmelden verweigert.
Ich wollte (noch) nicht wissen, was Du da wo und wie an GPO's eingerichtet hast. Aber egal.
Und in dieser genannten extra GPO steht dann auch zusätzlich zu den "Eingeschränkten Gruppen" nichts Gegenteiliges bzgl. "Lokal anmelden verweigern"?
Führe doch mal auf einem dieser Computer RSOP.msc aus. Unter der Anmeldung eines Benutzers, welcher Mitglied der lokalen Gruppe "Administratoren" ist.
Dort solltest Du genau sehen, welche Richtlinien der Computer anwendet und aus welchen GPO diese stammen.
- die GPO "Lokal anmelden verweigert (für eine bestimmte Gruppe)" wird von einigen Systemen ignoriert
Was heißt das? Wird die GPO angewendet oder nicht? Erfolgt der Eintrag in "Lokal anmelden verweigern" oder nicht? Das ist interessant zu wissen.- von anderen nicht - einziger Unterschied: Es gibt dort zusätzlich die GPO "Eingeschränkte Gruppen"
"Es gibt die GPO" oder nicht doch: Die Computer wenden zusätzlich eine GPO namens "Eingeschränkte Gruppen" an? Oder eine GPO mit irgendeinem Namen welche aber eine Richtline für eine "Eingeschränkte Gruppe" enthält?Und in dieser genannten extra GPO steht dann auch zusätzlich zu den "Eingeschränkten Gruppen" nichts Gegenteiliges bzgl. "Lokal anmelden verweigern"?
Führe doch mal auf einem dieser Computer RSOP.msc aus. Unter der Anmeldung eines Benutzers, welcher Mitglied der lokalen Gruppe "Administratoren" ist.
Dort solltest Du genau sehen, welche Richtlinien der Computer anwendet und aus welchen GPO diese stammen.
Ok, ich habe das wohl als zu selbstverständlich vorausgesetzt; Beide Richtlinien wurden angewandt an den betroffenen Systemen.
Sie wird immer angewandt. Und der Eintrag erfolgt.
Und der gpresult wurde auch auf den betroffenen Systemen als Mitglied der lokalen Administratoren ausgeführt.
(Anmerkung nochmal: Die "verweigerten User" sind NICHT Mitglied der Gruppe Administratoren - unter keinen Umständen, auch nicht via "Eingeschränkte Gruppe"* - ansonsten wäre es für mich noch logisch nachvollziehbar
Und ebenso sind die betroffenen User auch - in keiner Weise - in den "Eingeschränkten Gruppen" aufgeführt)
*Der Name der GPO ist doch irrelevant - gemeint war die GPO, die den "Eingeschränkte Gruppen" enthält... etwas übertrieben spitzfindig mMn, aber auch das ist jetzt hoffentlich geklärt ;)
Sie wird immer angewandt. Und der Eintrag erfolgt.
Und der gpresult wurde auch auf den betroffenen Systemen als Mitglied der lokalen Administratoren ausgeführt.
(Anmerkung nochmal: Die "verweigerten User" sind NICHT Mitglied der Gruppe Administratoren - unter keinen Umständen, auch nicht via "Eingeschränkte Gruppe"* - ansonsten wäre es für mich noch logisch nachvollziehbar
Und ebenso sind die betroffenen User auch - in keiner Weise - in den "Eingeschränkten Gruppen" aufgeführt)
*Der Name der GPO ist doch irrelevant - gemeint war die GPO, die den "Eingeschränkte Gruppen" enthält... etwas übertrieben spitzfindig mMn, aber auch das ist jetzt hoffentlich geklärt ;)
Na ja, Du hast diesen Zusammenhang hergestellt. Weil ich da aber Null Zusammenhang sehe, musste ich sichergehen, was Du genau meinst.
Naja, was soll ich sagen !?
Es macht für mich wenig Sinn, aber erst das Deaktivieren der Richtlinie mit den eingeschränkten Gruppen oder ein Force von "lokal anmelden verweigern" macht letzteres im Endresultat wirksam.
Das ist also lediglich ein von mir beobachteter Zusammenhang - eine These, die ich gern widerlegt oder bestätigt hätte; Aber ich fürchte ich werde hier was das betrifft nicht schlauer aus der Sache.
Es macht für mich wenig Sinn, aber erst das Deaktivieren der Richtlinie mit den eingeschränkten Gruppen oder ein Force von "lokal anmelden verweigern" macht letzteres im Endresultat wirksam.
Das ist also lediglich ein von mir beobachteter Zusammenhang - eine These, die ich gern widerlegt oder bestätigt hätte; Aber ich fürchte ich werde hier was das betrifft nicht schlauer aus der Sache.