Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Per GPO Logoff als default bei Server

Mitglied: stingray79ch

stingray79ch (Level 1) - Jetzt verbinden

04.02.2014 um 12:33 Uhr, 1602 Aufrufe, 8 Kommentare

Hallo Zusammen

Ich möchte auf unseren Servern es so einstellen, dass wenn sich die Admins Anmelden, dass als Standard nicht Herunterfahren im Startmenü kommt, sondern das "Abmelden" im Start Menü kommt.

Ich habe die GPO erstellt unter: Benutzerkonfiguration - Richtlinien - Administrative Vorlagen - Startmenü und Taskleiste - Ein-/Aus-Schalter im Startmenü ändern

angepasst. Nun ist dies eine Benutzerkonfiguration , ich möchte aber diese Einstellung nur auf der OU anwenden wo die Server drin stehen. Die Admins sollen diese GPO nur auf dem Server erhalten nicht aber, wenn Sie sich an einem PC Anmelden.

Wie kann ich dies bewerkstelligen?

Besten dank schon im Voraus für eure Hilfe.

LG
Stingray79CH

Mitglied: colinardo
04.02.2014, aktualisiert um 13:10 Uhr
Hallo stingray79ch,
dafür gibt es den Loopbackverarbeitungsmodus - Loopback Processing Mode der Richtlinien.
Computerkonfiguration > Administrative Vorlagen > System > Gruppenrichtlinien > Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie
Grüße Uwe
Bitte warten ..
Mitglied: MasterBlaster88
04.02.2014 um 15:03 Uhr
Sicher bin ich mir nicht aber...

mach doch eine OU nur für die Server und eine in der die PCs drinne sind.
und dann machste die Gruppenrichtlinie auf die Server-OU. Dann haste das Problem doch nicht oder?
Bitte warten ..
Mitglied: DerWoWusste
04.02.2014 um 16:36 Uhr
Hi.

Weiterer Weg: erstelle am Server eine MLGPO, die nur an die Admins gerichtet ist.
Bitte warten ..
Mitglied: emeriks
04.02.2014 um 18:31 Uhr
Also MLGPO in Domänenumgebung würde ich nicht wählen.
Wie colinardo schon schreibt: Loopback-Modus.

Du musst für die Server(!) eine GPO schreiben, die für diese den Loopback-Modus aktiviert:
- entweder "ersetzen", dann gelten für den Benutzer bei Anmeldung an diese Server nur GPOs, die er über den Pfad des Computer-Objekts erbt.
- oder "zusammenführen", dann gelten bei Anmeldung an diese Server alle GPO, welche der Benutzer über den Pfad seines eigenen Objekts erbt als auch jene, welche er über den Pfad des Computer-Objekts erbt

Also wenn Du für die Server den Loopback-Modus aktiviert hast (gpupdate nicht vergessen, oder booten), dann kannst Du an der OU mit den Servern(!) GPO mit Benutzereinstellungen hängen, die für die Admins(!) gelten sollen.

Pass aber bitte auf, wenn Du den Loopback-Modus das erste Mal benutzt. Teste das erstmal mit nur einem Computer. Egal ob Server oder Workstation. Besonders dann, wenn die Admins servergespeicherte Profile haben. Man kann sich da viel versauen.

E.
Bitte warten ..
Mitglied: DerWoWusste
04.02.2014, aktualisiert um 19:46 Uhr
emeriks, moin.
Gib mal kurz an, welche Nachteil Du siehst. Überlege bitte, dass Loopback für alle GPOs auf dem TS zieht - evtl. keineswegs wünschenswert. Deshalb mein Vorschlag.
Bitte warten ..
Mitglied: emeriks
04.02.2014 um 18:59 Uhr
Mahlzeit!
MLGPO sind nur "aufgebohrte" Local Policies. Der einzige Vorteil, den ich gegenüber den einfachen Local Policies sehe, ist die Tatsache, dass es nicht nur eine für alle Benutzer des Computers gibt sondern je eine für Admins und Nicht-Admins.
Und soweit ich weiß, kann man da nicht alles einstellen, was man mit Domänen-GPO einstellen kann.

Ich weiß nun nicht, von wieviel Servern wir hier überhaupt reden, aber wenn ich bei uns auf jedem einzelnen Server solche Policies, welche nur auf diesen Servern gelten sollen, pflegen müsste, dann könnte ich einpacken. Warum sollte ich das auf jedem Server einzeln machen, wenn ich es doch zentral erledigen kann?

Aber Dein Hinweis für "alle GPO's" ist richtig.

@stingray79ch
Wenn Du das mit dem Loopback machst, und sicher gehen willst, dass Benutzer bei Anmeldung an diesen Servern nur GPO bekommen, die explizit für Anmeldung an diesen Servern gedacht sind, dann musst Du sicherstellen, dass keine unerwünschten GPO's "von oben" geerbt werden. Höchstwahrscheinlich musst Du dann an der OU mit den Servern die GPO-Vererbung ausschalten.

E.
Bitte warten ..
Mitglied: DerWoWusste
04.02.2014, aktualisiert um 19:45 Uhr
Wenn ich davon ausgehe, dass man die Richtlinien, die man für Benutzer der Domäne einstellt, auch am TS gelten lassen will, dann ist es doch undenkbar, Loopback zu verwenden, denn dann müsste man diese gewünschten, aber nun blockierten Richtlinien ja ALLE am Server nachbauen, DAS macht nun wirklich weit mehr Arbeit.

MLGPO ist angebracht hier, ohne jeden Zweifel.
Und soweit ich weiß, kann man da nicht alles einstellen, was man mit Domänen-GPO einstellen kann
Fast alles. Eben wie bei gpedit.msc üblich. Keine Softwareverteilungspolicy, keine Druckerverteilung und ein paar andere Dinge, die hier definitive keine Rolle spielen.
sondern je eine für Admins und Nicht-Admins
Es geht darüber hinaus, man kann einzelne Nutzer und auch Gruppen als Empfänger einsetzen.

Nebenbei: Sollte man wirklich in die Verlegenheit kommen, dass auf mehreren (Hunderten?) Servern per MLGPO regeln zu müssen, kann man das auch deployen: http://www.verboon.info/tag/gpopack-wsf/
Bitte warten ..
Mitglied: emeriks
04.02.2014 um 20:13 Uhr
Letzten Endes wohl Geschmackssache und Frage des Konzepts.
Im konkreten Fall geht es wohl nicht speziell um TS, vermute ich.

Aber auch wenn TS:
Wir trennen bei uns strikt zwischen GPO für PC und solchen für TS.
Eine GPO, die dann doch mal für beide Umgebungen gelten sollte, liegt dann in der Hoheit der TS-Admins und wird eben zweimal (oder mehrmals) verlinkt. Dieselbe GPO. Wo ist da das Problem?
Und das funktioniert tatsächlich auch bei hunderten von TS ohne großen Aufwand. Wir haben ein paar hundert davon, in mehreren Gruppen für verschiedene Kunden. Es gibt GPO für alle TS (die Benutzer von denen) und welche nur für bestimmte TS. Und die Benutzer haben GPO nur für Anmeldung am Computer. Und dann noch die GPO's für Admins. Die Server werden dann entsprechend hirachisch in OUs gelegt und die GPO's verlinkt. Geht prima.

Bei uns wird jeder Admin gelyncht, der ohne Not lokale Sonderlocken strickt.

E.

Edit:
Fairerweise sei gesagt: Local Policies haben den Vorteil, dass die Verarbeitung schneller ist, als bei Domänen GPO. Wenn es bei der Anmeldung auf Sekunden ankommt, dann könnte das - punktuell - ein Ansatz sein.
Bitte warten ..
Ähnliche Inhalte
Windows Server
Default Domain Policy GPO
Frage von M.MarzWindows Server4 Kommentare

Hallo zusammen, im W2012 R2 ist diese o. g. Gruppenrichtlinie ganz oben aufgelistet. Bedeutet es, dass jede GPO die ...

Windows Server

Empfehlungen für eine Default GPO W2K!2

gelöst Frage von winlinWindows Server5 Kommentare

Hallo, gibt es irgendwo einen brauchbaren Link wo es Empfehlungen gibt, was in einer default GPO für einen Windows ...

Windows 7

Roaming Profil Forced Logoff deaktivieren

Frage von adminstWindows 71 Kommentar

Hallo zusammen Wir haben bei uns das Roaming Profile auf 40MB Beschränkt. Bei Personen welche mehr als das Kontingent ...

Windows Userverwaltung

Roaming Profil Auto logoff

gelöst Frage von net2010Windows Userverwaltung15 Kommentare

Hallo, ich hätte einmal eine bzw. zwei Fragen: 1) Gibt es eine Möglichkeit, einen User, welcher ein Roaming Profil ...

Neue Wissensbeiträge
Datenschutz

SiSyPHuS Win10: Analyse der Telemetriekomponenten in Windows 10

Tipp von freesolo vor 1 TagDatenschutz1 Kommentar

Alle die sich detailliert für die Datensammlung interessieren die unter Windows 10 stattfindet, sollten sich folgende Analyse des BSI ...

Sicherheit
Adminrechte dank Intel-Grafikkarte
Information von DerWoWusste vor 1 TagSicherheit1 Kommentar

ist das Advisory, welches beschreibt, welche Intel HD Graphics Modelle Sicherheitslücken haben, mit denen sich schwache Nutzer zu Admins ...

Internet

EU Urheberrechtsreform: Eingriff in die Internetkultur

Information von Frank vor 2 TagenInternet1 Kommentar

Liebe Besucherin, lieber Besucher, warum erscheint das obere Banner in allen Beiträgen? Aus Protest gegen Teile der geplanten EU-Urheberrechtsreform ...

Windows Server
Windows Backup - FilterManager Event 3
Tipp von NixVerstehen vor 3 TagenWindows Server

Hallo zusammen, ich bin kein gelernter ITler und auch beruflich nicht in dem Feld tätig. Wir setzen in unserem ...

Heiß diskutierte Inhalte
Microsoft Office
Sharepoint 2016 mag keine Umlaute in .docx-Titeln
gelöst Frage von DerWoWussteMicrosoft Office14 Kommentare

Moin Kollegen. Nutzt hier jemand Sharepoint? Könnt Ihr, unabhängig von der Sharepointversion, bitte einen Test machen? Ladet ein .docx ...

Basic
VBS soll alle Ordner auswählen, die im Startmenu angezeigt werden
Frage von Senseless-CreatureBasic12 Kommentare

Guten Morgen - gibt es eine Möglichkeit, per VBS das Startmenu in Win10 zu modifizieren? Ich beherrsche VBS mittlerweile ...

Virtualisierung
Physikalischen Linux-Rechner (Debian) in VM umziehen
Frage von fbronkoVirtualisierung10 Kommentare

Moin, ich möchte zu Testzwecken einen physikalisch vorhandenen Linux-Rechner auf Debian-Basis in eine VM umziehen. Ich habe mittlerweile schon ...

Video & Streaming
GO PRO 7 Black 4K 60 FPS MP4 HEVC(H.265) Codier Probleme
gelöst Frage von REN0XXVideo & Streaming10 Kommentare

Mahlzeit, ich habe mir Letztens Die GoPro Hero Black 7 gekauft, da diese nun auch 4K und 60FPS unterstützt ...