meowjayjay
Goto Top

GPO soll nicht für Admins greifen

Halli Hallo..

so zweiter Versuch.

Ich versuche eine simple GPO zu erstellen welche nur für User gelten soll. (Terminal-Server)

Es geht um eine Update GPO - Updates sollen nicht von Usern gestartet werden können, nur von Domain-Admins. Somit bin ich über Delegierung und "Verweigern für Dom-Admins"

2022-04-26 14_50_59-window


FYI: Ich habe ausserdem eine Loopback-Policy auf unseren TS-Servern aktiv.

Leider kann nun niemand mehr Updates starten - ich glaube ich sehe den Wald vor lauter Bäumen nicht.

Ich freue mich sehr darüber wer mir meinen Denkfehler aufzeigt!

Merci und liebe Grüße

Anbei die Screens der config.
2022-04-26 14_50_31-window
2022-04-26 14_51_21-window
2022-04-26 14_51_41-window

Content-Key: 2607079673

Url: https://administrator.de/contentid/2607079673

Ausgedruckt am: 28.03.2024 um 08:03 Uhr

Mitglied: Doskias
Doskias 26.04.2022 um 15:23:11 Uhr
Goto Top
Moin,

dein Fehler: Du hast eine Computerkonfiguration hinterlegt, die du auf Benutzerebene einschränken willst. Das funktioniert so nicht.

Du musst die Einstellung entweder als Benutzerkonfiguration hinterlegen oder mit Loopback arbeiten. Letzteres sagst du zwar, dass du es schon aktiviert hast, aber nicht mit welcher Option. Daher die Quizfrage:

1. Wie ist dein Loopback konfiguriert?
2. Was sagt dein GPResult dazu? Wie werden deine GPOs verarbeitet?

Am einfachsten wäre es aber wohl, das ganze als Benutzerrichtlinie zu konfigurieren, ggf. mit WMI Filter nur für die Server.

Gruß
Doskias
Mitglied: MeowJayJay
MeowJayJay 26.04.2022 um 15:28:21 Uhr
Goto Top
Moin! Danke für die Antwort!

Ich hatte es als Benutzer oder Computerconfig beides probiert..

Kann ja dann der Fehler nur noch in "Ersetzen und zusammenfügen" sein?

Ich machs mal als Benutzercfg und schaue nochmal über Loopback drüber face-smile.

Merci!
Mitglied: Doskias
Doskias 26.04.2022 um 15:33:58 Uhr
Goto Top
Zitat von @MeowJayJay:
Moin! Danke für die Antwort!
Ich hatte es als Benutzer oder Computerconfig beides probiert..
beides gleichzeitig oder einmal als Benutzer und einmal als Computer?

Kann ja dann der Fehler nur noch in "Ersetzen und zusammenfügen" sein?
Ja bzw. ggf. auch in der Reihenfolge deiner GPOs. Es ist ja durchaus denkbar, dass du sich widersprechende oder mehrere GPOs hast. Du verbietest ja nur einer GPO das lesen. Wenn du ggf. noch eine weitere GPO hast die zufällig das gleiche macht, dann hast du auch ungewünschte Änderungen. Daher ist das Verweigern der Übernahme der GPO kein Garant dafür, dass der Wert so ist, wie du ihn erwartest. Daher immer mit GPRESULT oder der Richtlinienmodellierung des Ads prüfen was dabei heraus kommt.
Mitglied: MeowJayJay
MeowJayJay 26.04.2022 um 15:46:57 Uhr
Goto Top
Zitat von @Doskias:

Zitat von @MeowJayJay:
Moin! Danke für die Antwort!
Ich hatte es als Benutzer oder Computerconfig beides probiert..
beides gleichzeitig oder einmal als Benutzer und einmal als Computer?
Einmal so, einmal so.


Kann ja dann der Fehler nur noch in "Ersetzen und zusammenfügen" sein?
Ja bzw. ggf. auch in der Reihenfolge deiner GPOs. Es ist ja durchaus denkbar, dass du sich widersprechende oder mehrere GPOs hast. Du verbietest ja nur einer GPO das lesen. Wenn du ggf. noch eine weitere GPO hast die zufällig das gleiche macht, dann hast du auch ungewünschte Änderungen. Daher ist das Verweigern der Übernahme der GPO kein Garant dafür, dass der Wert so ist, wie du ihn erwartest. Daher immer mit GPRESULT oder der Richtlinienmodellierung des Ads prüfen was dabei heraus kommt.


Ich habe dort eine Test-OU (Vererbung deaktiviert) wo nur wenige GPOs drinnen sind.

Die Update GPO steht auch an letzter stelle..

Ich versuche mich morgen nochmal genauer mit dem Thema "Merge & Replace" zu beschäftigen.. und ob vielleicht doch von weiter oben die GPO doch geändert wird.

Richtlinienmodellierung muss ich mir auch im detail mal anschauen, gibt mir heute Kopfweh :D


Danke für die Hilfe erstmal!
Merci & liebe Grüße
Mitglied: Doskias
Doskias 26.04.2022 um 15:54:00 Uhr
Goto Top
Zitat von @MeowJayJay:
Richtlinienmodellierung muss ich mir auch im detail mal anschauen, gibt mir heute Kopfweh :D
Kein Hexenwerk. Es simuliert halt nur ein GPRESULT nach deinen Vorgaben ohne dass du dich am Rechner anmelden musst.
Mitglied: Hubert.N
Hubert.N 26.04.2022 um 15:59:20 Uhr
Goto Top
Moin

Zitat von @MeowJayJay:
Leider kann nun niemand mehr Updates starten - ich glaube ich sehe den Wald vor lauter Bäumen nicht.

Nein... Der Wald steht klar und deutlich vor Dir face-big-smile
Oder anders ausgedrückt: "It's not a bug - it's a feature"

Leider ist es der einzig wirklich effektive Weg Updates zu unterbinden, indem man das in der Computer-Richtlinie abschaltet. Wenn Du das in der Benutzerrichtlinie einstellst, können Deine benutzer leider immer noch auf Updates gehen und installieren. Deshalb nicht zu viele Gedanken um Loopback, Modellierung & Co machen...
(Es sei denn MS hat das im letzten Monat geändert - was ich aber eher bezweifle, weil das seit Server 2016 ein Problem ist...)

Gruß

Gruß
Mitglied: MeowJayJay
MeowJayJay 26.04.2022 um 16:23:03 Uhr
Goto Top
Zitat von @Hubert.N:

Moin

Zitat von @MeowJayJay:
Leider kann nun niemand mehr Updates starten - ich glaube ich sehe den Wald vor lauter Bäumen nicht.

Nein... Der Wald steht klar und deutlich vor Dir face-big-smile
Oder anders ausgedrückt: "It's not a bug - it's a feature"

Leider ist es der einzig wirklich effektive Weg Updates zu unterbinden, indem man das in der Computer-Richtlinie abschaltet. Wenn Du das in der Benutzerrichtlinie einstellst, können Deine benutzer leider immer noch auf Updates gehen und installieren. Deshalb nicht zu viele Gedanken um Loopback, Modellierung & Co machen...
(Es sei denn MS hat das im letzten Monat geändert - was ich aber eher bezweifle, weil das seit Server 2016 ein Problem ist...)

Gruß

Gruß

Ich dachte es macht am meisten Sinn über Loopback zu arbeiten, wenn es sich um Terminal-Server handelt?
Mitglied: Doskias
Doskias 26.04.2022 um 16:30:28 Uhr
Goto Top
Zitat von @MeowJayJay:
Ich dachte es macht am meisten Sinn über Loopback zu arbeiten, wenn es sich um Terminal-Server handelt?

Am meisten Sinn macht es für mich Computereinstellungen mit Computerkonfigurationen zu versorgen und Benutzereinstellungen mit Benutzerkonfigurationen. Du kannst einen Terminalserver auch ohne Loopback betreiben.
Mitglied: DerWoWusste
DerWoWusste 26.04.2022 um 16:44:59 Uhr
Goto Top
Das ist doch ein alter Hut.
Lass den Server nicht im Zustand "Updates bereit zur Installation" stehen, sondern installiere die Updates automatisch. Du solltest ihn nicht im Internet nach Updates suchen lassen, sondern auf deinem WSUS und wenn Du da Updates freigibst, an Tag X um 19 Uhr und der Server ist so eingestellt, dass er alle 3 Stunden nach Updates sucht, dann soll er auch um 23 automatish installieren und neu starten, so ergibt sich dein Problem gar nicht.

Du kannst keine Computerkonfig abhängig vom angemeldeten User aufzwingen, das geht nur andersrum.
Mitglied: em-pie
em-pie 26.04.2022 um 17:33:10 Uhr
Goto Top
Moin,

Bin da bei @dww
Wir haben es genauso: bekommen die Server ihre Updates, werden die sofort installiert. Die Freigabe der Updates steuern wir dann ebenfalls über den WSUS.

Läuft fluffig.
Sensible Server sind in einer eigenen Gruppe innerhalb des WSUS, sodass die Updates kontrolliert installiert werden können.
Mitglied: Hubert.N
Hubert.N 27.04.2022 um 10:18:00 Uhr
Goto Top
Guten Morgen

Zitat von @MeowJayJay:
Ich dachte es macht am meisten Sinn über Loopback zu arbeiten, wenn es sich um Terminal-Server handelt?

Würde ich auch niemals anders sehen. Loopback bedeutet aber doch, dass Benutzerrichtlinien angewendet werden, die eigentlich nur mit der Computer-OU verbunden sind. Das nützt nur nichts, wenn die Einstellung im Benutzerteil der Richtlinien nicht die gewünschte Funktion hat.

Gruß
Mitglied: Doskias
Lösung Doskias 27.04.2022 um 10:45:20 Uhr
Goto Top
Moin

ich persönlich mag den Loopback nicht. Ich mag es, wenn die GPOs sauber konfiguriert sind. Das bedeutet für mich:

Es gibt eine GPO für die Computerkonfiguration, die den Computer steuert.
Es gibt eine GPO für die Benutzerkonfiguration.

Der Sinn von Loopback ist bzw. war, dass Benutzer unterschiedliche Berechtigung bekommt abhängig vom Computer an dem er sich anmeldet.

Siehe: https://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loo ...

Die Probleme des Loopback sind hier sehr schön beschrieben:
https://www.windowspro.de/wolfgang-sommergut/loopback-processing-benutze ....

Fazit von Wolfgang Sommergut:
Insgesamt macht GPO Loopback bei allem Nutzen, den es bei der Lösung bestimmter Probleme haben kann, den Einsatz von Gruppenrichtlinien komplizierter und fehleranfälliger. Wenn man nicht darauf verzichten will, sollte man es zumindest nicht zu großzügig einsetzen.

Und der Meinung bin ich auch. Man braucht sie nicht. In meinen Augen hat ein Benutzer gewisse Rechte in einer Umgebung. Der User soll auf dem TS keine Updates durchführen sollen, dann wird das per GPO gesperrt. Will ich, dass der User auf seinem Clients, die Updates steuern kann? Wenn ja, dann brauch ich keinen WSUS. Wenn nein, dann muss ich auch zwischen unterschiedlichen Systemen nicht trennen.
Habe ich dann doch etwas, was für den Benutzer nur auf bestimmten Geräten greifen sollen, dann finde ich persönlich die Steuerung via WMI-Filter besser geeignet.
Will ich, um beim Beispiel zu bleiben, auf Windows 10 den Usern die Updates erlauben und auf TS-Servern nicht, dann erstelle ich eine GPO die für alle Benutzer die Updates im gesamten Netzwerk verbietet. Dann erstell ich eine GPO, die das Update erlaubt. Die Letze wird erzwungen und per WMI nur auf Windows 10 Rechnern ausgeführt. Folgender Effekt tritt ein:
1. Auf Windows 10 Rechnern kann Updates installiert werden, da GPO erzwungen
2. Auf den TS-Servern kann kein Update installiert werden, da die GPO durch den WMI-Filter nicht ausgeführt wird
3. Punkt 2 gilt für alle Geräte, die nicht im WMI Filter abgefragt werden

Ja der Nachteil dadurch ist, dass ich mehr GPOs habe und auch die Anmeldung durch die WMI-Filter etwas langsamer wird als durch den Loopback, aber Meiner Erfahrung nach ist die Methode stabiler und übersichtlicher.

Gruß
Doskias
Mitglied: MeowJayJay
MeowJayJay 27.04.2022 um 14:35:55 Uhr
Goto Top
Lieber Doskias,

vielen dank für die Mühe die du dir hier gemacht hast um mir das Thema etwas näher und verständlicher zu machen.

Der Artikel hat sehr geholfen!

Ich werde anfangen alles von unten nach oben zu krempeln (alles neu machen) das "Konzept" was meine Vorgänger in der Position hatten war.. ich sage mal etwas "frei gewählt" :D

Mal so, mal so, dann hier mal WMI, da wieder deny , loopback bla bla bla.

Blickt kein Mensch mehr durch und es kommen viele komische Symptome auf.

An der Stelle nochmal vielen Dank für die Mühe! Ich werde deine Tipps beherzigen!

Merci und liebe Grüße
JJ