GPO Vererbung deaktivieren

Mitglied: Bovarian

Bovarian (Level 1) - Jetzt verbinden

08.02.2016, aktualisiert 11:47 Uhr, 2397 Aufrufe, 4 Kommentare

Hallo zusammen,

ich habe folgende Grundaufgabe...
Auf einem bestehendem Terminalserver mit Lockdown per GPO soll es eine zusätliche Gruppe von Usern geben,die
stärker eingeschränkt sein soll als der Rest.
Ich habe also diese Gruppe angelegt und unterhalb des RDServer-OU eine neue OU erstellt, die diese Gruppe enthält.
Die Einstellungen die oberhalb dieser OU gemacht werden (z.B. Netzlaufwerk, IE11, usw.) sollen nicht nach unten vererbt werden.
Die RDLockdown GPO habe ich mir kopiert und als RDLockdown_Mandant weiter unten wieder eingefügt. Diese will ich dann noch verschärfen.

Nun ist es aber leider so, dass ich beim gpresult für den User angezeigt bekomme, dass von oben alles noch übernommen wird.
Hab ich da ein Denkfehler?
Oder gibt es eine elegantere Lösung für das Problem?

Anbei noch ein Screenshot:

cacd0400c139998cb28ffbc76d06b6d6 - Klicke auf das Bild, um es zu vergrößern

Vielen Dank!!
Mitglied: Chonta
08.02.2016, aktualisiert um 11:47 Uhr
Hallo,

Du kannst GPO nach Gruppen Filtern.
Hau die Benutzer auf die nur bestimmte GPO angewendet werden sollen in eine Gruppe und entferne alle aneren Gruppen auser der zutreffenden Gruppe aus der Sicherheitsfilterung der GPO.
Nun werden nur Mitglieder der bestimmten Gruppe diese GPO anwenden, alle anderen nicht.

Gruß

Chonta
Bitte warten ..
Mitglied: emeriks
08.02.2016 um 13:35 Uhr
Ich habe also diese Gruppe angelegt und unterhalb des RDServer-OU eine neue OU erstellt, die diese Gruppe enthält.
Die Platzierung der Gruppe ist irrelevant.GPO wirken für Benutzer und/oder Computer, nicht für Gruppen.

Die Einstellungen die oberhalb dieser OU gemacht werden (z.B. Netzlaufwerk, IE11, usw.) sollen nicht nach unten vererbt werden.
Wo sind dieses GPO denn bisher verlinkt? An der OU mit den Benutzern, der OU mit den Terminalservern (bei aktiviertem Loopback) oder an einer OU irgendwo oberhalb davon (oder direkt an der Domäne) oder am Standort?

Die RDLockdown GPO habe ich mir kopiert und als RDLockdown_Mandant weiter unten wieder eingefügt. Diese will ich dann noch verschärfen.
Nun ist es aber leider so, dass ich beim gpresult für den User angezeigt bekomme, dass von oben alles noch übernommen wird.
Hab ich da ein Denkfehler?
Wenn die GPO über die Benutzer gefiltert wird (ohne Loopback), dann könntest Du die Benutzer nach GPO trennen.
Oder Du erstellst auch für die bisherigen GPO's eine Gruppe, in welcher die Ausnahme-Benutzer nicht sind. Für diese Gruppe filterst Du die bisherigen GPO. Mit der neuen Gruppe für die Ausnahme-Benutzer filterst Du die GPO mit den neuen Einstellungen.

E.
Bitte warten ..
Mitglied: Bovarian
08.02.2016 um 14:46 Uhr
Hallo Emeriks,

Wo sind dieses GPO denn bisher verlinkt? An der OU mit den Benutzern, der OU mit den Terminalservern (bei aktiviertem Loopback) oder an einer OU irgendwo oberhalb davon (oder direkt an der Domäne) oder am Standort?

Die GPO´s sind an der OU mit dem TS verlinkt (Loopback aktiviert; Ersetzten).
Aber warum bricht die Vererbung nicht ab? Dann wäre mein Problem ja gelöst....

Bodo
Bitte warten ..
Mitglied: emeriks
08.02.2016 um 20:20 Uhr
Also etwa so:
  • OU Benutzer
    • Benutzer1
    • Benutzer2
    • Benutzer3
  • OU Terminalserver
    • Server1
    • Server2
    • OU "mit Gruppe"
      • Gruppe Ausnahme

Benutzer erben die GPO, weil diese an OU Terminalserver mit Loopback hängt und sie sich an einem Server anmelden, der in dieser OU ist. Wenn an OU "mit Gruppe" die GPO "Ausnahme" verlinkt ist, aber keine Server in der OU sind, an welche sich die Benutzer anmelden, warum sollte dann ein Benutzer bei Anmeldung an einem Server diese GPO erben?
Häng die neue GPO auch an OU Terminalserver und filtere die alte GPO und die neue GPO so, dass sie jeweils nur für bestimmte Benutzer gelten, am besten indem Du diese Benutzer zu Gruppen zusammenfassts und darüber die GPO's filterst (Sicherheitsfilterung).

E.
Bitte warten ..
Heiß diskutierte Inhalte
Netzwerke
PFSense und Transferprobleme
Xaero1982Vor 1 TagFrageNetzwerke26 Kommentare

Moin Zusammen, leidiges Thema PFSense - ich hab mich mal wieder ran gewagt. Ich hab hier so ein paar VLANs laufen und nen ESX. ...

Router & Routing
FB und Archer 2 getrennte Netze mit einer WAN-Verbindung
neuhier14Vor 1 TagFrageRouter & Routing26 Kommentare

Hallo, ich habe eine Fritzbox 7490 und einen Archer C5 mit OpenWRT. Die Fritzbox ist mein Hauptrouter. Ich würde daneben gerne ein komplett getrenntes ...

Linux
Bootable Win7 stick from Raspberry commandline
winlinVor 1 TagFrageLinux12 Kommentare

Hallo zusammen Ich benötige einen bootfähigen Win7 USB Stick. Muss diesen über meine Raspberry erstellen. Was ist die beste Variante habe schon ein paar ...

Windows Server
Kein Netzwerkzugriff auf Windows Server 2019?
Henk86Vor 1 TagFrageWindows Server8 Kommentare

Ich habe mir einen neuen "Heimserver" mit Windows Server 2019 (evaluation vorerst) aufgesetzt. Gestern habe ich von meinem Hauptrechner einige Daten auf den Server ...

Exchange Server
Postfach für öffentliche Ordner ist voll
gelöst Tommy525600Vor 1 TagFrageExchange Server6 Kommentare

Hallo an alle, ich habe folgendes Problem: Mein primäres Postfach für öffentliche Ordner ist voll (99,58 GB) (und ja, ich kann auch nix dafür). ...

Netzwerke
Verständnisfrage pfSense mit Fritzbox, VLAN und Switch
newbie1Vor 1 TagFrageNetzwerke10 Kommentare

Hallo, ich bin kurz davor mir eine pfSense einzurichten via ISO-Image auf einem alten PC. Vorhaben: Fritzbox -> pfSense -> Switch -> Endgeräte Was ...

Windows Server
Problem bei Windows 10 Deployment mit MDT
gelöst neophyte2021Vor 1 TagFrageWindows Server7 Kommentare

Hallo, ich habe folgendes Problem, ich habe in einem Artikel auf englisch gelesen, das wenn man mit dem MDT Windows 10 ausrollen will und ...

Off Topic
Bewerbungsfragen FISI
IT-ProVor 14 StundenFrageOff Topic12 Kommentare

Hi, Ja, der Titel mag etwas komisch klingen. Aber das wird sich in den folgenden Zeilen hoffentlich lösen. Ich habe mich hier gerade durch ...