Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

GPO Vererbung deaktivieren

Mitglied: Bovarian

Bovarian (Level 1) - Jetzt verbinden

08.02.2016, aktualisiert 11:47 Uhr, 1131 Aufrufe, 4 Kommentare

Hallo zusammen,

ich habe folgende Grundaufgabe...
Auf einem bestehendem Terminalserver mit Lockdown per GPO soll es eine zusätliche Gruppe von Usern geben,die
stärker eingeschränkt sein soll als der Rest.
Ich habe also diese Gruppe angelegt und unterhalb des RDServer-OU eine neue OU erstellt, die diese Gruppe enthält.
Die Einstellungen die oberhalb dieser OU gemacht werden (z.B. Netzlaufwerk, IE11, usw.) sollen nicht nach unten vererbt werden.
Die RDLockdown GPO habe ich mir kopiert und als RDLockdown_Mandant weiter unten wieder eingefügt. Diese will ich dann noch verschärfen.

Nun ist es aber leider so, dass ich beim gpresult für den User angezeigt bekomme, dass von oben alles noch übernommen wird.
Hab ich da ein Denkfehler?
Oder gibt es eine elegantere Lösung für das Problem?

Anbei noch ein Screenshot:

cacd0400c139998cb28ffbc76d06b6d6 - Klicke auf das Bild, um es zu vergrößern

Vielen Dank!!
Mitglied: Chonta
08.02.2016, aktualisiert um 11:47 Uhr
Hallo,

Du kannst GPO nach Gruppen Filtern.
Hau die Benutzer auf die nur bestimmte GPO angewendet werden sollen in eine Gruppe und entferne alle aneren Gruppen auser der zutreffenden Gruppe aus der Sicherheitsfilterung der GPO.
Nun werden nur Mitglieder der bestimmten Gruppe diese GPO anwenden, alle anderen nicht.

Gruß

Chonta
Bitte warten ..
Mitglied: emeriks
08.02.2016 um 13:35 Uhr
Ich habe also diese Gruppe angelegt und unterhalb des RDServer-OU eine neue OU erstellt, die diese Gruppe enthält.
Die Platzierung der Gruppe ist irrelevant.GPO wirken für Benutzer und/oder Computer, nicht für Gruppen.

Die Einstellungen die oberhalb dieser OU gemacht werden (z.B. Netzlaufwerk, IE11, usw.) sollen nicht nach unten vererbt werden.
Wo sind dieses GPO denn bisher verlinkt? An der OU mit den Benutzern, der OU mit den Terminalservern (bei aktiviertem Loopback) oder an einer OU irgendwo oberhalb davon (oder direkt an der Domäne) oder am Standort?

Die RDLockdown GPO habe ich mir kopiert und als RDLockdown_Mandant weiter unten wieder eingefügt. Diese will ich dann noch verschärfen.
Nun ist es aber leider so, dass ich beim gpresult für den User angezeigt bekomme, dass von oben alles noch übernommen wird.
Hab ich da ein Denkfehler?
Wenn die GPO über die Benutzer gefiltert wird (ohne Loopback), dann könntest Du die Benutzer nach GPO trennen.
Oder Du erstellst auch für die bisherigen GPO's eine Gruppe, in welcher die Ausnahme-Benutzer nicht sind. Für diese Gruppe filterst Du die bisherigen GPO. Mit der neuen Gruppe für die Ausnahme-Benutzer filterst Du die GPO mit den neuen Einstellungen.

E.
Bitte warten ..
Mitglied: Bovarian
08.02.2016 um 14:46 Uhr
Hallo Emeriks,

Wo sind dieses GPO denn bisher verlinkt? An der OU mit den Benutzern, der OU mit den Terminalservern (bei aktiviertem Loopback) oder an einer OU irgendwo oberhalb davon (oder direkt an der Domäne) oder am Standort?

Die GPO´s sind an der OU mit dem TS verlinkt (Loopback aktiviert; Ersetzten).
Aber warum bricht die Vererbung nicht ab? Dann wäre mein Problem ja gelöst....

Bodo
Bitte warten ..
Mitglied: emeriks
08.02.2016 um 20:20 Uhr
Also etwa so:
  • OU Benutzer
    • Benutzer1
    • Benutzer2
    • Benutzer3
  • OU Terminalserver
    • Server1
    • Server2
    • OU "mit Gruppe"
      • Gruppe Ausnahme

Benutzer erben die GPO, weil diese an OU Terminalserver mit Loopback hängt und sie sich an einem Server anmelden, der in dieser OU ist. Wenn an OU "mit Gruppe" die GPO "Ausnahme" verlinkt ist, aber keine Server in der OU sind, an welche sich die Benutzer anmelden, warum sollte dann ein Benutzer bei Anmeldung an einem Server diese GPO erben?
Häng die neue GPO auch an OU Terminalserver und filtere die alte GPO und die neue GPO so, dass sie jeweils nur für bestimmte Benutzer gelten, am besten indem Du diese Benutzer zu Gruppen zusammenfassts und darüber die GPO's filterst (Sicherheitsfilterung).

E.
Bitte warten ..
Ähnliche Inhalte
Windows Server
WSUS GPO Vererbung
gelöst Frage von 77282Windows Server10 Kommentare

Hallo zusammen, mal eine Frage: Ein Kunde hat in der Default Domain Policy den WSUS Teil folgender maßen konfiguriert: ...

Microsoft
NTFS Berechtigungen - Vererbung
gelöst Frage von BierkastenMicrosoft11 Kommentare

Hallo liebe Community, so langsam bin ich echt ratlos mit dem Vergeben von Berechtigungen. Deswegen Frage an euch liebe ...

Windows Server

Site-GPO auf OU anwenden, bei der die Vererbung deaktiviert ist?!

gelöst Frage von mexx991Windows Server3 Kommentare

Hallo zusammen, ich stehe vor folgendem Problem: Wir weisen unseren Clients am Standort A den jeweiligen WSUS-Server an Standort ...

Windows Server

NTFS Sicherheitseinstellungen und Vererbung

Frage von Xaero1982Windows Server16 Kommentare

Nabend Zusammen, ich hab da nen komisches Problem. OS: Server 2008 Ich habe einen Ordner freigegeben und die NTFS ...

Neue Wissensbeiträge
Humor (lol)

"Linux und 5 Gründe Warum man kein Windows verwenden sollte sondern Ubuntu Linux"

Tipp von Snowbird vor 9 StundenHumor (lol)8 Kommentare

Gerade gefunden. Ja, ist etwas älter, aber irgendwie lustig?

Humor (lol)

"Warum Linux in einer vernetzten Welt einfach keinen Komfort bietet!"

Tipp von Snowbird vor 1 TagHumor (lol)13 Kommentare

Ein interessanter Einblick warum Linux nichts für Geräteübergreifende Arbeit ist :)

Humor (lol)
Zuviel Speicher ist ungesund. :-)
Tipp von Lochkartenstanzer vor 1 TagHumor (lol)14 Kommentare

Moin Kollegen, Heute hatte ich ein ungewöhnliches Aha-Erlebnis: Über das Wochenende habe ich einen einen 6 Jahre alten Bare-Metal ...

Windows Update

KB4517297 verfügbar, behebt Fehler in VB6 VBA VBScript

Information von sabines vor 1 TagWindows Update

Das Update behebt mögliche Fehler in VB6, VBA und VBScript, die durch das Update KB4512486 vom August entstanden sind. ...

Heiß diskutierte Inhalte
Router & Routing
Deinstalliertes Geräte wird in FritzBox noch immer als verbundenes Gerät angezeigt
gelöst Frage von imebroRouter & Routing18 Kommentare

Hallo, in meiner FritzBox 7490 wird im Bereich "Funknetz" ein Gereät bei den verbundenen Geräten angezeigt, wobei ich nicht ...

Batch & Shell
PowerShell - Text an HTMLbody übergeben mit UTF-8 Kodierung
Frage von Pat.batBatch & Shell14 Kommentare

Hallo zusammen, ich stoße momentan auf folgendes Problem. Ich möchte mit meinem Skript E-Mails versenden. Text und Signatur samt ...

Sonstige Systeme
Ist es möglich ein ISDN-Telefon an einen analogen Anschluss anzuschließen?
Frage von cramtroniSonstige Systeme14 Kommentare

Also anders herum geht es ja, da gibt es ja diese Adapter von RJ11 auf TAE-F, aber gibt es ...

Humor (lol)
Zuviel Speicher ist ungesund. :-)
Tipp von LochkartenstanzerHumor (lol)14 Kommentare

Moin Kollegen, Heute hatte ich ein ungewöhnliches Aha-Erlebnis: Über das Wochenende habe ich einen einen 6 Jahre alten Bare-Metal ...