4
GPO Vererbung deaktivieren
Hallo zusammen,
ich habe folgende Grundaufgabe...
Auf einem bestehendem Terminalserver mit Lockdown per GPO soll es eine zusätliche Gruppe von Usern geben,die
stärker eingeschränkt sein soll als der Rest.
Ich habe also diese Gruppe angelegt und unterhalb des RDServer-OU eine neue OU erstellt, die diese Gruppe enthält.
Die Einstellungen die oberhalb dieser OU gemacht werden (z.B. Netzlaufwerk, IE11, usw.) sollen nicht nach unten vererbt werden.
Die RDLockdown GPO habe ich mir kopiert und als RDLockdown_Mandant weiter unten wieder eingefügt. Diese will ich dann noch verschärfen.
Nun ist es aber leider so, dass ich beim gpresult für den User angezeigt bekomme, dass von oben alles noch übernommen wird.
Hab ich da ein Denkfehler?
Oder gibt es eine elegantere Lösung für das Problem?
Anbei noch ein Screenshot:
Vielen Dank!!
ich habe folgende Grundaufgabe...
Auf einem bestehendem Terminalserver mit Lockdown per GPO soll es eine zusätliche Gruppe von Usern geben,die
stärker eingeschränkt sein soll als der Rest.
Ich habe also diese Gruppe angelegt und unterhalb des RDServer-OU eine neue OU erstellt, die diese Gruppe enthält.
Die Einstellungen die oberhalb dieser OU gemacht werden (z.B. Netzlaufwerk, IE11, usw.) sollen nicht nach unten vererbt werden.
Die RDLockdown GPO habe ich mir kopiert und als RDLockdown_Mandant weiter unten wieder eingefügt. Diese will ich dann noch verschärfen.
Nun ist es aber leider so, dass ich beim gpresult für den User angezeigt bekomme, dass von oben alles noch übernommen wird.
Hab ich da ein Denkfehler?
Oder gibt es eine elegantere Lösung für das Problem?
Anbei noch ein Screenshot:
Vielen Dank!!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 295561
Url: https://administrator.de/contentid/295561
Ausgedruckt am: 22.11.2024 um 20:11 Uhr
4 Kommentare
Neuester Kommentar
Hallo,
Du kannst GPO nach Gruppen Filtern.
Hau die Benutzer auf die nur bestimmte GPO angewendet werden sollen in eine Gruppe und entferne alle aneren Gruppen auser der zutreffenden Gruppe aus der Sicherheitsfilterung der GPO.
Nun werden nur Mitglieder der bestimmten Gruppe diese GPO anwenden, alle anderen nicht.
Gruß
Chonta
Du kannst GPO nach Gruppen Filtern.
Hau die Benutzer auf die nur bestimmte GPO angewendet werden sollen in eine Gruppe und entferne alle aneren Gruppen auser der zutreffenden Gruppe aus der Sicherheitsfilterung der GPO.
Nun werden nur Mitglieder der bestimmten Gruppe diese GPO anwenden, alle anderen nicht.
Gruß
Chonta
Ich habe also diese Gruppe angelegt und unterhalb des RDServer-OU eine neue OU erstellt, die diese Gruppe enthält.
Die Platzierung der Gruppe ist irrelevant.GPO wirken für Benutzer und/oder Computer, nicht für Gruppen.Die Einstellungen die oberhalb dieser OU gemacht werden (z.B. Netzlaufwerk, IE11, usw.) sollen nicht nach unten vererbt werden.
Wo sind dieses GPO denn bisher verlinkt? An der OU mit den Benutzern, der OU mit den Terminalservern (bei aktiviertem Loopback) oder an einer OU irgendwo oberhalb davon (oder direkt an der Domäne) oder am Standort?Die RDLockdown GPO habe ich mir kopiert und als RDLockdown_Mandant weiter unten wieder eingefügt. Diese will ich dann noch verschärfen.
Nun ist es aber leider so, dass ich beim gpresult für den User angezeigt bekomme, dass von oben alles noch übernommen wird.
Hab ich da ein Denkfehler?
Wenn die GPO über die Benutzer gefiltert wird (ohne Loopback), dann könntest Du die Benutzer nach GPO trennen.Nun ist es aber leider so, dass ich beim gpresult für den User angezeigt bekomme, dass von oben alles noch übernommen wird.
Hab ich da ein Denkfehler?
Oder Du erstellst auch für die bisherigen GPO's eine Gruppe, in welcher die Ausnahme-Benutzer nicht sind. Für diese Gruppe filterst Du die bisherigen GPO. Mit der neuen Gruppe für die Ausnahme-Benutzer filterst Du die GPO mit den neuen Einstellungen.
E.
Hallo Emeriks,
Wo sind dieses GPO denn bisher verlinkt? An der OU mit den Benutzern, der OU mit den Terminalservern (bei aktiviertem Loopback) oder an einer OU irgendwo oberhalb davon (oder direkt an der Domäne) oder am Standort?
Die GPO´s sind an der OU mit dem TS verlinkt (Loopback aktiviert; Ersetzten).
Aber warum bricht die Vererbung nicht ab? Dann wäre mein Problem ja gelöst....
Bodo
Wo sind dieses GPO denn bisher verlinkt? An der OU mit den Benutzern, der OU mit den Terminalservern (bei aktiviertem Loopback) oder an einer OU irgendwo oberhalb davon (oder direkt an der Domäne) oder am Standort?
Die GPO´s sind an der OU mit dem TS verlinkt (Loopback aktiviert; Ersetzten).
Aber warum bricht die Vererbung nicht ab? Dann wäre mein Problem ja gelöst....
Bodo
Also etwa so:
Benutzer erben die GPO, weil diese an OU Terminalserver mit Loopback hängt und sie sich an einem Server anmelden, der in dieser OU ist. Wenn an OU "mit Gruppe" die GPO "Ausnahme" verlinkt ist, aber keine Server in der OU sind, an welche sich die Benutzer anmelden, warum sollte dann ein Benutzer bei Anmeldung an einem Server diese GPO erben?
Häng die neue GPO auch an OU Terminalserver und filtere die alte GPO und die neue GPO so, dass sie jeweils nur für bestimmte Benutzer gelten, am besten indem Du diese Benutzer zu Gruppen zusammenfassts und darüber die GPO's filterst (Sicherheitsfilterung).
E.
- OU Benutzer
- Benutzer1
- Benutzer2
- Benutzer3
- OU Terminalserver
- Server1
- Server2
- OU "mit Gruppe"
- Gruppe Ausnahme
Benutzer erben die GPO, weil diese an OU Terminalserver mit Loopback hängt und sie sich an einem Server anmelden, der in dieser OU ist. Wenn an OU "mit Gruppe" die GPO "Ausnahme" verlinkt ist, aber keine Server in der OU sind, an welche sich die Benutzer anmelden, warum sollte dann ein Benutzer bei Anmeldung an einem Server diese GPO erben?
Häng die neue GPO auch an OU Terminalserver und filtere die alte GPO und die neue GPO so, dass sie jeweils nur für bestimmte Benutzer gelten, am besten indem Du diese Benutzer zu Gruppen zusammenfassts und darüber die GPO's filterst (Sicherheitsfilterung).
E.
