bovarian
Goto Top

GPO Vererbung deaktivieren

Hallo zusammen,

ich habe folgende Grundaufgabe...
Auf einem bestehendem Terminalserver mit Lockdown per GPO soll es eine zusätliche Gruppe von Usern geben,die
stärker eingeschränkt sein soll als der Rest.
Ich habe also diese Gruppe angelegt und unterhalb des RDServer-OU eine neue OU erstellt, die diese Gruppe enthält.
Die Einstellungen die oberhalb dieser OU gemacht werden (z.B. Netzlaufwerk, IE11, usw.) sollen nicht nach unten vererbt werden.
Die RDLockdown GPO habe ich mir kopiert und als RDLockdown_Mandant weiter unten wieder eingefügt. Diese will ich dann noch verschärfen.

Nun ist es aber leider so, dass ich beim gpresult für den User angezeigt bekomme, dass von oben alles noch übernommen wird.
Hab ich da ein Denkfehler?
Oder gibt es eine elegantere Lösung für das Problem?

Anbei noch ein Screenshot:

cacd0400c139998cb28ffbc76d06b6d6

Vielen Dank!!

Content-Key: 295561

Url: https://administrator.de/contentid/295561

Ausgedruckt am: 05.10.2022 um 12:10 Uhr

Mitglied: Chonta
Chonta 08.02.2016 aktualisiert um 11:47:33 Uhr
Goto Top
Hallo,

Du kannst GPO nach Gruppen Filtern.
Hau die Benutzer auf die nur bestimmte GPO angewendet werden sollen in eine Gruppe und entferne alle aneren Gruppen auser der zutreffenden Gruppe aus der Sicherheitsfilterung der GPO.
Nun werden nur Mitglieder der bestimmten Gruppe diese GPO anwenden, alle anderen nicht.

Gruß

Chonta
Mitglied: emeriks
emeriks 08.02.2016 um 13:35:42 Uhr
Goto Top
Ich habe also diese Gruppe angelegt und unterhalb des RDServer-OU eine neue OU erstellt, die diese Gruppe enthält.
Die Platzierung der Gruppe ist irrelevant.GPO wirken für Benutzer und/oder Computer, nicht für Gruppen.

Die Einstellungen die oberhalb dieser OU gemacht werden (z.B. Netzlaufwerk, IE11, usw.) sollen nicht nach unten vererbt werden.
Wo sind dieses GPO denn bisher verlinkt? An der OU mit den Benutzern, der OU mit den Terminalservern (bei aktiviertem Loopback) oder an einer OU irgendwo oberhalb davon (oder direkt an der Domäne) oder am Standort?

Die RDLockdown GPO habe ich mir kopiert und als RDLockdown_Mandant weiter unten wieder eingefügt. Diese will ich dann noch verschärfen.
Nun ist es aber leider so, dass ich beim gpresult für den User angezeigt bekomme, dass von oben alles noch übernommen wird.
Hab ich da ein Denkfehler?
Wenn die GPO über die Benutzer gefiltert wird (ohne Loopback), dann könntest Du die Benutzer nach GPO trennen.
Oder Du erstellst auch für die bisherigen GPO's eine Gruppe, in welcher die Ausnahme-Benutzer nicht sind. Für diese Gruppe filterst Du die bisherigen GPO. Mit der neuen Gruppe für die Ausnahme-Benutzer filterst Du die GPO mit den neuen Einstellungen.

E.
Mitglied: Bovarian
Bovarian 08.02.2016 um 14:46:13 Uhr
Goto Top
Hallo Emeriks,

Wo sind dieses GPO denn bisher verlinkt? An der OU mit den Benutzern, der OU mit den Terminalservern (bei aktiviertem Loopback) oder an einer OU irgendwo oberhalb davon (oder direkt an der Domäne) oder am Standort?

Die GPO´s sind an der OU mit dem TS verlinkt (Loopback aktiviert; Ersetzten).
Aber warum bricht die Vererbung nicht ab? Dann wäre mein Problem ja gelöst....

Bodo
Mitglied: emeriks
emeriks 08.02.2016 um 20:20:33 Uhr
Goto Top
Also etwa so:
  • OU Benutzer
    • Benutzer1
    • Benutzer2
    • Benutzer3
  • OU Terminalserver
    • Server1
    • Server2
    • OU "mit Gruppe"
      • Gruppe Ausnahme

Benutzer erben die GPO, weil diese an OU Terminalserver mit Loopback hängt und sie sich an einem Server anmelden, der in dieser OU ist. Wenn an OU "mit Gruppe" die GPO "Ausnahme" verlinkt ist, aber keine Server in der OU sind, an welche sich die Benutzer anmelden, warum sollte dann ein Benutzer bei Anmeldung an einem Server diese GPO erben?
Häng die neue GPO auch an OU Terminalserver und filtere die alte GPO und die neue GPO so, dass sie jeweils nur für bestimmte Benutzer gelten, am besten indem Du diese Benutzer zu Gruppen zusammenfassts und darüber die GPO's filterst (Sicherheitsfilterung).

E.