thaefliger
Goto Top

GroupPolicy Sicherheitsfilterung

Guten Tag zusammen

ich zerraufe mir gerade die Haare an einer Gruppenrichtlinie...

Ich möchte mit einer Gruppenrichtlinie das Ausführen von Makros in den Office-Anwendungen verbieten.
(https://blogs.technet.microsoft.com/diana_tudor/2014/12/02/microsoft-pro ...)
Link bezieht sich zwar auf Project, geht aber auch für Excel usw.).

Die Richtlinie funktioniert an sich auch, aber nur dann, wenn in der Sicherheitsfilterung "Authenticated Users" eingetragen ist.
Da ich aber noch ein paar User habe, die Makros benötigen, möchte ich in der Sicherheitsfilterung gerne nur die Gruppen hinzufügen, für
welche Makros deaktiviert sein sollen.

Aber sobald ich dort eine Sicherheitsgruppe eintrage, mich mit meinem Test-User ab- und wieder anmelde, springt im TrustCenter
die aktivierte Option automatisch auf "Alle Makros zulassen", und alles ist ausgegraut.

Wieso funktioniert das nur wenn Authenticated Users eingetragen sind?

Wir nutzen Win 2k8 R2, sowohl als Domaincontroller als auch Terminalserver, Office 2013.


Vielen Dank für jede Hilfe!

Grüsse
Tom

Content-ID: 308889

Url: https://administrator.de/contentid/308889

Ausgedruckt am: 21.11.2024 um 21:11 Uhr

Meierjo
Lösung Meierjo 04.07.2016 um 09:54:51 Uhr
Goto Top
Hallo

Ist wahrscheinlich seit dem letzten Patch-Day so, oder??

Suchfunktion schon benutzt?

Sicherheitsfilterung neu erfunden - MS16-072 - Patchday 14.06.2016

Gruss
thaefliger
thaefliger 04.07.2016 um 10:25:26 Uhr
Goto Top
Hallo

ah ja stimmt... das hatte ich total vergessen.

Jetzt wo's mich betrifft und ich den verlinkten Artikel durchlese, komme ich mit der neuen Art irgendwie nicht klar.
Bitte kurz helfen face-smile


Alle betroffenen Richtlinien werden angefasst und die Authentifizierte Benutzer werden über den Reiter Delegation mit LESE Rechten hinzugefügt.
Okay, ich habe ja so eine betroffene Richtlinie. Aber wieso muss ich die Authentifizierte Benutzer in der Delegation hinzufügen? Für die soll das ja gar nicht gelten, sondern nur für meine Gruppe Makro_deaktivieren.

Alternativ kann auch die Sicherheitsgruppe DomänenComputer verwendet werden.
Und was haben die damit zu tun?

Wichtig ist nur, das es über den Reiter Delegation geschieht, da nur so das Recht LESEN gesteuert werden kann. Ein Hinzufügen auf der Sicherheitsfilterung ist immer Lesen und ÜBERNEHMEN, letzteres wollen wir auf keinen Fall.
Letzteres was wollen wir nicht? Und worauf bezieht sich das ÜBERNEHMEN?

Also wenn ich vorne bei der Sicherheitsfilterung die Auth. Users rauslösche (Feld ist dann leer) und hinten bei der Delegierung meine Gruppe Makro_deaktivieren mit Lesen-Rechte ausstatte, funktioniert das nicht.

Bin voll verwirrt...

Gruss
Meierjo
Lösung Meierjo 04.07.2016 um 10:42:05 Uhr
Goto Top
Hallo

Okay, ich habe ja so eine betroffene Richtlinie. Aber wieso muss ich die Authentifizierte Benutzer in der Delegation hinzufügen? Für die soll das ja gar nicht gelten, sondern nur für meine Gruppe Makro_deaktivieren.

Steht doch im Artikel auf Gruppenrichtlinie.de
Bislang war es so:
Das Benutzerobjekt liest die für ihn gültigen Richtlinien im AD und es findet je nach Komponente ein Wechsel des Sicherheitskontextes statt und eine anschliessende Übergabe der zu importierenden Einstellungen an das NT AUTHORITY\SYSTEM.

Der initiale Lesevorgang wird durch das Benutzerobjekt vollzogen, d.h. der Computer benötigt KEINERLEI Rechte an der Richtlinie. Sein Job (Aufruf/Verwendung der DLLs), den er zu erledigen hat, wird ihm einfach ausgedrückt vom Benutzer übergeben.

Neu mit MS16-072:
Das Computerobjekt, an dem sich der Benutzer anmeldet liest jetzt die Richtlinien für den Benutzer und das NT AUTHORITY\SYSTEM übergibt die zu importierenden Einstellungen an den Benutzer, wenn er diese in seinem Benutzerkontext ausführen soll, z.B.: Anmelde Skripte und Laufwerksmapping. Der initiale Lesevorgang findet nun also mit dem Computerkonto und nicht mehr mit dem Benutzer statt.

Und was haben die damit zu tun?
siehe oben

Letzteres was wollen wir nicht? Und worauf bezieht sich das ÜBERNEHMEN?
Damit ist gemeint, übernehmen wollen wir auf keinen Fall, sonst würde die GPO ja wieder auf alle User wirken.

Gruss
emeriks
Lösung emeriks 04.07.2016 um 10:46:30 Uhr
Goto Top
Hi,
die Anzeige "Sicherheitsfilterung" ist nichts weiter als eine Anzeige alle Einträge in der ACL der GPO, in welchen das Recht "Gruppenrichtlinie übernehmen" erteilt wird.
Der Weg über "Delegierung" --> "Erweitert" zeigt Dir dann die komplette ACL.
Über den Button "Hinzufügen" kann man mittels eines einfachen Dialogs Benutzern oder Gruppen z.B. nur das Recht zum Lesen der GPo erteilen.

Seit dem besagten Patch von Juni benötigen die Computer immer Rechte zum Lesen einer GPO, auch wenn sie selbst diese nicht übernehmen sollen sondern diese nur für den Benutzer einlesen müssen.
Ein Computer-Konto ist immer Mitglied der "authentifizierten Benutzer". Es ist aber auch - standardmäßig - Mitglied der "Domänen-Computer". Wenn also einer er beiden Gruppen das Nur-Lese-Recht für diese GPO erteilst, dann können die Computer die GPO lesen und ggf. für einen Benutzer anwenden.

E.
thaefliger
thaefliger 04.07.2016 um 11:50:32 Uhr
Goto Top
Hallo

also muss ich in der Delegierung sowohl die Domain Computers als auch meine Makro_deaktivieren -Gruppe hinzufügen mit Lese-Rechten?
Das jedenfalls funktioniert nicht...

Gruss
emeriks
Lösung emeriks 04.07.2016 um 11:56:03 Uhr
Goto Top
also muss ich in der Delegierung sowohl die Domain Computers als auch meine Makro_deaktivieren -Gruppe hinzufügen mit Lese-Rechten?
Nein, wieso?
Unter "Sicherheitsfilterung" jene Gruppe hinzufügen, für deren Mitglieder die GPO wirken soll. Diese Gruppe bekommt dann automatisch die Rechte "Lesen" und "GPO übernehmen" für diese GPO. (Haben wir Dir schon geschrieben!)
Unter "Delegierung" die "Domänen-Computer" oder die "Authetifizierte Benutzer" hinzufügen mit nur "Lese"-Recht. (Haben wir Dir auch schon geschrieben!)

Was ist daran so schwer zu verstehen?
thaefliger
thaefliger 04.07.2016 um 13:06:20 Uhr
Goto Top
Aah jetzt.... bitte entschuldigt, mir stand komplett einer auf der Leitung...

Vielen Dank euch beiden!