Gruppenrichtlinie Benutzereinstellungen für bestimmte Computer

Mitglied: anteNope

anteNope (Level 2) - Jetzt verbinden

29.03.2021, aktualisiert 15:51 Uhr, 822 Aufrufe, 19 Kommentare, 1 Danke

Hallo zusammen,
ich glaube ich sehe gerade den Wald vor Bäumen nicht oder denke etwas zu kompliziert.
Bei jedem der lokalen Computern möchte ich gerne eine Ordnerumleitung auf die Server einrichten, soweit kein Problem. Bei Notebooks wäre das natürlich nicht so optimal.

Da die Umleitung eine Benutzer-Einstellung ist, würde ich instinktiv hingehen und dies über die OUs der Benutzer machen. Da aber manche Leute einen Computer UND ein Notebook haben, wäre das aber nicht zielführend. (Eine Unterteilung der Benutzer geht ja nicht wegen dualer Nutzung).

Meine Lösung wäre jetzt, dass ich hingehe und zwei OUs für "Desktop" und "Mobil" anlege und dort die Geräte einsortiere. Bei Desktops verknüpfe ich die GPO für die Ordnerumleitung und bin glücklich.

So und nun meine Hirnknoten. Funktioniert eine Benutzer-GPO überhaupt wenn die mit einer OU verknüpft ist in der nur Computer eingeordnet sind?


Oder kann ich mir das super einfach machen und schlicht eine Gruppe für meine Standcomputer machen, diese als Mitglieder hinzufügen und dann über die Sicherheitseinstellung die Verteilung steuern? Aber dann hätten die Benutzer wiederum keinen Zugriff auf diese GPO und würden diese nicht anwenden?

Ich brauche da mal bitte einen kleinen Stups in die richtige Richtung. Danke.
Mitglied: Luci0815
29.03.2021, aktualisiert um 14:45 Uhr
GPP mit Zielgruppenadressierung ist dein Freund. Funktioniert auch bei Benutzereinstellungen und Computerbedingungen. Also z.B. wenn Computername / Gruppe = xxx dann nehme Benutzereinstellung xy vor.
Bitte warten ..
Mitglied: erikro
29.03.2021, aktualisiert 30.03.2021
Moin,

loopback-Verarbeitung ist das Stichwort. Damit kannst Du Benutzereinstellungen computerabhängig vornehmen.

hth

Erik
Bitte warten ..
Mitglied: lukas0209
29.03.2021 um 14:53 Uhr
Eine Option wäre auch noch die WMI-Filterung, damit müsste das auch gehen.
Bitte warten ..
Mitglied: lukas0209
29.03.2021 um 15:00 Uhr
Zitat von @Luci0815:

GPP mit Zielgruppenadressierung ist dein Freund. Funktioniert auch bei Benutzereinstellungen und Computerbedingungen. Also z.B. wenn Computername / Gruppe = xxx dann nehme Benutzereinstellung xy vor.
Das wäre aus meiner Sicht die einfachste Lösung, lege einfach die Gruppe Laptops und Desktops an.
Bitte warten ..
Mitglied: IT-Pro
LÖSUNG 29.03.2021 um 16:26 Uhr
Zitat von @anteNope:

Oder kann ich mir das super einfach machen und schlicht eine Gruppe für meine Standcomputer machen, diese als Mitglieder hinzufügen und dann über die Sicherheitseinstellung die Verteilung steuern? Aber dann hätten die Benutzer wiederum keinen Zugriff auf diese GPO und würden diese nicht anwenden?

Wenn ich das Gruppenrichtlinienkonzept richtig verstanden habe, kannst du dir es auch super einfach machen, in dem du in die Sicherheitsfilterung die Gruppe aller Benutzer aufnimmst und die Gruppe der TowerPCs. Die GPO verknüpfst du dann auch nur in der TowerPC-OU!

Bitte berichtigt mich unbedingt, wenn ich da was mit der Sicherheitsfilterung missverstanden habe. Aber GPOs werden doch nur auf die Benutzer angewendet, die in der Sicherheitsfilterung sind. Wer nicht in der Sicherheitsfilterung genannt ist, darf die GPO nicht anwenden!
Bitte warten ..
Mitglied: anteNope
29.03.2021, aktualisiert um 17:47 Uhr
Hey danke für die vielen Vorschläge!

Die GPO verknüpfst du dann auch nur in der TowerPC-OU!
Genau, nur die Frage ist, ob diese dann bei der Benutzeranmeldung ausgeführt wird. Weil der Benutzer ja in einer anderen OU hängt. So nach dem Motto ist nicht meine OU, interessiert mich nicht.

Kann aber auch sein, dass die Zuordnung bei der Anmeldung in Kombination von Benutzer+Client ausgewertet wird. Also so, dass bei der Anmeldung Summe aller GPOs (User + PC) kombiniert werden und angewendet werden.

Ich teste das die Tage einfach mal. Im schlimmsten Fall greift die Orderumleitung dann ja nicht.
Ansonsten kommen die oben genannten Geschütze zum Einsatz. Ich werde berichten.
Bitte warten ..
Mitglied: erikro
29.03.2021 um 19:13 Uhr
Moin,

nochmal. Das ist der falsche Ansatz. Für den Fall, dass man bestimmte Benutzerkonfigurationen auf bestimmten Maschinen braucht, hat Microsoft die Loop-Back-Verabeitung erfunden. Die macht genau das, was Du willst. Sie überschreibt die Einstellung der GPO des Users mit der Einstellung des Computers für den User.

hth

Erik
Bitte warten ..
Mitglied: anteNope
29.03.2021 um 20:43 Uhr
Okay, danke für den Hinweis. Den Link lese ich mir morgen durch 😊
Bitte warten ..
Mitglied: IT-Pro
29.03.2021 um 21:43 Uhr
Zitat von @erikro:

Moin,

nochmal. Das ist der falsche Ansatz. Für den Fall, dass man bestimmte Benutzerkonfigurationen auf bestimmten Maschinen braucht, hat Microsoft die Loop-Back-Verabeitung erfunden. Die macht genau das, was Du willst. Sie überschreibt die Einstellung der GPO des Users mit der Einstellung des Computers für den User.

hth

Erik


Ja, loopback ist schon der richtige Weg um anteNope´s Problem zu lösen. Ich wollte mich hier nur dazwischendrängen um mir nochmal mein Wissen validieren zu lassen. (Ja, GPOs werden doch nur auf die Benutzer angewendet, die in der Sicherheitsfilterung sind. Wer nicht in der Sicherheitsfilterung genannt ist, darf die GPO nicht anwenden! ODER Nein, da hast die Sicherheitsfilterung falsch verstanden, das ist so und so)
Bitte warten ..
Mitglied: IT-Pro
LÖSUNG 29.03.2021 um 21:52 Uhr
Zitat von @anteNope:

Genau, nur die Frage ist, ob diese dann bei der Benutzeranmeldung ausgeführt wird. Weil der Benutzer ja in einer anderen OU hängt. So nach dem Motto ist nicht meine OU, interessiert mich nicht.

Die GPO werden gewissermaßen Unabhängig von der OU angewendet. Die GPO muss nur auf dem Weg zum Objekt sichtbar sein. Wie erkläre ich das jetzt am besten? Wahrscheinlich mit dem LDAP-Pfad.

Du kennst doch sicherlich den LDAP-Pfad, dieses CN=, OU=, DC=, DC= ...

Du fängst rechts an zu lesen und gehst den Pfad dann entlang bis zu Ressourcenobjekt. (Der User, Computer, Drucker, Gruppe etc)

An allen GPOs, die du auf diesem Weg vorbeikommst, können auf dein Ressourcenobjekt angewendet werden. Keine anderen.

Frage an alle: Kann man das so erklären? Ist das fachlich so korrekt oder ist das durch die Formulierung inhaltlich falsch geworden?
Bitte warten ..
Mitglied: lukas0209
29.03.2021 um 22:09 Uhr
Zitat von @IT-Pro:

Zitat von @anteNope:

Genau, nur die Frage ist, ob diese dann bei der Benutzeranmeldung ausgeführt wird. Weil der Benutzer ja in einer anderen OU hängt. So nach dem Motto ist nicht meine OU, interessiert mich nicht.

Die GPO werden gewissermaßen Unabhängig von der OU angewendet. Die GPO muss nur auf dem Weg zum Objekt sichtbar sein. Wie erkläre ich das jetzt am besten? Wahrscheinlich mit dem LDAP-Pfad.

Du kennst doch sicherlich den LDAP-Pfad, dieses CN=, OU=, DC=, DC= ...

Du fängst rechts an zu lesen und gehst den Pfad dann entlang bis zu Ressourcenobjekt. (Der User, Computer, Drucker, Gruppe etc)

An allen GPOs, die du auf diesem Weg vorbeikommst, können auf dein Ressourcenobjekt angewendet werden. Keine anderen.

Frage an alle: Kann man das so erklären? Ist das fachlich so korrekt oder ist das durch die Formulierung inhaltlich falsch geworden?
Ist verständlich.
Bitte warten ..
Mitglied: jsysde
29.03.2021 um 22:11 Uhr
N'Abend.

Zitat von @erikro:
looback-Verarbeitung
Na die ist dann wohl für'n Ar***! ;-) face-wink
https://www.google.com/search?q=loo+deutsch

Cheers,
jsysde
Bitte warten ..
Mitglied: erikro
30.03.2021 um 08:38 Uhr
Oooops, oder sollte ich besser sagen puuuuups. ;-) face-wink Ich habe das mal oben korrigiert. ;-) face-wink
Bitte warten ..
Mitglied: emeriks
LÖSUNG 30.03.2021, aktualisiert um 11:11 Uhr
Zitat von @Luci0815:
GPP mit Zielgruppenadressierung ist dein Freund.
Ordnerumleitung ist keine Einstellung sondern eine Richtlinie. Also auch keine Zielgruppenadressierung möglich. Wenn sowas, dann höchstens über WMI, aber das ist Murks. Und langsam.

Loopback-Verarbeitung im Modus "Zusammenführen" ist hier die Lösung. "Ersetzen" würde ja bedeuten, dass man alle anderen GPO, welche sonst noch für den Benutzer gelten sollen, dann zusätzlich noch einmal an der Notebook-OU verlinken müsste.

Beachte: Loopback wird nicht per GPO aktiviert, sondern per Computer. Also in nur einer GPO das Loopback "Zusammenführen" aktivieren und für die Notebooks wirken lassen. Dann eine extra GPO, in welcher explizit eingestellt ist: Ordnerumleitung --> im lokalen Pfad belassen (sinngemäß). Diese GPO an der OU für Notebooks verlinken.

Man muss nur aufpassen, wenn da Roaming Profiles im Einsatz sind, welche sowohl für Anmeldung am PC als auch am Notebook gelten. Dann sollte man in den Ordnerumleitungen nicht aktivieren, dass die Inhalte an das neue Ziel verschoben werden sollen.

Was theoretisch auch noch funktionieren müsste: (habe es nicht ausprobiert)
  • Voraussetzung: Keine Romain Profiles
  • Sicherheitsgruppe erstellen --> alle Computerobjekte der Notebooks dort hinein
  • Ordnerumleitung über eine extra GPO einstellen, in welcher nichts anderes eingestellt ist
  • der o.g. Gruppe für diese GPO explizit das Lese-Recht verweigern

Dann bräuchte man kein Loopback. Da ein Computer die GPO's lesen können muss, (auch jene, welche nur für Benutzer gelten), um sie für die Benutzer anwenden zu können, können die Notebooks diese Ordnerumleitungs-GPO jetzt nicht mehr lesen und also auch nicht anwenden.

E.
Bitte warten ..
Mitglied: Luci0815
30.03.2021, aktualisiert um 11:41 Uhr
Zitat von @emeriks:

Zitat von @Luci0815:
GPP mit Zielgruppenadressierung ist dein Freund.
Ordnerumleitung ist keine Einstellung sondern eine Richtlinie. Also auch keine Zielgruppenadressierung möglich.

Richtlinien sind nicht anderes als Registry-Einstellungen. Warum soll es hier nicht möglich sein?
Bitte warten ..
Mitglied: emeriks
30.03.2021 um 11:56 Uhr
Zitat von @Luci0815:
Richtlinien sind nicht anderes als Registry-Einstellungen. Warum soll es hier nicht möglich sein?
Du kannst es versuchen. In keinem Fall wird es bereits beim ersten Login wirken, auch nicht während der Sitzung beim GPupdate. Möglicherweise wenn man in der Sitzung den Explorer-Prozess beendet und neu startet. Sonst würde erst beim nächsten Login der geänderte Pfad wirksam werden.
"Ordnerumleitung" ist in diesem Sinne eben nicht nur ein Registry-Wert sondern auch eine Aktion. Ähnlich "Systemdienste". Man kann auch per Registry ausrollen, dass ein Dienst deaktiviert sein soll. Nur wird er dann nicht bei Anwendung der GPP beendet. Erst beim nächsten Neustart des Computers würde der Dienst nicht gestartet werden. Stellt man hingegen über "Systemdienste" einen Dienst auf "deaktiviert", dann wird er beim nächsten GPupdate auch gleich beendet.
Bitte warten ..
Mitglied: anteNope
02.04.2021, aktualisiert um 07:58 Uhr
Moin, wir haben gestern mal ein wenig rumgetestet und sind zu folgenden Erkenntnissen gekommen:

OUs verwenden
  • wir haben zwei OUs angelegt, Notebooks und Desktops
  • Beide OUs sind die untersten Elemente des Pfades
  • Die Ordnerumleitung haben wir auf "Desktops" verknüpft, sonst nirgendwo
  • Computer in Gruppe Desktops verschoben
  • Ergebnis: die GPO-Ordnerumleitung wird für Benutzer nicht angewendet. Das funktioniert also nicht.

Der Benutzer kommt an der GPO "nicht vorbei". Computer und Benutzer OUs werden getrennt durchlaufen. Hierbei ist egal wie die Sicherheitseinstellungen gesetzt sind. Naja, probieren kann man es ja mal.

Sicherheitseinstellungen verwenden
  • Alle Geräte verbleiben in der CN-Computer, keine OUs für die Computer
  • Gruppe erstellen "Notebooks" und entsprechend die Notebooks als Mitglieder hinzufügen
  • GPO-Ordnerumleitung an OU-Pfade der Benutzer hängen oder direkt an die Domäne
  • In den Sicherheitseinstellungen die Gruppe "Notebooks" hinzufügen UND den Zugriff verweigern
  • Ergebnis: GPO wird vom Benutzern auf diesem Gerät nicht angewendet

Warum auch immer gilt die Verweigerung auch für die Benutzer auf dem Gerät. Die Ordnerumleitung wird nicht angewendet.

Das dürfte dann wohl die einfachste und unkomplizierteste Lösung sein ... Login funktioniert zudem rattenschnell 😁

Die Lösung ist also eine leichte Abwandlung von @IT-Pro's Vorschlag 😎
Bitte warten ..
Mitglied: emeriks
07.04.2021, aktualisiert um 11:11 Uhr
Zitat von @anteNope:
Warum auch immer gilt die Verweigerung auch für die Benutzer auf dem Gerät.
Ich gehe davon aus, Du hast hier das Lese-Recht verweigert?
Warum das dann so funktioniert, hatte ich bereits geschrieben:
Da ein Computer die GPO's lesen können muss, (auch jene, welche nur für Benutzer gelten), um sie für die Benutzer anwenden zu können, können die Notebooks diese Ordnerumleitungs-GPO jetzt nicht mehr lesen und also auch nicht anwenden.

Bitte warten ..
Heiß diskutierte Inhalte
Netzwerkgrundlagen
Frage der anderen Art
NeuerleVor 1 TagFrageNetzwerkgrundlagen16 Kommentare

Hi an alle, Ich bin InformatikStudi. Habe Ende des Monats Klausur im Fach Netzwerke zu schreiben und komme gar nicht klar. Entweder ich bin ...

Ubuntu
Cups-Server mit SMB lehnt Verbindungen ab (smb.conf)?
ErikHeinemannVor 1 TagFrageUbuntu17 Kommentare

Guten Morgen, ich habe einen Ubuntu 20.04 Server mit Cups als Printspooler. Nun Soll noch Samba hinzugefügt werden für eine einfache Verwendung unter Windows. ...

Exchange Server
Kaspersky for Exchange Meldungen
gelöst wieoderwasVor 1 TagFrageExchange Server11 Kommentare

Guten Morgen, wir haben bei uns einen Exchange 2013 mit Kaspersky for Exchange und Sophos auf Dateiebene. Heute Morgen habe ich einige von diesen ...

Groupware
Lokale Mini-Groupware für Mail, Adressbuch und Kalender gesucht
AndreasKasselVor 1 TagFrageGroupware10 Kommentare

Hallo zusammen, ich habe insgesamt 2 PCs, 1 Notebook, 1 Android-Tablet und ein Android-Smartphone. Weiterhin habe ich 2 Mail-Adressen bei 1&1 mit einer eigenen ...

Grafikkarten & Monitore
Unerklärliche Aussetzer Bildschirm und Maus
nixwissenderVor 1 TagFrageGrafikkarten & Monitore11 Kommentare

hallo! wir haben aktuell das unerklärliche phänomen, dass sich am arbeitsplatz vom mitarbeiter eines der beiden bildschirme kurzzeitig ausschaltet (und zwar der, der per ...

CPU, RAM, Mainboards
CPU Lüfter ausbauen
gelöst ben1300Vor 1 TagFrageCPU, RAM, Mainboards9 Kommentare

Hallo zusammen, ich habe mir damals einen Fertig PC gekauft. Ich würde gerne den Arbeitsspeichern austauschen, allerdings muss ich dafür - so wie es ...

Backup
Backup Datei
gelöst KanrishaVor 1 TagFrageBackup5 Kommentare

Hallo Zusammen, ich habe eine Frage ich will eine Backup bat Datei schreiben habe jedoch ein kleines Problem. Ich möchte ein Laufwerk in das ...

DNS
Android 10 und mein DNS Server
gelöst CyborgWeaselVor 1 TagFrageDNS7 Kommentare

Hallo allesamt, ich spiele gerade etwas mit einer Synology herum, habe unter Anderem einen eigenen DNS jetzt aufgesetzt. Die lokale Domäne ist HomeDomain.local und ...