17
Gruppenrichtlinie für OU - übergeordnete OU darf etwas - untergeordnete darf es nicht und umgekehrt
Hey
ich hoffe mir kann jemand helfen.
Ich verzweifel gerade etwas und rede daher evtl auch was wirr
) sorry schonmal dafür !
In einer Domänenstruktur haben wir eine OU - diese hat 10 kleine OUs ( für jede Abteilung eine eigene )
Nun möchte ich USB Sticks für alle deaktivieren - allerdings sollen Admins USB Sticks nutzen dürfen.
Nun habe ich alles mögliche hin und her probiert, ich bekomms einfach nicht hin.
Wenn ich auf der oberen OU etwas erlaube - wie verbiete ich es explizit auf der unteren?
und umgekehrt?
Kurioserweise, habe ich einer untergeordneten OU etwas eingestellt, was aufeinmal auch darüber wirksam war...
wie geht das denn!? das is doch völlig absurd?
Beispiel:
HauptOU: ALDI
UnterOU1: Aldi Süd
UnterOU2: Aldi Nord
wenn ich jetzt bei Aldi Nord etwas einstelle - gilts plötzlich auch für Aldi Süd.... hö?!?!?!
ich möchte USB Sticks bei Aldi Süd verbieten und bei Nord erlauben....
help !!!!!
ich hoffe mir kann jemand helfen.
Ich verzweifel gerade etwas und rede daher evtl auch was wirr
) sorry schonmal dafür !In einer Domänenstruktur haben wir eine OU - diese hat 10 kleine OUs ( für jede Abteilung eine eigene )
Nun möchte ich USB Sticks für alle deaktivieren - allerdings sollen Admins USB Sticks nutzen dürfen.
Nun habe ich alles mögliche hin und her probiert, ich bekomms einfach nicht hin.
Wenn ich auf der oberen OU etwas erlaube - wie verbiete ich es explizit auf der unteren?
und umgekehrt?
Kurioserweise, habe ich einer untergeordneten OU etwas eingestellt, was aufeinmal auch darüber wirksam war...
wie geht das denn!? das is doch völlig absurd?
Beispiel:
HauptOU: ALDI
UnterOU1: Aldi Süd
UnterOU2: Aldi Nord
wenn ich jetzt bei Aldi Nord etwas einstelle - gilts plötzlich auch für Aldi Süd.... hö?!?!?!
ich möchte USB Sticks bei Aldi Süd verbieten und bei Nord erlauben....
help !!!!!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 109162
Url: https://administrator.de/contentid/109162
Ausgedruckt am: 05.11.2024 um 08:11 Uhr
17 Kommentare
Neuester Kommentar
Hi,
verbiete einfach den Usern (Gruppe mit Usern) die diese GPO nicht ziehen sollten, das Lesen der GPO.
Beispiel:
Authentifizierte User: Lesen
Administratoren: Lesen verweigern
verbiete einfach den Usern (Gruppe mit Usern) die diese GPO nicht ziehen sollten, das Lesen der GPO.
Beispiel:
Authentifizierte User: Lesen
Administratoren: Lesen verweigern
Was für Clients hast Du? Vista rules in dieser (USB-Lockdown) Hinsicht:
---
The group policy settings that control device installation in Vista and Longhorn server are:
Prevent installation of devices not described by other policy settings
Allow administrators to override device installation policy
Prevent installation of devices that match these device IDs
Prevent installation of drivers matching these device setup classes
Allow installation of devices that match any of these device IDs
Allow installation of devices using drivers for these device classes
---
Auszug aus http://apcmag.com/its_vista_vs_sushi_usb_lockdown.htm
---
The group policy settings that control device installation in Vista and Longhorn server are:
Prevent installation of devices not described by other policy settings
Allow administrators to override device installation policy
Prevent installation of devices that match these device IDs
Prevent installation of drivers matching these device setup classes
Allow installation of devices that match any of these device IDs
Allow installation of devices using drivers for these device classes
---
Auszug aus http://apcmag.com/its_vista_vs_sushi_usb_lockdown.htm
hö?!?!?!
Muss ein Irrtum sein. Nutze rsop.msc auf dem Client um rauszubekommen, welche Policy greift.
Moin!
Danke für die Antworten.
schiffmeisters Idee war wirklich gut - klappt aber irgendwie nicht
und ich kann uns als DomAdmins ja auch nich aussperren
schade !!!
auch so bekomm ich es irgendwie nicht hin
und die Antwort von DerWoWusste versteh ich leider nich ganz)
geht um en Netzwerk mit ca. 250 XP Clients
und Windows 2003 Servern
daaaaaaaaaaaaaaanke!
Danke für die Antworten.
schiffmeisters Idee war wirklich gut - klappt aber irgendwie nicht
und ich kann uns als DomAdmins ja auch nich aussperren
schade !!!
auch so bekomm ich es irgendwie nicht hin
und die Antwort von DerWoWusste versteh ich leider nich ganz
)geht um en Netzwerk mit ca. 250 XP Clients
und Windows 2003 Servern
daaaaaaaaaaaaaaanke!
Du kannst mit Vista (oder Server 2008) als Client per Gruppenrichtlinie USB-geräte (Sticks und weitere) soweit sperren, dass nur ausgesuchte Geräte (dem Admin bekannte Geräte-IDs) installiert werden können. Zusätzlich kann man einstellen, dass diese Einschränkung nicht für lokale Admins gilt.
super!
danke für den Hinweis
wenn ich dann mal Vista nutze - werde ich es bedenken
aber mein Problem besteht weiterhin
HÄLP !!
danke für den Hinweis
wenn ich dann mal Vista nutze - werde ich es bedenken
aber mein Problem besteht weiterhin
HÄLP !!
Moin Moin
Ich habe 2. Fragen.
1. Was für eine Einstellung willst Du vornehmen um die USB Ports zu sperren?
2. was für Objekte befinden sich in deinen OUs "Aldi Süd" und "Aldi Nord"? Benutzer und/oder Computer?
Gruß L.
Ich habe 2. Fragen.
1. Was für eine Einstellung willst Du vornehmen um die USB Ports zu sperren?
2. was für Objekte befinden sich in deinen OUs "Aldi Süd" und "Aldi Nord"? Benutzer und/oder Computer?
Gruß L.
hallo,
ich habe eine eigene *.adm - dort kann man einstellen ob man Floppy, CD und USB sperren oder freigeben will
ich habe es mit beiden Containern versucht
erstmal nur mit Benutzern
Aldi Nord -> Chef, Stellv, Kasse, Lager ( Benutzeraccounts )
und dann auch mit dem Container wo die Computer drin sind
geht auch nicht...
das mit "Lesen verweigern" klappt leider nicht
was ich nicht verstehe, wenn ich auf den Container KASSE der sich UNTER ALDI NORD befindet, ein GPO erstelle
dann wirkt sich das auch auf die OU ALDI NORD und ALDI SÜD aus... kann doch nicht sein?!
da is doch en fehler in der Domäne?
danke!
ich habe eine eigene *.adm - dort kann man einstellen ob man Floppy, CD und USB sperren oder freigeben will
ich habe es mit beiden Containern versucht
erstmal nur mit Benutzern
Aldi Nord -> Chef, Stellv, Kasse, Lager ( Benutzeraccounts )
und dann auch mit dem Container wo die Computer drin sind
geht auch nicht...
das mit "Lesen verweigern" klappt leider nicht
was ich nicht verstehe, wenn ich auf den Container KASSE der sich UNTER ALDI NORD befindet, ein GPO erstelle
dann wirkt sich das auch auf die OU ALDI NORD und ALDI SÜD aus... kann doch nicht sein?!
da is doch en fehler in der Domäne?
danke!
... kann doch nicht sein?!
Wozu gibt es rsop.msc? Prüf nach, wo die Einstellungen herkommen.
Moin Moin
Poste das Template oder einen Link damit man da mal einen Blick draufwerfen kann?
Zitat von @Schimpy:
ich habe eine eigene *.adm - dort kann man einstellen ob man Floppy, CD und USB sperren oder freigeben will
Das ist schön. Da mir aber kürzlich meine Kristallkugel heuntergefallen ist....ich habe eine eigene *.adm - dort kann man einstellen ob man Floppy, CD und USB sperren oder freigeben will
Poste das Template oder einen Link damit man da mal einen Blick draufwerfen kann?
ich habe es mit beiden Containern versucht...
...
geht auch nicht...
...
das mit "Lesen verweigern" klappt leider nicht
Es wirkt auf mich als würdest du alles mögliche an die Wand schmeißen und hoffen das was hängen bleibt. Ich hoffe du testest nicht auf einem Produktivsystem....
geht auch nicht...
...
das mit "Lesen verweigern" klappt leider nicht
was ich nicht verstehe, wenn ich auf den Container KASSE der sich UNTER ALDI NORD befindet, ein GPO erstelle
dann wirkt sich das auch auf die OU ALDI NORD und ALDI SÜD aus... kann doch nicht sein?!
dann wirkt sich das auch auf die OU ALDI NORD und ALDI SÜD aus... kann doch nicht sein?!
Wozu gibt es rsop.msc? Prüf nach, wo die Einstellungen herkommen.
bzw. (ebenfalls an Client ausführen) gpresult, falls du nur schnell sehen wilst welche GPO angewendet wird oder du erstellst ein Gruppenrichtlinienergebnis mit der GPMC (am Server).da is doch en fehler in der Domäne?
Eher ein Layer 8 Problem.
naja, also wenn das eine nicht klappt
testet man das andere oder?
das hat irgendwie nichts mit "gegen die Wand schmeißen" zu tuen....
rsop oder gpresult sagen mir dass ich das GPO was in der unteren OU erstellt wurde
auch auf diesem PC benutze / angewendet wird...
super... das hab ich auch so gemerkt?!
die adm kann ich gerne posten
CLASS MACHINE
CATEGORY !!categoryname
POLICY "USB-Sticks/Laufwerke"
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN "Disables the computers USB Drive completely"
PART "Disable USB Drive" DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY "CDROMs"
KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
EXPLAIN "CDROM-Laufwerke abschalten"
PART "CDROM-Laufwerke" DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 1 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY "Floppy"
KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
EXPLAIN "Floppy abschalten"
PART "Floppy" DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
[strings]
categoryname="Laufwerkseinschränkungen"
Enabled="Enabled"
Disabled="Disabled"
Layer 8 Problem - die Antwort hilft mir natürlich weiter
testet man das andere oder?
das hat irgendwie nichts mit "gegen die Wand schmeißen" zu tuen....
rsop oder gpresult sagen mir dass ich das GPO was in der unteren OU erstellt wurde
auch auf diesem PC benutze / angewendet wird...
super... das hab ich auch so gemerkt?!
die adm kann ich gerne posten
CLASS MACHINE
CATEGORY !!categoryname
POLICY "USB-Sticks/Laufwerke"
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN "Disables the computers USB Drive completely"
PART "Disable USB Drive" DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY "CDROMs"
KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
EXPLAIN "CDROM-Laufwerke abschalten"
PART "CDROM-Laufwerke" DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 1 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY "Floppy"
KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
EXPLAIN "Floppy abschalten"
PART "Floppy" DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
[strings]
categoryname="Laufwerkseinschränkungen"
Enabled="Enabled"
Disabled="Disabled"
Layer 8 Problem - die Antwort hilft mir natürlich weiter
Moin
Also, deinem template entnehme ich das es sich ausschliesslich um Computereinstellungen handelt.
Damit kann eine GPO mit diesen Einstellungen nicht auf Benutzer wirken sondern nur auf Computer objekte unter der verknüpften OU.
Computereinstellungen werden erst beim nächsten Neustart angewendet.
Verwendest Du die GPMC zum erstellen bzw. verwalten der GPOs? Soltest Du tun.
Also:
Wähle eine OU mit Computern aus und verknüpfe die GPO mit dieser OU.
Stelle sicher das die GPO nicht noch mit anderen OUs verknüpft ist.
Falls in der GPO noch andere Einstellungen enthalten sind setze diese (erstmal) auf nicht konfiguriert.
Reboote den Client und prüfe mit rsop ob die Einstellungen übernommen werden.
Gruß L.
Layer 8 Problem - die Antwort hilft mir natürlich weiter
Das war nicht böse gemeint und sollte dich nur zum Nachdenken anregen. Also, deinem template entnehme ich das es sich ausschliesslich um Computereinstellungen handelt.
Damit kann eine GPO mit diesen Einstellungen nicht auf Benutzer wirken sondern nur auf Computer objekte unter der verknüpften OU.
was ich nicht verstehe, wenn ich auf den Container KASSE der sich UNTER ALDI NORD befindet, ein GPO erstelle dann wirkt sich das auch auf die OU ALDI NORD und ALDI SÜD aus... kann doch nicht sein?!
Ein und die selbe GPO kann mit mehreren OU verknüpft werden.Computereinstellungen werden erst beim nächsten Neustart angewendet.
Verwendest Du die GPMC zum erstellen bzw. verwalten der GPOs? Soltest Du tun.
Also:
Wähle eine OU mit Computern aus und verknüpfe die GPO mit dieser OU.
Stelle sicher das die GPO nicht noch mit anderen OUs verknüpft ist.
Falls in der GPO noch andere Einstellungen enthalten sind setze diese (erstmal) auf nicht konfiguriert.
Reboote den Client und prüfe mit rsop ob die Einstellungen übernommen werden.
Gruß L.
Mhhhh...
Auch wenn in der Vorlage nur Computereinstellungen verändert werden
kann ich die auf eine OU mit Benutzern legen, da ich im GPO ja festlege
Computerkonfiguration oder Benutzerkonfiguration
naja egal... das bringt uns ja jetzt nicht zur Lösung
also ich nehme eine OU mit Computern, ausschließlich Computern...
füge dort eine Gruppenrichtlinie ein ( ja mit der GPMC )
diese Gruppenrichtlinie ist nicht mit anderen verknüpft, sondern ganz frisch
und alles andere ist auf NICHT KONFIGURIERT , bzw. wurde garnicht erst angefasst
dann reboote ich und benutze gpresult oder rsop
und siehe da - die gruppenrichtlinie wird angewandt...
jetzt sind alle Computer damit von USB und Co gesperrt...
aber meine Frage ist ja, wie schließe ich einzelne Computer davon aus?
als Antwort wird dann kommen...
" pack sie einfach in ne andere OU "
dann sag ich
"hab ich, geht aber trotzdem nicht, weil die Gruppenrichtlinie da auch greift"
dann sagt ihr
"kann nicht sein"
dann sag ich
"is aber so"
dann sagt ihr
"layer 8 Problem"
und dann wars das :D
ich komm echt nicht weiter
ich habe 100% nur die Richtlinie bei der OU Computer
nirgends anders hab ich die eingestellt
die greift aber trotzdem auf alle OU Container aus meinem Bereich
in dem Fall auf alle Container die unter ALDI stehen
Auch wenn in der Vorlage nur Computereinstellungen verändert werden
kann ich die auf eine OU mit Benutzern legen, da ich im GPO ja festlege
Computerkonfiguration oder Benutzerkonfiguration
naja egal... das bringt uns ja jetzt nicht zur Lösung
also ich nehme eine OU mit Computern, ausschließlich Computern...
füge dort eine Gruppenrichtlinie ein ( ja mit der GPMC )
diese Gruppenrichtlinie ist nicht mit anderen verknüpft, sondern ganz frisch
und alles andere ist auf NICHT KONFIGURIERT , bzw. wurde garnicht erst angefasst
dann reboote ich und benutze gpresult oder rsop
und siehe da - die gruppenrichtlinie wird angewandt...
jetzt sind alle Computer damit von USB und Co gesperrt...
aber meine Frage ist ja, wie schließe ich einzelne Computer davon aus?
als Antwort wird dann kommen...
" pack sie einfach in ne andere OU "
dann sag ich
"hab ich, geht aber trotzdem nicht, weil die Gruppenrichtlinie da auch greift"
dann sagt ihr
"kann nicht sein"
dann sag ich
"is aber so"
dann sagt ihr
"layer 8 Problem"
und dann wars das :D
ich komm echt nicht weiter
ich habe 100% nur die Richtlinie bei der OU Computer
nirgends anders hab ich die eingestellt
die greift aber trotzdem auf alle OU Container aus meinem Bereich
in dem Fall auf alle Container die unter ALDI stehen
Moin
Wenn eine GPO angewendet wird werden am betroffenen Client Registry einträge verändert.
Wenn dise GPO dan nicht mehr angewendet wird (weil deaktiviert, gelöscht was auch immer) werden keine Registry einträge verändert. Auch nicht irgendwie zurückgesetzt.
Als Bsp.: Du richtest eine GPO ein, die bei allen Benutzern den Dektiophintergrund ändert (irgend ein tolles Urlaubsfoto von Dir). Wenn Diese GPO nicht mehr angewendet wird (weil du alle benutzer in eine andere OU verschiebst) welches Hintergundbild bekommen deine anwenden dann zu sehen? Richtig, weiterhin dein Urlaubsfoto.
Du hast (wie du selbst schreibst) viel ausprobiert. besteht also die Möglichkeit das auf den anderen Computern nur alte Einstellungen vorliegen.
Und deswegen ist gpresult so wichtig.
Wenn Du das über die OUmitgliedschaft Steuern möchtest (es würde auch mit Gruppen gehen) müstest du für die andere OU eine GPO mit gegenteiligen Einstellungen einrichten.
Gruß L.
ich habe 100% nur die Richtlinie bei der OU Computernirgends anders hab ich die eingestellt
die greift aber trotzdem auf alle OU Container aus meinem Bereich in dem Fall auf alle Container die unter ALDI stehen
Sagt dir gpresult das die GPO greift oder sagst Du es, weil USB nicht funktioniert?die greift aber trotzdem auf alle OU Container aus meinem Bereich in dem Fall auf alle Container die unter ALDI stehen
Wenn eine GPO angewendet wird werden am betroffenen Client Registry einträge verändert.
Wenn dise GPO dan nicht mehr angewendet wird (weil deaktiviert, gelöscht was auch immer) werden keine Registry einträge verändert. Auch nicht irgendwie zurückgesetzt.
Als Bsp.: Du richtest eine GPO ein, die bei allen Benutzern den Dektiophintergrund ändert (irgend ein tolles Urlaubsfoto von Dir). Wenn Diese GPO nicht mehr angewendet wird (weil du alle benutzer in eine andere OU verschiebst) welches Hintergundbild bekommen deine anwenden dann zu sehen? Richtig, weiterhin dein Urlaubsfoto.
Du hast (wie du selbst schreibst) viel ausprobiert. besteht also die Möglichkeit das auf den anderen Computern nur alte Einstellungen vorliegen.
Und deswegen ist gpresult so wichtig.
aber meine Frage ist ja, wie schließe ich einzelne Computer davon aus?
als Antwort wird dann kommen..." pack sie einfach in ne andere OU "
Das würde nur vor der ersten Anwendung der GPO helfen.als Antwort wird dann kommen..." pack sie einfach in ne andere OU "
Wenn Du das über die OUmitgliedschaft Steuern möchtest (es würde auch mit Gruppen gehen) müstest du für die andere OU eine GPO mit gegenteiligen Einstellungen einrichten.
Gruß L.
also hab ich durch die vielen verschiedenen Testaktionen
die Richtlinien von den Leuten so vollgehauen, dass ich keine Chance mehr habe, da etwas zu ändern?
höchstens ich säubere jede einzelne Registry beim Nutzer?
((
die Richtlinien von den Leuten so vollgehauen, dass ich keine Chance mehr habe, da etwas zu ändern?
höchstens ich säubere jede einzelne Registry beim Nutzer?
((
wobei ich mich dann frage...
ich hab wirklich viel hin und her getestet - sollte man nicht machen - aber ich hab mal erlaubt, mal verboten, dann wieder erlaubt, dann wieder verboten - das dürfte ja dann auch nich mehr gehen?
weil nach deiner Theorie bleibts ja in der Registry hängen, wenn ich es einmal erstellt hab...
ich hab wirklich viel hin und her getestet - sollte man nicht machen - aber ich hab mal erlaubt, mal verboten, dann wieder erlaubt, dann wieder verboten - das dürfte ja dann auch nich mehr gehen?
weil nach deiner Theorie bleibts ja in der Registry hängen, wenn ich es einmal erstellt hab...
Tipp:
Installier drei VMWare, einmal W2k3/W2k8 als DC und einmal WindowsXP/Vista
Erstell dir eine OU und pack dort beide Computer rein.
Jetzt erstellst du eine GPO mit dem GPEditor.
Verteil über die GPO ein Hintergrundbild oder klassisches Design oder verbiete Zurgiff auf Systemsteuerung. Irgendwas leicht zu korrigierendes eben.
Jetzt löscht du die Gruppe "Authentifizierte User" und gibst explizit dem einem Computer das Recht, die GPO zu lesen u anzuwenden.
Dem anderen Computer verweigerst du das Recht diese GPO zu lesen.
Starte jetzt beide Computer u siehe was passiert.
Egal wer sich anmeldet, sollte jetzt an dem einen Computer das neue Hintergrundbild haben und an dem anderen noch immer die grüne Teletubbilandschaft, bzw. hat auf einem Computer Zugriff auf die Systemsteuerung u auf dem anderen Computer nicht.
Hinweis: Auch Computer in einer Domäne sind "Authentifizierte Benutzer"
Installier drei VMWare, einmal W2k3/W2k8 als DC und einmal WindowsXP/Vista
Erstell dir eine OU und pack dort beide Computer rein.
Jetzt erstellst du eine GPO mit dem GPEditor.
Verteil über die GPO ein Hintergrundbild oder klassisches Design oder verbiete Zurgiff auf Systemsteuerung. Irgendwas leicht zu korrigierendes eben.
Jetzt löscht du die Gruppe "Authentifizierte User" und gibst explizit dem einem Computer das Recht, die GPO zu lesen u anzuwenden.
Dem anderen Computer verweigerst du das Recht diese GPO zu lesen.
Starte jetzt beide Computer u siehe was passiert.
Egal wer sich anmeldet, sollte jetzt an dem einen Computer das neue Hintergrundbild haben und an dem anderen noch immer die grüne Teletubbilandschaft, bzw. hat auf einem Computer Zugriff auf die Systemsteuerung u auf dem anderen Computer nicht.
Hinweis: Auch Computer in einer Domäne sind "Authentifizierte Benutzer"
Moin
Und wenn keine GPO wirkt die eine gegeteilige Einstellung setzt bleibt alles so wie du es vorgegeben hast.
Nebenbei:
Soweit ich weis legst du über diese Werte die Startart von Diensten fest.
Mir würde da die Startart "Automatisch" fehlen, das wäre dann wohl VALUE = 2
Gruß L.
dass ich keine Chance mehr habe, da etwas zu ändern?
Nein, jede Einstellung die per GPO vorgenommen wird kann auch per GPO wieder rückgängig gemacht werden. Du solltest dennoch schiffmeisters Tip beherzigen und neue Einstellungen mit TestPCs (gerne auch virtuell) und Testbenutzern ausprobieren.aber ich hab mal erlaubt, mal verboten, dann wieder erlaubt, dann wieder verboten - das dürfte ja dann auch nich mehr gehen?
So wie ich das verstehe hast Du nur verboten. Da die jeweilige Einstellung ja nicht auf den Standadtwert zurückspringt, wenn die GPO nicht mehr wirkt.Und wenn keine GPO wirkt die eine gegeteilige Einstellung setzt bleibt alles so wie du es vorgegeben hast.
Nebenbei:
...
POLICY "USB-Sticks/Laufwerke"
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN "Disables the computers USB Drive completely"
PART "Disable USB Drive" DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
...Mir würde da die Startart "Automatisch" fehlen, das wäre dann wohl VALUE = 2
Gruß L.
