13
Gruppenrichtlinie mit Sicherheitsfilterung funktioniert nicht wie gewollt.
Hallo zusammen,
ich habe ein Problem mit einer Gruppenrichtlinie. Für unser E-Mail-Programm muss ich zwei Registryschlüssel auf den Notebooks der User mit Mailzugriff ändern.
Es gibt
- eine OU mit allen Notebooks,
- eine OU mit allen Benutzern und
- eine globale Sicherheitsgruppe mit allen "Mailnutzern".
Nun hat nicht jeder Mailnutzer ein Notebook, manche Mailnutzer haben sowohl PC als auch Notebook und nicht jedes Notebook hat das Mailprogramm installiert. Daher dürfte die Richtline nur auf Notebooks angewendet werden, an denen sich Benutzer der Gruppe "Mailnutzer" anmelden.
Mein erster Gedanke: Eine Richtline "Mail mobil" mit Computerkonfigurationseinstellungen auf die OU "Notebooks" verknüpfen und als Sicherheitsfilterung die Sicherheitsgruppe "Mailnutzer" eintragen. Dies funktioniert scheinbar nicht, da in der Filterung Benutzer sind und nicht die entsprechenden Computer. Füge ich ein Notebook manuell zur Sicherheitsfilterung hinzu, arbeitet (auf diesem Gerät) alles wie gewünscht. Nehme ich das Notebook heraus, wird die Richtline nicht angewendet. gpresult meldet als Grund "unbekannte Ursache" und der Gruppenrichtlinenergebnis-Assistent "Zugriff nicht möglich".
Ich habe auch mal die Loopbackverarbeitung vorher aktiviert – aber ebenfalls ohne Erfolg. Wie kann ich denn das skizzierte Ziel am saubersten erreichen? Bin ich auf dem richtigen Weg oder komplett falsch?
Wünsche ein schönes Wochenende.
ich habe ein Problem mit einer Gruppenrichtlinie. Für unser E-Mail-Programm muss ich zwei Registryschlüssel auf den Notebooks der User mit Mailzugriff ändern.
Es gibt
- eine OU mit allen Notebooks,
- eine OU mit allen Benutzern und
- eine globale Sicherheitsgruppe mit allen "Mailnutzern".
Nun hat nicht jeder Mailnutzer ein Notebook, manche Mailnutzer haben sowohl PC als auch Notebook und nicht jedes Notebook hat das Mailprogramm installiert. Daher dürfte die Richtline nur auf Notebooks angewendet werden, an denen sich Benutzer der Gruppe "Mailnutzer" anmelden.
Mein erster Gedanke: Eine Richtline "Mail mobil" mit Computerkonfigurationseinstellungen auf die OU "Notebooks" verknüpfen und als Sicherheitsfilterung die Sicherheitsgruppe "Mailnutzer" eintragen. Dies funktioniert scheinbar nicht, da in der Filterung Benutzer sind und nicht die entsprechenden Computer. Füge ich ein Notebook manuell zur Sicherheitsfilterung hinzu, arbeitet (auf diesem Gerät) alles wie gewünscht. Nehme ich das Notebook heraus, wird die Richtline nicht angewendet. gpresult meldet als Grund "unbekannte Ursache" und der Gruppenrichtlinenergebnis-Assistent "Zugriff nicht möglich".
Ich habe auch mal die Loopbackverarbeitung vorher aktiviert – aber ebenfalls ohne Erfolg. Wie kann ich denn das skizzierte Ziel am saubersten erreichen? Bin ich auf dem richtigen Weg oder komplett falsch?
Wünsche ein schönes Wochenende.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 146603
Url: https://administrator.de/contentid/146603
Ausgedruckt am: 22.11.2024 um 11:11 Uhr
13 Kommentare
Neuester Kommentar
Hallo,
der Ansatz ist schon richtig. Genau dafür brauchst du den Loopbackverarbeitungsmodus. Mache folgendes:
1) erstelle eine GPO "Mail Mobil" und konfiguriere dort in den Computereinstellungen den LBVM und in den BENUTZEREINSTELLUNGEN die notwendigen regedits.
2) Verlinke die GPO auf die OU der Computer
3) erstelle eine neue Sicherheitsgruppe für die Notebooks
4) füge der Sicherheitsfilterung der GPO die Gruppe Notebooks UND die Gruppe der User hinzu
Was passiert?
1) ein Computer wird gestartet
2) ist er in der Gruppe Notebooks, dann wird die GPO angewendet, aber nur der Computerteil! Dort wird dann der LBVM aktiviert
3) ein Benutzer meldet sich an einem Notebook an
4) da der LBVM auf dem Notebook aktiviert ist wird die GPO noch einmal geladen. Wenn nun der User Mitglied der Gruppe Mail ist, dann werden die Benutzer-Einstellungen (!!!) auf den Benutzer angewendet
Viele Grüße vom creyzee
der Ansatz ist schon richtig. Genau dafür brauchst du den Loopbackverarbeitungsmodus. Mache folgendes:
1) erstelle eine GPO "Mail Mobil" und konfiguriere dort in den Computereinstellungen den LBVM und in den BENUTZEREINSTELLUNGEN die notwendigen regedits.
2) Verlinke die GPO auf die OU der Computer
3) erstelle eine neue Sicherheitsgruppe für die Notebooks
4) füge der Sicherheitsfilterung der GPO die Gruppe Notebooks UND die Gruppe der User hinzu
Was passiert?
1) ein Computer wird gestartet
2) ist er in der Gruppe Notebooks, dann wird die GPO angewendet, aber nur der Computerteil! Dort wird dann der LBVM aktiviert
3) ein Benutzer meldet sich an einem Notebook an
4) da der LBVM auf dem Notebook aktiviert ist wird die GPO noch einmal geladen. Wenn nun der User Mitglied der Gruppe Mail ist, dann werden die Benutzer-Einstellungen (!!!) auf den Benutzer angewendet
Viele Grüße vom creyzee
Hi.
Sollte einfach lösbar sein. Gib an, welche Regkeys (HKLM oder Userzweige).
Sollte einfach lösbar sein. Gib an, welche Regkeys (HKLM oder Userzweige).
Es sind Regkeys aus dem Userzweig.
Ich habe es jetzt wie folgt gelöst:
- GPO "Mail mobil" mit Benutzereinstellungen zu den Regkeys angelegt und als Sicherheitsfilterung die Sicherheitsgruppe "Mailnutzer" eintragen. Angewendte habe ich die GPO auf die OU "Notebooks".
- GPO "LBVM" mit Loopbackverarbeitung (Sicherheitsfilterung "Authentifiziert Benutzer"/gab es schon für Windows-Terminalserver) ebenfalls auf die OU "Notebooks" angewendet.
So benötige ich keine neue Sicherheitsgruppe für die Notebooks. Die bereits bestehende OU "Notebooks" und die vorhandene Sicherheitsgruppe "Mailuser" reichen aus.
Viele Grüße
Ich habe es jetzt wie folgt gelöst:
- GPO "Mail mobil" mit Benutzereinstellungen zu den Regkeys angelegt und als Sicherheitsfilterung die Sicherheitsgruppe "Mailnutzer" eintragen. Angewendte habe ich die GPO auf die OU "Notebooks".
- GPO "LBVM" mit Loopbackverarbeitung (Sicherheitsfilterung "Authentifiziert Benutzer"/gab es schon für Windows-Terminalserver) ebenfalls auf die OU "Notebooks" angewendet.
So benötige ich keine neue Sicherheitsgruppe für die Notebooks. Die bereits bestehende OU "Notebooks" und die vorhandene Sicherheitsgruppe "Mailuser" reichen aus.
Viele Grüße
Hallo,
das mit der Gruppe Notebooks war ja auch nur ne Variante, wenn du aus anderen Gründen die Computer nicht in Desktops und Notebooks trennen kannst. So gehts natürlich auch.
Viele Grüße vom creyzee
das mit der Gruppe Notebooks war ja auch nur ne Variante, wenn du aus anderen Gründen die Computer nicht in Desktops und Notebooks trennen kannst. So gehts natürlich auch.
Viele Grüße vom creyzee
Noch eine wieterführende Frage:
Soweit funktioniert alles. Nur werden jetzt durch die Loopbackverarbeitung die Richtlinien, die sich auf den Benutzer beziehen, nicht mehr angewendet.
Ich habe mit dem Modellierungsassistent des GPMCs drei Tests gemacht [ohne LBVM, mit LBVM (ersetzen) und LBMV (zusammenführen)] mit folgenden Ergebnissen:
- ohne LBVM
alle anderen Benutzer-GPOs werden angewendet, "Mail mobil" wird nicht angewendet
- mit LBVM (ersetzen)
"Mail mobil" wird wie gewünscht angewendet, alle anderen vorherigen Benutzer-GPOs werden werder angezeigt noch angewendet
- mit LBVM (zusammenführen)
alles wird angewendet, teilweise (default domain policy) doppelt
Ich verstehe nicht ganz, warum die ursprünglichen Benutzer-GPOs ignoriert werden? Kann mir das jemand erklären. Und ist es der richtige Weg, den LBVM auf "zusammenführen" zu stellen, oder gibt es einen eleganteren Weg?
Ich hoffe es ist einigermaßen verständlich. Vielleicht kann ich noch Screenshots zum besseren Verständnis anfügen.
Soweit funktioniert alles. Nur werden jetzt durch die Loopbackverarbeitung die Richtlinien, die sich auf den Benutzer beziehen, nicht mehr angewendet.
Ich habe mit dem Modellierungsassistent des GPMCs drei Tests gemacht [ohne LBVM, mit LBVM (ersetzen) und LBMV (zusammenführen)] mit folgenden Ergebnissen:
- ohne LBVM
alle anderen Benutzer-GPOs werden angewendet, "Mail mobil" wird nicht angewendet
- mit LBVM (ersetzen)
"Mail mobil" wird wie gewünscht angewendet, alle anderen vorherigen Benutzer-GPOs werden werder angezeigt noch angewendet
- mit LBVM (zusammenführen)
alles wird angewendet, teilweise (default domain policy) doppelt
Ich verstehe nicht ganz, warum die ursprünglichen Benutzer-GPOs ignoriert werden? Kann mir das jemand erklären. Und ist es der richtige Weg, den LBVM auf "zusammenführen" zu stellen, oder gibt es einen eleganteren Weg?
Ich hoffe es ist einigermaßen verständlich. Vielleicht kann ich noch Screenshots zum besseren Verständnis anfügen.
Hallo,
ich arbeite auch mit "zusammenführen", weil ich Konfigurationen nicht doppelt pflegen mag. Schau dir mal folgende Seite an, da stehen einige interessante Hinweise zum LBVM: http://www.gruppenrichtlinien.de/index.html?/Grundlagen/Loopback_Verarb ...
Der Nachteil des Zusammenführens ist halt eine aufwändigere Fehlersuche. Aber da hilft uns zum einen die allseits beliebte aktuelle Dokumentation, eine gute Planung und RSOP
Viele Grüße, creyzee
ich arbeite auch mit "zusammenführen", weil ich Konfigurationen nicht doppelt pflegen mag. Schau dir mal folgende Seite an, da stehen einige interessante Hinweise zum LBVM: http://www.gruppenrichtlinien.de/index.html?/Grundlagen/Loopback_Verarb ...
Der Nachteil des Zusammenführens ist halt eine aufwändigere Fehlersuche. Aber da hilft uns zum einen die allseits beliebte aktuelle Dokumentation, eine gute Planung und RSOP
Viele Grüße, creyzee
Die Seite habe ich natürlich auch schon durchgelesen. Aber es wird m.E. nicht richtig erklärt, warum die GPOs nicht angewendet werden. Eigentlich wird sogar von der Option zusammenführen abgeraten.
Ich frage mich halt, warum sich bestimmte Richtlinieneinstellungen nicht durchsetzen.
Ich frage mich halt, warum sich bestimmte Richtlinieneinstellungen nicht durchsetzen.
Hallo,
liegt es vielleicht an dem: "...Der Loopbackverarbeitungsmodus kennt 2 Konfigurationseinstellungen: Zusammenführen (Merge) und Ersetzen (Replace). Im ersten Fall werden alle vorhandenen Benutzerrichtlinien des Benutzerobjekts mit denen des Computerobjekts zusammengeführt, wobei die Einstellungen aus der Benutzerkonfiguration der Computerrichtlinie, die Einstellungen des Benutzerobjekts überschreiben können, wenn sie sich widersprechen..." ??
Eine andere Einschränkung ist mir nicht bekannt. Wenn du magst, dann kannst mir ja mal die 3 Ergebnisse deiner Tests via PN mailen, dann schau ich es mir mal an.
Bis denne, creyzee
liegt es vielleicht an dem: "...Der Loopbackverarbeitungsmodus kennt 2 Konfigurationseinstellungen: Zusammenführen (Merge) und Ersetzen (Replace). Im ersten Fall werden alle vorhandenen Benutzerrichtlinien des Benutzerobjekts mit denen des Computerobjekts zusammengeführt, wobei die Einstellungen aus der Benutzerkonfiguration der Computerrichtlinie, die Einstellungen des Benutzerobjekts überschreiben können, wenn sie sich widersprechen..." ??
Eine andere Einschränkung ist mir nicht bekannt. Wenn du magst, dann kannst mir ja mal die 3 Ergebnisse deiner Tests via PN mailen, dann schau ich es mir mal an.
Bis denne, creyzee
Hallo,
ich habe mir die Ergebnisse mal angeschaut und möchte (natürlich anonymisiert) meine Vermutung dazu äußern
Ohne Loopback werden folgende Benutzer-GPOs angewendet:
- Default Domain Policy (DDP)
- Benutzer
- Drucker
- Proxy
Beim replace werden die Benutzer-GPOs natürlich nicht angewendet, weil sie durch die BenutzerMobil ersetzt werden (bis auf die DDP). Das ist ja auch so gewollt beim replace.
Beim merge werden alle wie bei "ohneLoopback" angewendet, aber durch den Loopback passiert ja folgendes:
1) ein Computer wird gestartet
2) ist er in der Gruppe Notebooks, dann wird die GPO angewendet, aber nur der Computerteil! Dort wird dann der LBVM aktiviert
3) ein Benutzer meldet sich an einem Notebook an -> es werden die normalen Benutzer-GPOs des Users geladen (DDP, Benutzer, Drucker, Proxy)
4) da der LBVM auf dem Notebook aktiviert ist wird die Benutzer-GPO noch einmal geladen. Dabei nimmt der Rechner IMMER die DDP nocheinmal mit...
Ich gehe mal von folgendem aus:
- du hast in der DDP Einstellungen konfiguriert, die für alle Rechner gelten (vielleicht sind dort auch Standards gesetzt)
- NACH der DDP wird die Benutzer+Drucker+Proxy abgearbeitet. Dort werden wahrscheinlich etliche Einstellungen der DDP überschrieben
- Durch den Loopback wird dann aber noch einmal die DDP geladen. Und dann werden wahrscheinlich einige deiner Konfigs aus Benutzer+Drucker+Proxy wieder mit Defaults? aus der DDP überschrieben!
Vergleiche mal deine eigenen GPOs für nicht-mobile Anwender mit der Konfiguration der DDP. Überall, wo du Einstellungen in der DDP findest, die konfiguriert sind, werden deine eigenen GPOs wohl nicht funzen.
Erstelle mal für einen User auf einem mobilen PC jeweils ein RSOP einmal mit merge und einmal ohne loopback. Da sieht man schnell die Unterschiede.
Gib dann mal bitte Bescheid,
creyzee
ich habe mir die Ergebnisse mal angeschaut und möchte (natürlich anonymisiert) meine Vermutung dazu äußern
Ohne Loopback werden folgende Benutzer-GPOs angewendet:
- Default Domain Policy (DDP)
- Benutzer
- Drucker
- Proxy
Beim replace werden die Benutzer-GPOs natürlich nicht angewendet, weil sie durch die BenutzerMobil ersetzt werden (bis auf die DDP). Das ist ja auch so gewollt beim replace.
Beim merge werden alle wie bei "ohneLoopback" angewendet, aber durch den Loopback passiert ja folgendes:
1) ein Computer wird gestartet
2) ist er in der Gruppe Notebooks, dann wird die GPO angewendet, aber nur der Computerteil! Dort wird dann der LBVM aktiviert
3) ein Benutzer meldet sich an einem Notebook an -> es werden die normalen Benutzer-GPOs des Users geladen (DDP, Benutzer, Drucker, Proxy)
4) da der LBVM auf dem Notebook aktiviert ist wird die Benutzer-GPO noch einmal geladen. Dabei nimmt der Rechner IMMER die DDP nocheinmal mit...
Ich gehe mal von folgendem aus:
- du hast in der DDP Einstellungen konfiguriert, die für alle Rechner gelten (vielleicht sind dort auch Standards gesetzt)
- NACH der DDP wird die Benutzer+Drucker+Proxy abgearbeitet. Dort werden wahrscheinlich etliche Einstellungen der DDP überschrieben
- Durch den Loopback wird dann aber noch einmal die DDP geladen. Und dann werden wahrscheinlich einige deiner Konfigs aus Benutzer+Drucker+Proxy wieder mit Defaults? aus der DDP überschrieben!
Vergleiche mal deine eigenen GPOs für nicht-mobile Anwender mit der Konfiguration der DDP. Überall, wo du Einstellungen in der DDP findest, die konfiguriert sind, werden deine eigenen GPOs wohl nicht funzen.
Erstelle mal für einen User auf einem mobilen PC jeweils ein RSOP einmal mit merge und einmal ohne loopback. Da sieht man schnell die Unterschiede.
Gib dann mal bitte Bescheid,
creyzee
Die Einstellungen in der DDP sind überschaubar. Für die Computerkonfiguration nur "Windows-Einstellungen > Sicherheitseinstellungen" und für die Benutzerkonfiguration nur "Windows-Einstellungen > Remoteinstallationsdienste". Die DDP sollte m.E. nichts überschreiben.
In den GPOs "Mail" (von Dir "Benutzer" genannt), "Drucker" und "Proxy" werden immer nur sehr wenige Einstellungen vorgenommen. Die GPOs "Mail" und "Drucker" führen bpsw. je nur ein Skript aus. Die GPO "Proxy" bindet nur eine PAC-Datei ein.
Wenn ich mehrere Logon-Skripte durch unterschiedliche Benutzer-GPOs konfiguriere, müssten doch alle geladen werden?!
Die drei erwähnten Benutzer-GPOs werden ja bei der Option replace gar nicht angezeigt.
In den GPOs "Mail" (von Dir "Benutzer" genannt), "Drucker" und "Proxy" werden immer nur sehr wenige Einstellungen vorgenommen. Die GPOs "Mail" und "Drucker" führen bpsw. je nur ein Skript aus. Die GPO "Proxy" bindet nur eine PAC-Datei ein.
Wenn ich mehrere Logon-Skripte durch unterschiedliche Benutzer-GPOs konfiguriere, müssten doch alle geladen werden?!
Die drei erwähnten Benutzer-GPOs werden ja bei der Option replace gar nicht angezeigt.
Zitat von @milhouse:
Die drei erwähnten Benutzer-GPOs werden ja bei der Option replace gar nicht angezeigt.
Die drei erwähnten Benutzer-GPOs werden ja bei der Option replace gar nicht angezeigt.
Das ist ja auch der Sinn des Replace.
Also hast du in den GPOs eigentlich nur Logon-Scripte drin? Wie hast du denn die Script-Abarbeitung geregelt? Gleichzeitig oder nacheinander? Vielleicht gibts dabei ja ein Problem...
Hast du mal im Eventlog eines betroffenen Clients geschaut, was der Client mitprotokolliert? Da bin ich auch schon öfter fündig geworden...
creyzee
Dann habe ich den entscheidenen Satz wohl zu schnell gelesen: "Im Replace Modus, werden alle Benutzereinstellungen des Benutzerobjekts ignoriert und verworfen und es kommen nur die Einstellungen der Benutzerkonfiguration des Computerobjekts zum Einsatz."
Ich habe jetzt eine neue GPO "LBVM merge" erstellt und diese anstelle des replace-LBVMs auf die Notebooks angewendet. Jetzt funktioniert alles wie gewünscht.
Vielen Dank für die Hilfe!
Ich habe jetzt eine neue GPO "LBVM merge" erstellt und diese anstelle des replace-LBVMs auf die Notebooks angewendet. Jetzt funktioniert alles wie gewünscht.
Vielen Dank für die Hilfe!
Hallo,
freut mich, dass es jetzt funktioniert. Ich wünsch dir was!
Viele Grüße vom creyzee
PS: markiere bitte dieses Thema als gelöst.
freut mich, dass es jetzt funktioniert. Ich wünsch dir was!
Viele Grüße vom creyzee
PS: markiere bitte dieses Thema als gelöst.
