131455
30.01.2017
1770
12
0
Gruppenrichtlinie "Store" für Geschäftleitungsmitglieder zieht nicht. Obwohl verlinkt
Hallo Zusammen,
ich habe eine Policy erstellt für Geschäftsleitungsmitglieder. Nur bei denen soll "Store" von Microsoft erlaubt sein. Diese Policy habe ich auf Computerelemente und Userobjecte verlinkt.
Loggt man nun ein, dann erscheint immer Security Filtering "Denied" . Das Setting ist ein Computerobject. Berechtigt ewrden aber die User bei "authenticated Users"
Würde ich zusätzlich den Laptopname mit eintragen , dann geht es. Es soll aber unabhängig von jeder Hardware bei den GL Mitgliedern gehen. Also habe ich kein Computerobject bei Authenticated Users eingetragen und einen "Loopback" Merge eingerichtet. Auch das hilft nicht weiter.
Was könnte man machen ?
Gruss
Rainer
ich habe eine Policy erstellt für Geschäftsleitungsmitglieder. Nur bei denen soll "Store" von Microsoft erlaubt sein. Diese Policy habe ich auf Computerelemente und Userobjecte verlinkt.
Loggt man nun ein, dann erscheint immer Security Filtering "Denied" . Das Setting ist ein Computerobject. Berechtigt ewrden aber die User bei "authenticated Users"
Würde ich zusätzlich den Laptopname mit eintragen , dann geht es. Es soll aber unabhängig von jeder Hardware bei den GL Mitgliedern gehen. Also habe ich kein Computerobject bei Authenticated Users eingetragen und einen "Loopback" Merge eingerichtet. Auch das hilft nicht weiter.
Was könnte man machen ?
Gruss
Rainer
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 327964
Url: https://administrator.de/forum/gruppenrichtlinie-store-fuer-geschaeftleitungsmitglieder-zieht-nicht-obwohl-verlinkt-327964.html
Ausgedruckt am: 09.04.2025 um 08:04 Uhr
12 Kommentare
Neuester Kommentar
Plus und Minus ist immer noch Minus, wenn im Baum weiter oben der Store verboten wird, kannst du es unten erlauben, wie du willst. Mehr, als die Vererbung von oben aufzubrechen und der OU Geschäftsleitung alles händisch zuzuweisen, wird dir nicht übrig sein.
Btw. Ist "Authenticated Users" eine Ebene über Benutzer und Computer und steht für beides. Lege alternativ eine OU an, wo alle Geräte der Geschäftsleitung enthalten sind und verlinke diese.
Btw. Ist "Authenticated Users" eine Ebene über Benutzer und Computer und steht für beides. Lege alternativ eine OU an, wo alle Geräte der Geschäftsleitung enthalten sind und verlinke diese.
Welche Windows 10 Edition wird eingesetzt?
Nicht alle GPOs funktionieren in der Pro.
Gruß
Looser
Nicht alle GPOs funktionieren in der Pro.
Gruß
Looser
Hallo,
die GPO hat Prio1 . Trage ich "Authenticated Users" ein, dann funktioniert es und man sieht diese als Winning GPO.
Sobald aber ein User oder Gruppe eingetragen wird geht es wie oben beschrieben nicht.
Gruss
Rainer
die GPO hat Prio1 . Trage ich "Authenticated Users" ein, dann funktioniert es und man sieht diese als Winning GPO.
Sobald aber ein User oder Gruppe eingetragen wird geht es wie oben beschrieben nicht.
Gruss
Rainer
Hallo,
es ist die Enterprise Version.
Gruss
Rainer
es ist die Enterprise Version.
Gruss
Rainer
Hallo,
Bei Autehticated Users sind die Computer mit dabei, wenn man auf Gruppen filtert muss den Computerkonten in der erweiterten Ansicht das Leserecht gegeben werden.
Gruß
Chonta
trage ich "Authenticated Users" ein, dann funktioniert es
vergessen, dass die GPO im Computermodus laufen und die Computerkonten Lesezugriff auf die GPOs brauchen, damit diese überhaupt abearbeitet werden?Bei Autehticated Users sind die Computer mit dabei, wenn man auf Gruppen filtert muss den Computerkonten in der erweiterten Ansicht das Leserecht gegeben werden.
Gruß
Chonta
Hallo Chonta,
wie mache ich das ? Trage ich Computer bei Delegation ein ? Wo finde ich diese erweiterte Ansicht ?
Gruss
Rainer
wie mache ich das ? Trage ich Computer bei Delegation ein ? Wo finde ich diese erweiterte Ansicht ?
Gruss
Rainer
Delegierung > unten Erweitert und dann in der ACL die Domänen-Computer hinzufügen und dafür sorgen, das diese nur lesen können.
Die GPO bleibt natürlich auf der OU mit den Benutzern verlinkt.!
Gruß
Chonta
Die GPO bleibt natürlich auf der OU mit den Benutzern verlinkt.!
Gruß
Chonta
1
Hallo,
Ok danke. Da hatte ich mal Autheticated user beim testen eingetragen. Nun habe ich eine kleine Anzahl gl Kisten. Gibt es einen Eintrag wie Domaenenuser fuer Alle User, auch einen Eintrag fuer Alle Computer ? Oder muss ich nun wirklich jeden Computer einzeln eintragen ?
Gruss
Rainer
Ok danke. Da hatte ich mal Autheticated user beim testen eingetragen. Nun habe ich eine kleine Anzahl gl Kisten. Gibt es einen Eintrag wie Domaenenuser fuer Alle User, auch einen Eintrag fuer Alle Computer ? Oder muss ich nun wirklich jeden Computer einzeln eintragen ?
Gruss
Rainer
Du gibst entweder der Gruppe Domänen-Computer oder Authenticated User einfach Leserechte und fertig.
Damit die GPU angwendet wird muss neben lesen auch übernehmen aktiviert sein.
Und wie gesagt in der ACL unter erweitert bei der Delegierung muss das gemacht werden.
Am Filtern nach Gruppen hat sich nichts geändert, aber seid Sommer 2016 werden GPO im Kontext des Computerkontos ausgeführt (jede GPO), und damit die Einstellungen gesetzt werden können müssen die Computer die GPO lesen können.
Für wen die GPO dan wirken und nicht, hat sich nicht geändert (Filtern nach Gruppen, Computer GPO, Benutzer GPO und immer auf Objeckte der OU wo die GPO verlinkt ist, alles immer noch das selbe)
Gruß
Chonta
Damit die GPU angwendet wird muss neben lesen auch übernehmen aktiviert sein.
Und wie gesagt in der ACL unter erweitert bei der Delegierung muss das gemacht werden.
Am Filtern nach Gruppen hat sich nichts geändert, aber seid Sommer 2016 werden GPO im Kontext des Computerkontos ausgeführt (jede GPO), und damit die Einstellungen gesetzt werden können müssen die Computer die GPO lesen können.
Für wen die GPO dan wirken und nicht, hat sich nicht geändert (Filtern nach Gruppen, Computer GPO, Benutzer GPO und immer auf Objeckte der OU wo die GPO verlinkt ist, alles immer noch das selbe)
Gruß
Chonta
Ok cool. Teste das morgen gleich . Authenticated war eingetragen mit Read bei Delegation. Ist Computerkonto nicht standardmaessig da ?
Bin nun nicht mehr Office.
Was meinsz du mit uebernehmen ? Wenn ich es auswaehle. Muss ich ja bei Read mit ok bestaetigen das es bei Delegation steht.
Gruss
Rainer
Bin nun nicht mehr Office.
Was meinsz du mit uebernehmen ? Wenn ich es auswaehle. Muss ich ja bei Read mit ok bestaetigen das es bei Delegation steht.
Gruss
Rainer
Hallo,
ich habe Computerkonten bei Delegated eingetragen , es geht aber nicht. Gehe ich über Advanced und füge ich es hinzu.
Drücke ich dann bei
Apply Group Policy, dann trägt sich das bei "Scope" auch mit ein.
Und somit filtert es nicht nach USer.
Gruss
Rainer
ich habe Computerkonten bei Delegated eingetragen , es geht aber nicht. Gehe ich über Advanced und füge ich es hinzu.
Drücke ich dann bei
Und somit filtert es nicht nach USer.
Gruss
Rainer
Aply bedeutet ja auch Anwenden und nicht nur lesen. Wenn Du der Gruppe Autenticatet User Aplay gibst, dann wenden die auch alles an.
1. Gruppenrichtlinieneditor auf machen
2. Die GPO anklicken
3. Vergewissen das in der Sicherheitsfilterung nur die Gruppen drin sind auf dieman das Teil anwenden will.
4. Oben auf Delegierung klicken
5. unten Rechts auf Erweitert Dann öffnet sich eine ACL.
6. Bei Gruppen-oder Benutzernamen auf Hinzufügen klicken,
7. Die Gruppe der Domänencomputer oder autenticatet user hinzufügen.
8. Verwewissend das die eben hinzugefügte Gruppe NUR LESEN bei Zulassen hat und nix weiter.
9. Auf OK bestätigen und dann fertig
Die ACL die Du gepostet hast hat mal 1000000 mehr als die ACL die ich habe, keine ahnung von wo Du das Teil öffnest.
Apply to und das ganze gedöns habe ich nicht.
Ich arbeite von einem Windows 10 1511 mit RSAT auf einem Server 2012R2
Gruß
Chonta
1. Gruppenrichtlinieneditor auf machen
2. Die GPO anklicken
3. Vergewissen das in der Sicherheitsfilterung nur die Gruppen drin sind auf dieman das Teil anwenden will.
4. Oben auf Delegierung klicken
5. unten Rechts auf Erweitert Dann öffnet sich eine ACL.
6. Bei Gruppen-oder Benutzernamen auf Hinzufügen klicken,
7. Die Gruppe der Domänencomputer oder autenticatet user hinzufügen.
8. Verwewissend das die eben hinzugefügte Gruppe NUR LESEN bei Zulassen hat und nix weiter.
9. Auf OK bestätigen und dann fertig
Die ACL die Du gepostet hast hat mal 1000000 mehr als die ACL die ich habe, keine ahnung von wo Du das Teil öffnest.
Apply to und das ganze gedöns habe ich nicht.
Ich arbeite von einem Windows 10 1511 mit RSAT auf einem Server 2012R2
Gruß
Chonta
