Gruppenrichtlinie Zugriff Verweigert
Hallo zusammen,
habe folgendes Problem bzw. Anforderung.
Ich möchte einer bestimmten OU (Test-PC), die nur Computer enthält, ein GPO zuweisen dass nur bei ausgewählten Benutzern die sich an einen dieser Computer anmelden beim Start ein Programm (notepad) gestartet wird.
Ich habe dazu eine GPO erstell die wie folgt konfiguriert ist:
Benutzerkonfiguration - Administrative Vorlagen - System - Anmeldung - Dieses Programm bei der Benutzernmeldung starten: notepad.exe
mehr nicht.
Jetzt habe ich noch bei der Gruppenrichtlinie selbst bei der Sicherheitsfilterung die Authentifizierten Benutzer entfernt und einen Testuser hinzugefügt mit den Berechtigungen: Lesen und Gruppenrichtlinien übernehmen.
So habe ich gedacht dass die Konfiguration aussehen müsste. ABER!!!
Wenn ich nun einen bericht bei der Gruppenrichtlinienmodellierung erstelle wird dieses GPO abgelehnt mit dem Grund: Zugriff verweigert (Sicherheitsfilterung)
Kann mir jemand sagen an welcher Stelle hier der Fehler ist oder eine alternative Lösung vorschlagen?
Danke im Voraus
habe folgendes Problem bzw. Anforderung.
Ich möchte einer bestimmten OU (Test-PC), die nur Computer enthält, ein GPO zuweisen dass nur bei ausgewählten Benutzern die sich an einen dieser Computer anmelden beim Start ein Programm (notepad) gestartet wird.
Ich habe dazu eine GPO erstell die wie folgt konfiguriert ist:
Benutzerkonfiguration - Administrative Vorlagen - System - Anmeldung - Dieses Programm bei der Benutzernmeldung starten: notepad.exe
mehr nicht.
Jetzt habe ich noch bei der Gruppenrichtlinie selbst bei der Sicherheitsfilterung die Authentifizierten Benutzer entfernt und einen Testuser hinzugefügt mit den Berechtigungen: Lesen und Gruppenrichtlinien übernehmen.
So habe ich gedacht dass die Konfiguration aussehen müsste. ABER!!!
Wenn ich nun einen bericht bei der Gruppenrichtlinienmodellierung erstelle wird dieses GPO abgelehnt mit dem Grund: Zugriff verweigert (Sicherheitsfilterung)
Kann mir jemand sagen an welcher Stelle hier der Fehler ist oder eine alternative Lösung vorschlagen?
Danke im Voraus
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 60628
Url: https://administrator.de/forum/gruppenrichtlinie-zugriff-verweigert-60628.html
Ausgedruckt am: 24.12.2024 um 14:12 Uhr
5 Kommentare
Neuester Kommentar
Hallo,
Die Fehlermeldung kommt daher, dass der Computer die Richtlinie nicht lesen darf. Er ist zwar auch ein "Authentifizierter Benutzer", aber die dürfen ja nun nicht mehr.
Aber selbst wenn er es dürfte, würde es nicht klappen, da deine GPO am falschen Platz liegt. Nur Objekte unterhalb der entsprechenden OU verwenden die zugewiesene GPU, aber nur den entsprechenden Teil davon!
Da hier nur Computer in deiner OU sind, lesen die nur den Teil "Computerkonfiguration". Die Benutzerkonfiguration ist nicht relevant.
Du hast jetzt folgende Möglichkeiten: Entweder du setzt die GPO auf die OU, in der die User drin sind, oder du konfigurierst die GPO so, dass sie im Loopbackmodus arbeitet (Lies dir mal den Anfang dieses Artikels durch: http://www.grurili.de/HowTo/Terminal_Server.htm)
Bei der ersten Möglichkeit gilt sie immer für diesen Benutzer, egal an welchem Rechner er sich anmeldet. Bei der 2. nur dann, wenn er sich an einem PC aus dieser OU anmeldet. Kommt drauf an, was du willst.
Grundsätzlich gilt: Gruppenrichtlinien sind ein sehr mächtiges Hilfsmittel. Aber man muss sich damit auskennen, sonst kann man damit auch versehentlich viel Schaden anrichten. Experimente nur in Testumgebungen, niemals am Produktivsystem!
Gruß,
Schorsch
Die Fehlermeldung kommt daher, dass der Computer die Richtlinie nicht lesen darf. Er ist zwar auch ein "Authentifizierter Benutzer", aber die dürfen ja nun nicht mehr.
Aber selbst wenn er es dürfte, würde es nicht klappen, da deine GPO am falschen Platz liegt. Nur Objekte unterhalb der entsprechenden OU verwenden die zugewiesene GPU, aber nur den entsprechenden Teil davon!
Da hier nur Computer in deiner OU sind, lesen die nur den Teil "Computerkonfiguration". Die Benutzerkonfiguration ist nicht relevant.
Du hast jetzt folgende Möglichkeiten: Entweder du setzt die GPO auf die OU, in der die User drin sind, oder du konfigurierst die GPO so, dass sie im Loopbackmodus arbeitet (Lies dir mal den Anfang dieses Artikels durch: http://www.grurili.de/HowTo/Terminal_Server.htm)
Bei der ersten Möglichkeit gilt sie immer für diesen Benutzer, egal an welchem Rechner er sich anmeldet. Bei der 2. nur dann, wenn er sich an einem PC aus dieser OU anmeldet. Kommt drauf an, was du willst.
Grundsätzlich gilt: Gruppenrichtlinien sind ein sehr mächtiges Hilfsmittel. Aber man muss sich damit auskennen, sonst kann man damit auch versehentlich viel Schaden anrichten. Experimente nur in Testumgebungen, niemals am Produktivsystem!
Gruß,
Schorsch
Hallo,
So wie ich dich vestehe, klappt das nicht.
Computer lesen nur die Computerkonfiguration, Benutzer nur die Benutzerkonfiguration.
Wenn jetzt dein Benutzer die GPO übernehmen darf, wird er das auch tun. Ob der Computer den Computerteil lesen darf ist nicht wichtig. Demzufolge wird der Benutzer auch immer die Richtlinie übernehmen, wenn er in der entsprechenden OU ist.
Lies dir doch mal den Link bez. Loopbackmodus durch, den ich bereits geschrieben habe. Darin geht es zwar um Terminalserver, aber hier existiert die gleiche Situation:
Wenn sich hier ein Benutzer anmeldet, soll er eine andere Benutzerkonfiguration bekommen, wie wenn er sich an einem normalen PC anmeldet.
Du musst also die GPO für die entsprechenden Computer definieren und auf Loopback setzen. Meldet sich nun ein Benutzer an, drückt ihm der Computer auch die Benutzerkonfiguration der GPO auf, auch wenn der Benutzer gar nicht zur OU gehört. Hier greift dann auch wieder die Sicherheitsfilterung, sprich, du kannst die Benutzer (oder besser Gruppen) definieren, die das dürfen.
Gruß,
Schorsch
So wie ich dich vestehe, klappt das nicht.
Computer lesen nur die Computerkonfiguration, Benutzer nur die Benutzerkonfiguration.
Wenn jetzt dein Benutzer die GPO übernehmen darf, wird er das auch tun. Ob der Computer den Computerteil lesen darf ist nicht wichtig. Demzufolge wird der Benutzer auch immer die Richtlinie übernehmen, wenn er in der entsprechenden OU ist.
Lies dir doch mal den Link bez. Loopbackmodus durch, den ich bereits geschrieben habe. Darin geht es zwar um Terminalserver, aber hier existiert die gleiche Situation:
Wenn sich hier ein Benutzer anmeldet, soll er eine andere Benutzerkonfiguration bekommen, wie wenn er sich an einem normalen PC anmeldet.
Du musst also die GPO für die entsprechenden Computer definieren und auf Loopback setzen. Meldet sich nun ein Benutzer an, drückt ihm der Computer auch die Benutzerkonfiguration der GPO auf, auch wenn der Benutzer gar nicht zur OU gehört. Hier greift dann auch wieder die Sicherheitsfilterung, sprich, du kannst die Benutzer (oder besser Gruppen) definieren, die das dürfen.
Gruß,
Schorsch