Gruppenrichtlinien auf Gruppe in OU anwenden
Gruppenrichtlinien auf Gruppe in OU anwenden
Hallo,
Ich wende eine GP auf eine OU an. Diese OU soll Benutzerbeschränkungen für die Anmeldung an einem Terminalserver setzen.
Problem:
Wenn ich einen Benutzer in diese OU verschiebe, funktioniert alles perfekt, alle Einschränkungen werden gesetzt.
Wenn ich aber eine Gruppe (globale/Sicherheitsgruppe) in die OU verschiebe, wird die Richtlinie nicht auf die User angewendet.
Danke.
Gruß
Christian
Hallo,
Ich wende eine GP auf eine OU an. Diese OU soll Benutzerbeschränkungen für die Anmeldung an einem Terminalserver setzen.
Problem:
Wenn ich einen Benutzer in diese OU verschiebe, funktioniert alles perfekt, alle Einschränkungen werden gesetzt.
Wenn ich aber eine Gruppe (globale/Sicherheitsgruppe) in die OU verschiebe, wird die Richtlinie nicht auf die User angewendet.
Danke.
Gruß
Christian
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 21908
Url: https://administrator.de/forum/gruppenrichtlinien-auf-gruppe-in-ou-anwenden-21908.html
Ausgedruckt am: 23.12.2024 um 06:12 Uhr
15 Kommentare
Neuester Kommentar
Hallo,
Ich wende eine GP auf eine OU an. Diese OU
soll Benutzerbeschränkungen für
die Anmeldung an einem Terminalserver
setzen.
Problem:
Wenn ich einen Benutzer in diese OU
verschiebe, funktioniert alles perfekt, alle
Einschränkungen werden gesetzt.
Wenn ich aber eine Gruppe
(globale/Sicherheitsgruppe) in die OU
verschiebe, wird die Richtlinie nicht auf
die User angewendet.
Ich wende eine GP auf eine OU an. Diese OU
soll Benutzerbeschränkungen für
die Anmeldung an einem Terminalserver
setzen.
Problem:
Wenn ich einen Benutzer in diese OU
verschiebe, funktioniert alles perfekt, alle
Einschränkungen werden gesetzt.
Wenn ich aber eine Gruppe
(globale/Sicherheitsgruppe) in die OU
verschiebe, wird die Richtlinie nicht auf
die User angewendet.
schau doch mal bei www.gruli.de vorbei
Danke.
Gruß
Christian
Gruß
Christian
Normalerweise werden ja Berechtigungen nicht über die OU's abgehandelt. Besser wäre z.B. 1 OU und darauf setzen dann deine GPO's auf (Terminalserverberechtigung, Internetzugang...usw.) In dieser OU definiert man dann die entsprechenden Gruppen (z.B. Internetzugang). Bei der dann dem Internetzugang entsprechenden Richtlinie nimmst du dann halt nur diese Gruppe auf, damit diese nur für die Internetgruppe gültig ist. Dann hätte sich dein Problem auch schon erledigt. Wenn nun jemand Internet und Terminalserverzugriff benötigt muss er halt in beiden Gruppen Mitglied sein. Das dürfte deine Arbeit etwas erleichtern.
Das hilft mir in diesem Fall nicht weiter,
denn ich habe drei OUs.
Die eine setzt Internetrichtlinien und die
andere die Terminalserver Richtlinie, die
dritte ist für User ohne Internet.
Wenn ein User Internet bekommt wird dieser
von der "normalen OU" in die
Internet OU verschoben. Aber was mache ich
jetzt, wenn dieser sich auch noch am
Terminalserver anmelden soll? Die
Internetrichtlinie soll aber nicht für
alle gelten, sonst hätte ich diese
schon in die Terminalserverrichtl.
integriert.
Was nun????
ok , dann werde ich mal versuchen, du hast 3 Gruppen mit User gefüllt, die auch z.Teil in den anderen Gruppen Mitglied sein können.denn ich habe drei OUs.
Die eine setzt Internetrichtlinien und die
andere die Terminalserver Richtlinie, die
dritte ist für User ohne Internet.
Wenn ein User Internet bekommt wird dieser
von der "normalen OU" in die
Internet OU verschoben. Aber was mache ich
jetzt, wenn dieser sich auch noch am
Terminalserver anmelden soll? Die
Internetrichtlinie soll aber nicht für
alle gelten, sonst hätte ich diese
schon in die Terminalserverrichtl.
integriert.
Was nun????
Jede Gruppe soll von einer GPO versorgt werden, gibt es eine GPO die immer als letztes laufen muss oder sind alle Wirkungen
der GPOs vereinent? wird eine Loopback funktion benötigt?
du hast 3 GPOs erstellt, nun gehe in Eigenschaften der GPO in Reiter Sicherheitseinstellungen, hier kannst du einer Gruppe, einem einzelen User
das Recht zu Übernahme Richtlinie entfernen, damit wirkt sich die GPO NICHT auf jene Gruppe aus.
Den Rest mußt du machen.
cu
willi
Hi,
warum erstellst du nicht eine OU Terminalserver, in die du die die Policy ablegst. Die neue OU sollte dann den Terminalserver beinhalten. Als Besonderheiten sollte noch folgendes eingestellt werden. In den sicherheitseinstellungen für die GPO Administratoren - Richtlinie verweigern (damit die GPO bei Admins nicht greifen)
Loopback Verarbeitung aktivieren (damit die GPO bei den Usern greift)
mfg
DrOktagon
warum erstellst du nicht eine OU Terminalserver, in die du die die Policy ablegst. Die neue OU sollte dann den Terminalserver beinhalten. Als Besonderheiten sollte noch folgendes eingestellt werden. In den sicherheitseinstellungen für die GPO Administratoren - Richtlinie verweigern (damit die GPO bei Admins nicht greifen)
Loopback Verarbeitung aktivieren (damit die GPO bei den Usern greift)
mfg
DrOktagon
Hi,
probier es mal damit:
Computerkonfiguration | Administrative Vorlagen | System | Gruppenrichtlinien
-> Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie:
aktivieren, Modus: ersetzen
Voila.
mfg
DrOktagon
PS: nicht vergessen, bis die Policy repliziert ist, dauert es ein bischen
probier es mal damit:
Computerkonfiguration | Administrative Vorlagen | System | Gruppenrichtlinien
-> Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie:
aktivieren, Modus: ersetzen
Voila.
mfg
DrOktagon
PS: nicht vergessen, bis die Policy repliziert ist, dauert es ein bischen
Hi,
ich habe etliche Terminalserver mit dieser Methode konfiguriert. Hast du eventuell nicht lange genug gewartet, bis die Gruppenrichtlinien greifen?!
Ansonsten mal ein gpupdate, bzw. secedit ... hinterherschieben
mfg
DrOktagon
ich habe etliche Terminalserver mit dieser Methode konfiguriert. Hast du eventuell nicht lange genug gewartet, bis die Gruppenrichtlinien greifen?!
Ansonsten mal ein gpupdate, bzw. secedit ... hinterherschieben
mfg
DrOktagon
Hallo Vinzenz,
ich habe auch genau das gleiche Problem. Du hast geschrieben, dass es da ein Berechtigungsproblem gibt. Und ich bin der festen Überzeugung, du hast absolut Recht.
Wenn ich einem User die Gruppe Domänen-Admins stecke, funktioniert. - Sind natürlich zu viele Rechte.
Kannst du mir nochmal bitte genau beschreiben, was du getan hast, damit´s funktioniert?
Denn ich hab wie gesagt, genau das selbe Problem. Computerrichtlinien funzen, aber die Userrichtlinien halt nicht, obwohl ich den Loopbackverarbeitungsmodus aktiviert habe...
Wäre unheimlich dankbar für deine Hilfe!
ich habe auch genau das gleiche Problem. Du hast geschrieben, dass es da ein Berechtigungsproblem gibt. Und ich bin der festen Überzeugung, du hast absolut Recht.
Wenn ich einem User die Gruppe Domänen-Admins stecke, funktioniert. - Sind natürlich zu viele Rechte.
Kannst du mir nochmal bitte genau beschreiben, was du getan hast, damit´s funktioniert?
Denn ich hab wie gesagt, genau das selbe Problem. Computerrichtlinien funzen, aber die Userrichtlinien halt nicht, obwohl ich den Loopbackverarbeitungsmodus aktiviert habe...
Wäre unheimlich dankbar für deine Hilfe!