10
Gruppenrichtlinien in WindowsServer Domäne
Ich habe zu Testzwecken einen 2008R2 Testserver zum DC gemacht und in die Domäne einen anderen Rechner (Win8) aufgenommen. Jetzt möchte ich in der Domäne bestimmten Benutzern (unabhängig vom benutzten Rechner) das Recht verwehren Wechseldatenträger zu benutzen. Naiv wie ich bin dachte ich mir: "Das geht doch sicher einfach mit Gruppenrichtlinien!" Aber entweder bin ich zu blöd dafür, die Optiion ist zu gut für mich versteckt oder es geht einfach nicht.
Ich habe bisher in meiner Domäne eine neue OU und in dieser dann eine Sicherheitsgruppe erstellt und diese dann dem TestUser zugewiesen. Über die Grupperichtlinienverwaltung habe ich ein Gruppenrichtlinienobjekt erstellt und verknüpft. In diesem GPO habe ich unter Benutzerkonfiguration -> Richtlinien -> Admininstrative Vorlagen -> System -> Wechselmedienzugriff "Alle Wechselmedienklassen: jeglichen zugriff verweigern" aktiviert. Leider kann der TestUser immernoch auf USB-Sticks zugreifen.
Schiebe ich den Computer in die OU und ändere in der GPO die Einstellung auf Computerkonfiguration, funktioniert alles wie erwartet. Nur ist das nicht die Lösung die ich brauche.
Kennt jemand das Problem, und vielleicht sogar eine Lösung?
Grüße,
Mesaou
Ich habe bisher in meiner Domäne eine neue OU und in dieser dann eine Sicherheitsgruppe erstellt und diese dann dem TestUser zugewiesen. Über die Grupperichtlinienverwaltung habe ich ein Gruppenrichtlinienobjekt erstellt und verknüpft. In diesem GPO habe ich unter Benutzerkonfiguration -> Richtlinien -> Admininstrative Vorlagen -> System -> Wechselmedienzugriff "Alle Wechselmedienklassen: jeglichen zugriff verweigern" aktiviert. Leider kann der TestUser immernoch auf USB-Sticks zugreifen.
Schiebe ich den Computer in die OU und ändere in der GPO die Einstellung auf Computerkonfiguration, funktioniert alles wie erwartet. Nur ist das nicht die Lösung die ich brauche.
Kennt jemand das Problem, und vielleicht sogar eine Lösung?
Grüße,
Mesaou
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 289325
Url: https://administrator.de/contentid/289325
Ausgedruckt am: 24.11.2024 um 08:11 Uhr
10 Kommentare
Neuester Kommentar
Hallo,
hast du die Gruppenrichtlinie beim Client schon "geladen"?...
cmd öffnen und "gpupdate /force" eingeben
... sorry hab den letzten satz nicht gelesen... In welcher OU ist dein Rechner wo es nicht funktioniert?...
hast du die Gruppenrichtlinie beim Client schon "geladen"?...
cmd öffnen und "gpupdate /force" eingeben
... sorry hab den letzten satz nicht gelesen... In welcher OU ist dein Rechner wo es nicht funktioniert?...
ja "gpupdate /force" hab ich nach jeder Änderung sowohl auf dem Client als auch auf dem Server durchgeführt (nur so zur Sicherheit auf beiden Seiten). Beim Ändern der GPO zur Benutzerkonfiguration habe ich den Rechner wieder zu "Computers" zurückgeschoben.
Moin,
was sagt denn rsop.msc? Oder ein "gpresult /H"?
Gruß
Toni
was sagt denn rsop.msc? Oder ein "gpresult /H"?
Gruß
Toni
Hallo,
ist der Benutzer auch in der OU auf die die GPO angewendet wird drin?
Wird die GPO auch nur auf die spezielle Gruppe angewendet?
Gruß
Chonta
ist der Benutzer auch in der OU auf die die GPO angewendet wird drin?
Wird die GPO auch nur auf die spezielle Gruppe angewendet?
Gruß
Chonta
Nach was soll ich in der rsop.msc suchen? "gpresult /H" sagt dass es diesen Befehl nicht gibt.
Der Benutzer ist in der Gruppe die in der OU liegt. Der Benutzer selber liegt unter User. Ich ahbe allerdings auch schon probiert den Benutzer in die OU selbst zu schieben ... ohne Erfolg.
Ich habe schon probiert ob es einen Unterschied macht die Gruppe in der sich der TestUser ja befindet in der Sicherheitsfilterung einzutragen, war nicht der Fall.
Der Benutzer ist in der Gruppe die in der OU liegt. Der Benutzer selber liegt unter User. Ich ahbe allerdings auch schon probiert den Benutzer in die OU selbst zu schieben ... ohne Erfolg.
Ich habe schon probiert ob es einen Unterschied macht die Gruppe in der sich der TestUser ja befindet in der Sicherheitsfilterung einzutragen, war nicht der Fall.
Der Benutzer muss aber zwangsläuft an einem Ort sein wo die GPO greift, also in der OU auf die die GPO angewendet wird.
Ansonstn muss die GPO auf Dominebene angewendet werden.
gpresult /R und schauen ob die GPO vom Benutzer gezogen wird.
Gruß
Chonta
Ansonstn muss die GPO auf Dominebene angewendet werden.
gpresult /R und schauen ob die GPO vom Benutzer gezogen wird.
Gruß
Chonta
Ich bin mir zwar relativ sicher, dass ich diese Einrichtung vorher schonmal hatte ... mag mich aber täuschen ... jetzt funktioniert es auf jedenfall. Danke euch
Moin,
okay. Ich wusste nicht, dass du den Befehl nicht kennst. Bei dem Parameter /H musst du danach noch einen Pfad angeben, wohin er die Datei speichern soll. Oder z. B. "gpresult /H gpReport.html". Dann erstellt er dir eine .html Datei in dem Pfad, wo du dich mit deiner Eingabeaufforderung gerade befindest.
In dem HTML-Report steht auch welche Richtlinien er zieht und welche er nicht ziehen konnte, weil es dort zu Fehlern gekommen ist und beschreibt auch, warum.
Gruß
Toni
okay. Ich wusste nicht, dass du den Befehl nicht kennst. Bei dem Parameter /H musst du danach noch einen Pfad angeben, wohin er die Datei speichern soll. Oder z. B. "gpresult /H gpReport.html". Dann erstellt er dir eine .html Datei in dem Pfad, wo du dich mit deiner Eingabeaufforderung gerade befindest.
In dem HTML-Report steht auch welche Richtlinien er zieht und welche er nicht ziehen konnte, weil es dort zu Fehlern gekommen ist und beschreibt auch, warum.
Gruß
Toni
Hallo,
cool Danke wieder was gelernt
Gruß
Chonta
cool Danke wieder was gelernt
Gruß
Chonta
Oft scheitert das Greifen einer GPO daran, das die Sicherheitsgruppe in die OU gepackt wird, aber der User noch im Standard-Container liegt. Und auf dem Standard-Container greifen eben die GPO's auf Domainebene. Also immer die Gruppe UND den User aus dem Container in die OU verschieben.
