tristan
Goto Top

Gruppenrichtlinien werden falsch übernommen

Hallo,

ich habe einen Testserver mit Win2003 aufgesetzt und versucht Active Directory Funktionen einzusetzen. Soweit funktioniert alles wie es soll: der Client kann sich anmelden, seine Profildaten (Eigene Dateien) werden auf dem Server gespeichert usw. Für das Umleiten der eigenen Dateien wurde eine 1 eigene] Gruppenrichtlinie eingerichtet.

Nun habe ich versucht den Befehl "Ausführen" aus dem Startmenue mit einer neuen Richtlinie (Benutzerkonfiguration/Adminis. Vorlagen/Startmenü&Taskleiste/Menüeintrag Ausführen entfernen) zu entfernen.
Das Gruppenrichtlinienobjekt wurde mit der Domäne verknüpft, sowie die Zugriffsberechtig. für DomänenBenutzer und Domänenadmins gesetzt.

Anschließend kam es zu einer Anwendung auf lokaler Ebene: auf dem Server wurde der Eintrag Ausführen entfernt.
Der Client übernahm die neue Richtlinie nicht d.h. man konnte den Menüpunkt immernoch erreichen.

(Unter DNS wurde in den Netzwerkeinstell. des Client der Server eingetragen)

Könnte ihr mir da weiterhelfen?

Tristan

Content-ID: 28999

Url: https://administrator.de/forum/gruppenrichtlinien-werden-falsch-uebernommen-28999.html

Ausgedruckt am: 22.12.2024 um 18:12 Uhr

netboarder
netboarder 26.03.2006 um 20:05:03 Uhr
Goto Top
Hi Tristan,

hat Du überprüft ob die Policie auch auf dem Client übernommen wurde?
Prüfen kannst Du in der Shell (dosbox)mit dem Befehl "gpresult".

Unter XP (ob Home weiss ich leider nicht aber mit Pro auf jedenfall) kannst Du
mit "gpupdate" das neue ziehen der Policie veranlassen.

Grüße

Uli
Tristan
Tristan 26.03.2006 um 20:33:39 Uhr
Goto Top
@uli: Vielen Dank für den Hinweis.

Bis jetzt habe ich gpupdate immer auf dem Server eingeben, als ich jetzt wieder auf den Client geschaut habe hat dieser sich in der Zwischenzeit automatisch die neue Richtlinien geholt.

Das Tool gpresult ist trotzdem sehr hilfreich gewesen. Jetzt bleibt nur noch das Problem, dass sich die Richtlinien auch auf den Server lokal auswirken.

Eine Analyse mit gpresult ergab:

Computereinstellungen:
Angewandte Gruppenrichtl
-Default Domain Controllers Policy
-Default Domain Policy

Nicht angewendt. Gruppenrichtl.
-Richtlinien d. lokalen Gruppen
-"Zugriff_Beschr"
-Ordnerumleitung

Benutzereinstellungen:
Angewandt. Richtl
- Default Domain Policy
-Richtlinien d. lokalen Gruppen
-"Zugriff_Beschr"
-Ordnerumleitung


Wo kann man den die Übernahme auf den Server Adminaccount deaktivieren?
netboarder
netboarder 26.03.2006, aktualisiert am 18.10.2012 um 17:56:44 Uhr
Goto Top
Ich denke es ist am einfachsten mit 2 OU´s zu realisiern.
Eine OU für die Server und eine für die Workstations. (Server in die Server OU verschieben und Client in die Workstation OU)
Auf die Workstation OU wendest Du dann die Policie an.
Siehe auch hier:

Gruppenrichtlinien

Ciao

Uli
RibbelRabbel
RibbelRabbel 27.03.2006 um 09:44:46 Uhr
Goto Top
Wo kann man den die Übernahme auf den
Server Adminaccount deaktivieren?


Hi,

das ist ganz einfach. Markiere deine GPO, klicke im Reiter "Delegierung" auf Erweitert (wie in deinem obigen Bild). Jetzt wählst du den gewünschten Account aus und setzt bei der Option "Gruppenrichtline übernehmen" ein Häkchen bei "Verweigern". Danach gilt diese GPO für diesen Account nicht mehr.
Tristan
Tristan 27.03.2006, aktualisiert am 18.10.2012 um 17:56:44 Uhr
Goto Top
Danke jetzt hat das mit dem "Verweigern" beim Admin auch geklappt.

Ich denke es ist am einfachsten mit 2
OU´s zu realisiern.
Eine OU für die Server und eine
für die Workstations. (Server in die
Server OU verschieben und Client in die
Workstation OU)
Auf die Workstation OU wendest Du dann die
Policie an.
Siehe auch hier:

Gruppenrichtlinien

Ciao

Uli

Wie kann man die Richtlinen den verschieben - oder sollte ich nur die Zugriffsrechte bei den beiden Gruppenrichtlinien ändern?
RibbelRabbel
RibbelRabbel 28.03.2006 um 08:01:19 Uhr
Goto Top
Also das mit den zusätzlichen OU's würde ich mal vergessen. Wenn du das bei jeder Richtlinie so durchziehst blickst du irgendwann nicht mehr durch. Für solche "Probleme" verwendet man Gruppen. Da packst du deine User oder Computer, auf die die Richtlinie nicht wirken soll, rein und machst dann bei denen "Gruppenrichtlinie übernehmen > verweigern". Ist weitaus einfacher und nicht so aufwändig.

"Verschieben" von GPO's ist vielleicht falsch ausgedrückt. Die Richtlinien die du an deiner OU siehst sind ja nur Verknüpfungen. Wenn du die z.B. löschst gibt es die Richtlinie immer noch. Diese findest du unter Gruppenrichtlinienobjekte. Du kannst dann die Richtlinie aus der einen OU löschen und an einer anderen wieder verknüpfen. Wenn du eine Richtlinie an 2 OU's betreiben willst gelten die Einstellungen ( Sicherheitsfilterung, Delegierung) für beide OU's. Wenn du z.B. bei der einen eine Gruppe/User oder Computer hinzufügst, dann wirst du die in der Richtlinie der anderen OU ebenfalls finden.

Gruß
netboarder
netboarder 28.03.2006 um 17:35:06 Uhr
Goto Top
Also das mit den zusätzlichen OU's
würde ich mal vergessen. Wenn du das
bei jeder Richtlinie so durchziehst blickst
du irgendwann nicht mehr durch. Für
solche "Probleme" verwendet man
Gruppen. Da packst du deine User oder
Computer, auf die die Richtlinie nicht
wirken soll, rein und machst dann bei denen
"Gruppenrichtlinie übernehmen >
verweigern". Ist weitaus einfacher und
nicht so aufwändig.

"Verschieben" von GPO's ist
vielleicht falsch ausgedrückt. Die
Richtlinien die du an deiner OU siehst sind
ja nur Verknüpfungen. Wenn du die z.B.
löschst gibt es die Richtlinie immer
noch. Diese findest du unter
Gruppenrichtlinienobjekte. Du kannst dann
die Richtlinie aus der einen OU löschen
und an einer anderen wieder verknüpfen.
Wenn du eine Richtlinie an 2 OU's betreiben
willst gelten die Einstellungen (
Sicherheitsfilterung, Delegierung) für
beide OU's. Wenn du z.B. bei der einen eine
Gruppe/User oder Computer hinzufügst,
dann wirst du die in der Richtlinie der
anderen OU ebenfalls finden.

Gruß

Da stimme ich zu, ich würde je nach Umgebung die eine oder ander Lösung bevorzugen.
Wir haben das ganze aus den Gründen der Übersichtlichkeit und aufgrund schon einer sehr grossen Anzahl von Gruppen auf die verschiedene Policies angewendet werden auf OU Basis gemacht.

Gruß
RibbelRabbel
RibbelRabbel 29.03.2006 um 07:28:53 Uhr
Goto Top
Spricht auch nichts dagegen... face-wink
Wir machen das über Gruppen. Kommt wohl immer drauf an, wo man die Übersichtlichkeit haben möchte. Wir haben auch sehr viele Gruppen, aber damit komme ich zumindest besser zurecht. Aber wie du schon geschrieben hast, die Übersichtlichkeit leidet bei der einen oder anderen Stelle.

Gruß