27
Problem mit GPO und Gruppe
Hallo zusammen,
ich habe ein kleines Problem und wollte daher mal um Rat fragen. Ich habe einen Terminal Server mit insgesamt 19 Benutzern. Nun will ich einige Sachen sperren wie z.B. PowerShell, ServerManager etc. Dazu habe ich auf dem DC in der Gruppenrichtlinienveraltung ein neues Gruppenrichtlinienobjekt erstellt und unter dem Punkt Sicherheitsfilterung nur die von mir erstellte Gruppe aus der AD eingetragen in welcher sich eben diese User befinden.
Wenn ich nach einem "gpupdate /force" auf dem Terminal nun mich mit einem der User anmelde, dann greift aber leider diese GPO nicht. Ich habe testweise zB. in der Systemsteuerung unter: "Benutzerkonfiguration\Administrative Vorlagen\Systemsteuerung\Angegebene Systemsteuerungsymbole ausblenden" die Energieoptinen ausgeblendet. Dies funktioniert auch nicht. Leider weiss ich gerade nicht wo ich eventuell noch was vergessen hätte.
Falls jemand noch einen Tipp hätte wäre ich sehr dankbar
Schönen Tag noch und Danke.
ich habe ein kleines Problem und wollte daher mal um Rat fragen. Ich habe einen Terminal Server mit insgesamt 19 Benutzern. Nun will ich einige Sachen sperren wie z.B. PowerShell, ServerManager etc. Dazu habe ich auf dem DC in der Gruppenrichtlinienveraltung ein neues Gruppenrichtlinienobjekt erstellt und unter dem Punkt Sicherheitsfilterung nur die von mir erstellte Gruppe aus der AD eingetragen in welcher sich eben diese User befinden.
Wenn ich nach einem "gpupdate /force" auf dem Terminal nun mich mit einem der User anmelde, dann greift aber leider diese GPO nicht. Ich habe testweise zB. in der Systemsteuerung unter: "Benutzerkonfiguration\Administrative Vorlagen\Systemsteuerung\Angegebene Systemsteuerungsymbole ausblenden" die Energieoptinen ausgeblendet. Dies funktioniert auch nicht. Leider weiss ich gerade nicht wo ich eventuell noch was vergessen hätte.
Falls jemand noch einen Tipp hätte wäre ich sehr dankbar
Schönen Tag noch und Danke.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 666140
Url: https://administrator.de/contentid/666140
Printed on: April 23, 2024 at 06:04 o'clock
27 Comments
Latest comment
Hallo,
füge die Gruppe Domänen-Computer noch mit Leserecht in der Sicherheitsfilterung hinzu, dann sollte die GPO gelesen und übernommen werden können.
füge die Gruppe Domänen-Computer noch mit Leserecht in der Sicherheitsfilterung hinzu, dann sollte die GPO gelesen und übernommen werden können.
Moin
Dazu habe ich auf dem DC in der Gruppenrichtlinienveraltung ein neues Gruppenrichtlinienobjekt erstellt und unter dem Punkt Sicherheitsfilterung nur die von mir erstellte Gruppe aus der AD eingetragen in welcher sich eben diese User befinden.
Wenn dort wirklich nur die erstellte Gruppe drin ist und du authentifizierte Benutzer gelöscht hast, dann musst du authentifizierte Benutzer in der Delegierung händisch Leserechte hinzufügen.
Gruß
Doskias
Dazu habe ich auf dem DC in der Gruppenrichtlinienveraltung ein neues Gruppenrichtlinienobjekt erstellt und unter dem Punkt Sicherheitsfilterung nur die von mir erstellte Gruppe aus der AD eingetragen in welcher sich eben diese User befinden.
Wenn dort wirklich nur die erstellte Gruppe drin ist und du authentifizierte Benutzer gelöscht hast, dann musst du authentifizierte Benutzer in der Delegierung händisch Leserechte hinzufügen.
Gruß
Doskias
Wie die Kollegen schon angemerkt haben, altes Thema über das GPO-Anfänger immer mal wieder stolpern, hier wirds nochmal ausführlich erläutert...
Sicherheitsfilterung neu erfunden
Gruß w.
Sicherheitsfilterung neu erfunden
Gruß w.
Zitat von @Doskias:
Wenn dort wirklich nur die erstellte Gruppe drin ist und du authentifizierte Benutzer gelöscht hast, dann musst du authentifizierte > Benutzer in der Delegierung händisch Leserechte hinzufügen.
Wenn dort wirklich nur die erstellte Gruppe drin ist und du authentifizierte Benutzer gelöscht hast, dann musst du authentifizierte > Benutzer in der Delegierung händisch Leserechte hinzufügen.
Ich würde die Domänen-Computer Gruppe bevorzugen. Alternativ kann auch authentifizierte Benutzer oder (theoretisch) auch Jeder genommen werden, aber wenn es schon eine Gruppe extra für Computer gibt - warum dann nicht auch verwenden.
Zu allem Überfluss schreibt der DC das ja sogar hin, wenn man authentifizierte Benutzer löscht
Ich kann mich noch an den Tag erinnern als der Patch bei unseren Kunden automatisch installiert wurde und wir knapp 500 DC hatten, die alle keine Gruppenrichtlinien mehr verarbeitet haben aus dem Grund. Das PS-Skript um das zu bereinigen hab ich aus nostalgischen Gründen ausgedruckt und eingerahmt
Ich kann mich noch an den Tag erinnern als der Patch bei unseren Kunden automatisch installiert wurde und wir knapp 500 DC hatten, die alle keine Gruppenrichtlinien mehr verarbeitet haben aus dem Grund. Das PS-Skript um das zu bereinigen hab ich aus nostalgischen Gründen ausgedruckt und eingerahmt
Hi,
am Rande, zum Thema "authentifizierte Benutzer":
Wenn man nicht gerade eine MMC von anno dazumal betreibt, dann erledigt das die MMC meines Wissens von allein.
Jedenfalls ist das bei uns so, dass die MMC die "authentifizierten Benutzer" von selbst mit "nur Lesen" hinzufügt, sobald man diese aus der Sicherheitsfilterung heraus nimmt.
Edit:
Oh man, ich werde alt ...
Das ist Käse, was ich da geschrieben habe! Wir haben dafür einen dienst am Laufen. Sorry bitte für die Verwirrung ...
E.
Wenn man nicht gerade eine MMC von anno dazumal betreibt, dann erledigt das die MMC meines Wissens von allein.
Jedenfalls ist das bei uns so, dass die MMC die "authentifizierten Benutzer" von selbst mit "nur Lesen" hinzufügt, sobald man diese aus der Sicherheitsfilterung heraus nimmt.
Edit:
Oh man, ich werde alt ...
Das ist Käse, was ich da geschrieben habe! Wir haben dafür einen dienst am Laufen. Sorry bitte für die Verwirrung ...
E.
Du hast natürlich recht. Es muss nicht der Authentifizierte Benutzer sein. Es geht auch Domänen-Computer.
Jeder würde ich aber ganz stark von abraten. Mit der Delegierung setzt du nämlich Rechte auf den Ordner auf dem DC und da will ich persönlich nicht jeder drin stehen haben, auch nicht lesend.
Jeder würde ich aber ganz stark von abraten. Mit der Delegierung setzt du nämlich Rechte auf den Ordner auf dem DC und da will ich persönlich nicht jeder drin stehen haben, auch nicht lesend.
Du hast diese GPO aber sicherlich auch mit einer OU verlinkt, über welche der Benutzer diese dann "erben" kann?!
Zitat von @Doskias:
Du hast natürlich recht. Es muss nicht der Authentifizierte Benutzer sein. Es geht auch Domänen-Computer.
Nur, wenn es sich um nur eine Domäne handelt.Du hast natürlich recht. Es muss nicht der Authentifizierte Benutzer sein. Es geht auch Domänen-Computer.
Jeder würde ich aber ganz stark von abraten. Mit der Delegierung setzt du nämlich Rechte auf den Ordner auf dem DC und da will ich persönlich nicht jeder drin stehen haben, auch nicht lesend.
???Natürlich ist das so. Und die "Sicherheitsfilterung" macht nichts anderes.
Hi Emeriks
Welche MMC nutzt du da? Wir haben auf unserem Windows Server 2019 die MMC 3.0 in der Version 1809 (Build 17763.1757), Server-Patchstand vom 07.04.2021. Unsere macht das nicht automatisch. habt ihr da ggf. ein Skript im Hintergrund laufen?
Gruß
Doskias
Zitat von @emeriks:
Hi,
am Rande, zum Thema "authentifizierte Benutzer":
Wenn man nicht gerade eine MMC von anno dazumal betreibt, dann erledigt das die MMC meines Wissens von allein.
Jedenfalls ist das bei uns so, dass die MMC die "authentifizierten Benutzer" von selbst mit "nur Lesen" hinzufügt, sobald man diese aus der Sicherheitsfilterung heraus nimmt.
E.
Hi,
am Rande, zum Thema "authentifizierte Benutzer":
Wenn man nicht gerade eine MMC von anno dazumal betreibt, dann erledigt das die MMC meines Wissens von allein.
Jedenfalls ist das bei uns so, dass die MMC die "authentifizierten Benutzer" von selbst mit "nur Lesen" hinzufügt, sobald man diese aus der Sicherheitsfilterung heraus nimmt.
E.
Welche MMC nutzt du da? Wir haben auf unserem Windows Server 2019 die MMC 3.0 in der Version 1809 (Build 17763.1757), Server-Patchstand vom 07.04.2021. Unsere macht das nicht automatisch. habt ihr da ggf. ein Skript im Hintergrund laufen?
Gruß
Doskias
Nein, kein Script.
MMC Gruppenrichtlinienverwaltung von Win2016, aktueller Patch-Stand, v6.0.0.1.
Das ist aber "schon immer" so. Kurz nachdem MS das Verhalten des GPO-Clients dies bzgl. geändert hatte kam dann auch eine aktualisierte MMC mit den WSUS Updates, welche das automatisch macht.
MMC Gruppenrichtlinienverwaltung von Win2016, aktueller Patch-Stand, v6.0.0.1.
Das ist aber "schon immer" so. Kurz nachdem MS das Verhalten des GPO-Clients dies bzgl. geändert hatte kam dann auch eine aktualisierte MMC mit den WSUS Updates, welche das automatisch macht.
Mann Mann Mann. ich hab es heute aber auch wieder mit meiner schwammigen Ausdrucksweise
Mir ging es nicht darum, dass die Delegierung Ordnerrechte setzt und die Sicherheitsfilterung nicht. Mir ging es darum, dass ich nicht jeder in den Ordnerberechtigungen stehen haben will. Sei es über die Ordnerberechtigung, die Sicherheitsfilterung oder sonst eine Option. Jeder ist nun mal jeder und jeder hat meiner Meinung nach auf einem DC nichts zu suchen. Authentifizierte Benutzer oder Domänen-Computer hingegen sind nicht jeder.
Zitat von @emeriks:
Natürlich ist das so. Und die "Sicherheitsfilterung" macht nichts anderes.
Jeder würde ich aber ganz stark von abraten. Mit der Delegierung setzt du nämlich Rechte auf den Ordner auf dem DC und da will ich persönlich nicht jeder drin stehen haben, auch nicht lesend.
???Natürlich ist das so. Und die "Sicherheitsfilterung" macht nichts anderes.
Mir ging es nicht darum, dass die Delegierung Ordnerrechte setzt und die Sicherheitsfilterung nicht. Mir ging es darum, dass ich nicht jeder in den Ordnerberechtigungen stehen haben will. Sei es über die Ordnerberechtigung, die Sicherheitsfilterung oder sonst eine Option. Jeder ist nun mal jeder und jeder hat meiner Meinung nach auf einem DC nichts zu suchen. Authentifizierte Benutzer oder Domänen-Computer hingegen sind nicht jeder.
Hallo zusammen,
Danke für die ganzen Infos. Ich habe unter der Delegierung jedoch beides drinnen. Anbei auch mal die erste Regel die ich testen wollte. Aber das wird nach einem gpupdate auf dem Terminal mit dem Admin Account und dem test über RDP mit dem User irgendwie ignoriert. Sorry für die doofen Fragen, in der Art ist das aber alles noch recht neu
Danke für die ganzen Infos. Ich habe unter der Delegierung jedoch beides drinnen. Anbei auch mal die erste Regel die ich testen wollte. Aber das wird nach einem gpupdate auf dem Terminal mit dem Admin Account und dem test über RDP mit dem User irgendwie ignoriert. Sorry für die doofen Fragen, in der Art ist das aber alles noch recht neu
OK, das war mir nicht klar.
Aber mit "Authentifizierte Benutzer", kann dann sowieso jeder angemeldete Benutzer diese GPO lesen. Es sei denn, man übersteuert das mit einer zusätzlichen, expliziten Verweigerung. "Jeder" würde ich auch nicht nehmen.
Aber mit "Authentifizierte Benutzer", kann dann sowieso jeder angemeldete Benutzer diese GPO lesen. Es sei denn, man übersteuert das mit einer zusätzlichen, expliziten Verweigerung. "Jeder" würde ich auch nicht nehmen.
Moin
???????
gruß
Zitat von @emeriks:
Du hast diese GPO aber sicherlich auch mit einer OU verlinkt, über welche der Benutzer diese dann "erben" kann?!
Du hast diese GPO aber sicherlich auch mit einer OU verlinkt, über welche der Benutzer diese dann "erben" kann?!
???????
gruß
Danke Emeriks
das ist mir klar, aber um von vorher auf nachher zu kommen, muss ich bei uns den authentifizierten Benutzer händisch unter Delegierung hinzufügen. Meine MMC macht das nicht automatisch.
das ist mir klar, aber um von vorher auf nachher zu kommen, muss ich bei uns den authentifizierten Benutzer händisch unter Delegierung hinzufügen. Meine MMC macht das nicht automatisch.
Also ich habe in der Verwaltung eine neue Organisationseinheit erstellt mit dem Namen Terminal. Dann habe ich mit der rechten Mausttaste gesagt "Vorhandenes Gruppenrichtlinienobjekt verknüpfen..." und dann die neue GPO ausgewählt. Die "Deleigerung" von den vorhandenen Gruppen und der neu angelegten sind auf jedne Fall identisch.
Zitat von @letstryandfindout:
Also ich habe in der Verwaltung eine neue Organisationseinheit erstellt mit dem Namen Terminal. Dann habe ich mit der rechten Mausttaste gesagt "Vorhandenes Gruppenrichtlinienobjekt verknüpfen..." und dann die neue GPO ausgewählt. Die "Deleigerung" von den vorhandenen Gruppen und der neu angelegten sind auf jedne Fall identisch.
Und die Benutzerobjekte befinden sich in dieser OU?Also ich habe in der Verwaltung eine neue Organisationseinheit erstellt mit dem Namen Terminal. Dann habe ich mit der rechten Mausttaste gesagt "Vorhandenes Gruppenrichtlinienobjekt verknüpfen..." und dann die neue GPO ausgewählt. Die "Deleigerung" von den vorhandenen Gruppen und der neu angelegten sind auf jedne Fall identisch.
Zitat von @Doskias:
das ist mir klar, aber um von vorher auf nachher zu kommen, muss ich bei uns den authentifizierten Benutzer händisch unter Delegierung hinzufügen. Meine MMC macht das nicht automatisch.
Ja, ich hoffe, ich erzähle hier keinen Mist. Aber bei uns ist das so.das ist mir klar, aber um von vorher auf nachher zu kommen, muss ich bei uns den authentifizierten Benutzer händisch unter Delegierung hinzufügen. Meine MMC macht das nicht automatisch.
Ich prüfe mal, ob nicht einer der anderen Admins da irgendwo einen Trigger mit einem Script eingebaut hat. Es würde mich wundern, wenn ich nichts davon wüsste, aber ich überprüfe das.
Edit:
Doch, ich erzähle Mist!
Siehe meine Korrektur oben.
Sorry
Das versuche ich gerade rauszufinden.
Poste doch einfach mal einen Screenshot deiner Gruppenrichtlinienverwaltung in der man die OU sieht. Wenn du willst, dass die Konfiguration auf User angewandt wird, dann müssen in der OU User sein. Wenn in der OU Rechner sind, dann wird es nicht angewandt.
Also die OU sieht gerade so aus und die Gruppe wo alle User drinnen sind wäre auch drinnen.
Die Benutzer für die die GPO gelten soll, sind in der OU Terminal? Wenn nein, dann liegt hier dein problemP
Mir ist das alles zu unübersichtlich... Auch wenn ich vlt. dafür geschlagen werde, vielleicht mal alles auf Null und der Reihe nach...
Aufgabe: Anwenden einer GPO nur für Benutzer des Termninalservers
Ich
- erstelle eine GPO auf der OU mit dem Terminalserver
- entferne in der Sicherheitsfilterung die Authentifizierten Benutzer
- füge dort den Terminalserver wieder hinzu, damit der Server die GPO übernehmen kann. Entweder direkt oder über eine Sicherheitsgruppe
- füge die Gruppe der RDP-Benutzer hinzu
- aktiviere in der GPO die Loopbackverarbeitung
- konfiguriere die gewünschten Benutzereinstellungen
- warte oder aktualisiere die GPOs manuell auf dem Server
- kontrolliere per gpresult /R, ob die GPO angewendet wurde und/oder versuche es mal einfach mit einem normalen Benutzerkonto
Gruß
Aufgabe: Anwenden einer GPO nur für Benutzer des Termninalservers
Ich
- erstelle eine GPO auf der OU mit dem Terminalserver
- entferne in der Sicherheitsfilterung die Authentifizierten Benutzer
- füge dort den Terminalserver wieder hinzu, damit der Server die GPO übernehmen kann. Entweder direkt oder über eine Sicherheitsgruppe
- füge die Gruppe der RDP-Benutzer hinzu
- aktiviere in der GPO die Loopbackverarbeitung
- konfiguriere die gewünschten Benutzereinstellungen
- warte oder aktualisiere die GPOs manuell auf dem Server
- kontrolliere per gpresult /R, ob die GPO angewendet wurde und/oder versuche es mal einfach mit einem normalen Benutzerkonto
Gruß
1
Ich möchte euch allen für eure Hilfe danken. Es klappt nun. Die Zusammenfassung hat mir da gerade noch mal einen Fehler klar gemacht. Vielen lieben Dank.
