Problem mit GPO und Gruppe

Mitglied: letstryandfindout

letstryandfindout (Level 1) - Jetzt verbinden

27.04.2021 um 09:45 Uhr, 711 Aufrufe, 27 Kommentare, 1 Danke

Hallo zusammen,

ich habe ein kleines Problem und wollte daher mal um Rat fragen. Ich habe einen Terminal Server mit insgesamt 19 Benutzern. Nun will ich einige Sachen sperren wie z.B. PowerShell, ServerManager etc. Dazu habe ich auf dem DC in der Gruppenrichtlinienveraltung ein neues Gruppenrichtlinienobjekt erstellt und unter dem Punkt Sicherheitsfilterung nur die von mir erstellte Gruppe aus der AD eingetragen in welcher sich eben diese User befinden.

Wenn ich nach einem "gpupdate /force" auf dem Terminal nun mich mit einem der User anmelde, dann greift aber leider diese GPO nicht. Ich habe testweise zB. in der Systemsteuerung unter: "Benutzerkonfiguration\Administrative Vorlagen\Systemsteuerung\Angegebene Systemsteuerungsymbole ausblenden" die Energieoptinen ausgeblendet. Dies funktioniert auch nicht. Leider weiss ich gerade nicht wo ich eventuell noch was vergessen hätte.

Falls jemand noch einen Tipp hätte wäre ich sehr dankbar :) face-smile

Schönen Tag noch und Danke.
27 Antworten
Mitglied: c0d3.r3d
27.04.2021 um 10:08 Uhr
Hallo,

füge die Gruppe Domänen-Computer noch mit Leserecht in der Sicherheitsfilterung hinzu, dann sollte die GPO gelesen und übernommen werden können.
Bitte warten ..
Mitglied: Doskias
27.04.2021 um 10:22 Uhr
Moin

Zitat von @letstryandfindout:
Dazu habe ich auf dem DC in der Gruppenrichtlinienveraltung ein neues Gruppenrichtlinienobjekt erstellt und unter dem Punkt Sicherheitsfilterung nur die von mir erstellte Gruppe aus der AD eingetragen in welcher sich eben diese User befinden.

Wenn dort wirklich nur die erstellte Gruppe drin ist und du authentifizierte Benutzer gelöscht hast, dann musst du authentifizierte Benutzer in der Delegierung händisch Leserechte hinzufügen.

Gruß
Doskias
Bitte warten ..
Mitglied: warranty
27.04.2021, aktualisiert um 10:27 Uhr
Wie die Kollegen schon angemerkt haben, altes Thema über das GPO-Anfänger immer mal wieder stolpern, hier wirds nochmal ausführlich erläutert...
Sicherheitsfilterung neu erfunden

Gruß w.
Bitte warten ..
Mitglied: c0d3.r3d
27.04.2021, aktualisiert um 10:41 Uhr
Zitat von @Doskias:
Wenn dort wirklich nur die erstellte Gruppe drin ist und du authentifizierte Benutzer gelöscht hast, dann musst du authentifizierte > Benutzer in der Delegierung händisch Leserechte hinzufügen.

Ich würde die Domänen-Computer Gruppe bevorzugen. Alternativ kann auch authentifizierte Benutzer oder (theoretisch) auch Jeder genommen werden, aber wenn es schon eine Gruppe extra für Computer gibt - warum dann nicht auch verwenden. ;-) face-wink
Bitte warten ..
Mitglied: Doskias
27.04.2021 um 10:32 Uhr
Zu allem Überfluss schreibt der DC das ja sogar hin, wenn man authentifizierte Benutzer löscht

auth_dc - Klicke auf das Bild, um es zu vergrößern

Ich kann mich noch an den Tag erinnern als der Patch bei unseren Kunden automatisch installiert wurde und wir knapp 500 DC hatten, die alle keine Gruppenrichtlinien mehr verarbeitet haben aus dem Grund. Das PS-Skript um das zu bereinigen hab ich aus nostalgischen Gründen ausgedruckt und eingerahmt :-D face-big-smile
Bitte warten ..
Mitglied: emeriks
27.04.2021, aktualisiert um 11:24 Uhr
Hi,
am Rande, zum Thema "authentifizierte Benutzer":
Wenn man nicht gerade eine MMC von anno dazumal betreibt, dann erledigt das die MMC meines Wissens von allein.
Jedenfalls ist das bei uns so, dass die MMC die "authentifizierten Benutzer" von selbst mit "nur Lesen" hinzufügt, sobald man diese aus der Sicherheitsfilterung heraus nimmt.


Edit:
Oh man, ich werde alt ...
Das ist Käse, was ich da geschrieben habe! Wir haben dafür einen dienst am Laufen. Sorry bitte für die Verwirrung ...

E.
Bitte warten ..
Mitglied: Doskias
27.04.2021 um 10:40 Uhr
Du hast natürlich recht. Es muss nicht der Authentifizierte Benutzer sein. Es geht auch Domänen-Computer.

Jeder würde ich aber ganz stark von abraten. Mit der Delegierung setzt du nämlich Rechte auf den Ordner auf dem DC und da will ich persönlich nicht jeder drin stehen haben, auch nicht lesend.
Bitte warten ..
Mitglied: emeriks
27.04.2021 um 10:41 Uhr
Du hast diese GPO aber sicherlich auch mit einer OU verlinkt, über welche der Benutzer diese dann "erben" kann?!
Bitte warten ..
Mitglied: emeriks
27.04.2021, aktualisiert um 10:43 Uhr
Zitat von @Doskias:
Du hast natürlich recht. Es muss nicht der Authentifizierte Benutzer sein. Es geht auch Domänen-Computer.
Nur, wenn es sich um nur eine Domäne handelt.

Jeder würde ich aber ganz stark von abraten. Mit der Delegierung setzt du nämlich Rechte auf den Ordner auf dem DC und da will ich persönlich nicht jeder drin stehen haben, auch nicht lesend.
???
Natürlich ist das so. Und die "Sicherheitsfilterung" macht nichts anderes.
Bitte warten ..
Mitglied: Doskias
27.04.2021 um 10:43 Uhr
Hi Emeriks
Zitat von @emeriks:
Hi,
am Rande, zum Thema "authentifizierte Benutzer":
Wenn man nicht gerade eine MMC von anno dazumal betreibt, dann erledigt das die MMC meines Wissens von allein.
Jedenfalls ist das bei uns so, dass die MMC die "authentifizierten Benutzer" von selbst mit "nur Lesen" hinzufügt, sobald man diese aus der Sicherheitsfilterung heraus nimmt.
E.

Welche MMC nutzt du da? Wir haben auf unserem Windows Server 2019 die MMC 3.0 in der Version 1809 (Build 17763.1757), Server-Patchstand vom 07.04.2021. Unsere macht das nicht automatisch. habt ihr da ggf. ein Skript im Hintergrund laufen?

Gruß
Doskias
Bitte warten ..
Mitglied: emeriks
27.04.2021 um 10:48 Uhr
Nein, kein Script.

MMC Gruppenrichtlinienverwaltung von Win2016, aktueller Patch-Stand, v6.0.0.1.
Das ist aber "schon immer" so. Kurz nachdem MS das Verhalten des GPO-Clients dies bzgl. geändert hatte kam dann auch eine aktualisierte MMC mit den WSUS Updates, welche das automatisch macht.
Bitte warten ..
Mitglied: Doskias
27.04.2021 um 10:50 Uhr
Mann Mann Mann. ich hab es heute aber auch wieder mit meiner schwammigen Ausdrucksweise :-D face-big-smile

Zitat von @emeriks:
Jeder würde ich aber ganz stark von abraten. Mit der Delegierung setzt du nämlich Rechte auf den Ordner auf dem DC und da will ich persönlich nicht jeder drin stehen haben, auch nicht lesend.
???
Natürlich ist das so. Und die "Sicherheitsfilterung" macht nichts anderes.

Mir ging es nicht darum, dass die Delegierung Ordnerrechte setzt und die Sicherheitsfilterung nicht. Mir ging es darum, dass ich nicht jeder in den Ordnerberechtigungen stehen haben will. Sei es über die Ordnerberechtigung, die Sicherheitsfilterung oder sonst eine Option. Jeder ist nun mal jeder und jeder hat meiner Meinung nach auf einem DC nichts zu suchen. Authentifizierte Benutzer oder Domänen-Computer hingegen sind nicht jeder.
Bitte warten ..
Mitglied: letstryandfindout
27.04.2021 um 10:52 Uhr
Hallo zusammen,

Danke für die ganzen Infos. Ich habe unter der Delegierung jedoch beides drinnen. Anbei auch mal die erste Regel die ich testen wollte. Aber das wird nach einem gpupdate auf dem Terminal mit dem Admin Account und dem test über RDP mit dem User irgendwie ignoriert. Sorry für die doofen Fragen, in der Art ist das aber alles noch recht neu :) face-smile

gpo2 - Klicke auf das Bild, um es zu vergrößern
gpo3 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: emeriks
27.04.2021, aktualisiert um 10:58 Uhr
Zitat von @Doskias:
Authentifizierte Benutzer oder Domänen-Computer hingegen sind nicht jeder.
OK, das war mir nicht klar.
Aber mit "Authentifizierte Benutzer", kann dann sowieso jeder angemeldete Benutzer diese GPO lesen. Es sei denn, man übersteuert das mit einer zusätzlichen, expliziten Verweigerung. "Jeder" würde ich auch nicht nehmen.
Bitte warten ..
Mitglied: Hubert.N
27.04.2021 um 11:00 Uhr
Moin :) face-smile

Zitat von @emeriks:
Du hast diese GPO aber sicherlich auch mit einer OU verlinkt, über welche der Benutzer diese dann "erben" kann?!

???????

gruß
Bitte warten ..
Mitglied: emeriks
27.04.2021, aktualisiert um 11:04 Uhr
@Doskias

Vorher

gpo_1_vorher_1 - Klicke auf das Bild, um es zu vergrößern
gpo_1_vorher_2 - Klicke auf das Bild, um es zu vergrößern

Nachher

gpo_1_nachher_1 - Klicke auf das Bild, um es zu vergrößern
gpo_1_nachher_2 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: emeriks
27.04.2021 um 11:05 Uhr
Zitat von @Hubert.N:
Zitat von @emeriks:
Du hast diese GPO aber sicherlich auch mit einer OU verlinkt, über welche der Benutzer diese dann "erben" kann?!
???????
Na ja, in seinem Screenshot sieht man nur, dass die GPO erstellt wurde, aber nicht ob und wo diese verlinkt ist.
Bitte warten ..
Mitglied: Doskias
27.04.2021 um 11:08 Uhr
Danke Emeriks

das ist mir klar, aber um von vorher auf nachher zu kommen, muss ich bei uns den authentifizierten Benutzer händisch unter Delegierung hinzufügen. Meine MMC macht das nicht automatisch.
Bitte warten ..
Mitglied: letstryandfindout
27.04.2021, aktualisiert um 11:12 Uhr
Also ich habe in der Verwaltung eine neue Organisationseinheit erstellt mit dem Namen Terminal. Dann habe ich mit der rechten Mausttaste gesagt "Vorhandenes Gruppenrichtlinienobjekt verknüpfen..." und dann die neue GPO ausgewählt. Die "Deleigerung" von den vorhandenen Gruppen und der neu angelegten sind auf jedne Fall identisch.

gpo4 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: emeriks
27.04.2021 um 11:14 Uhr
Zitat von @letstryandfindout:
Also ich habe in der Verwaltung eine neue Organisationseinheit erstellt mit dem Namen Terminal. Dann habe ich mit der rechten Mausttaste gesagt "Vorhandenes Gruppenrichtlinienobjekt verknüpfen..." und dann die neue GPO ausgewählt. Die "Deleigerung" von den vorhandenen Gruppen und der neu angelegten sind auf jedne Fall identisch.
Und die Benutzerobjekte befinden sich in dieser OU?
Bitte warten ..
Mitglied: emeriks
27.04.2021, aktualisiert um 11:25 Uhr
Zitat von @Doskias:
das ist mir klar, aber um von vorher auf nachher zu kommen, muss ich bei uns den authentifizierten Benutzer händisch unter Delegierung hinzufügen. Meine MMC macht das nicht automatisch.
Ja, ich hoffe, ich erzähle hier keinen Mist. Aber bei uns ist das so.
Ich prüfe mal, ob nicht einer der anderen Admins da irgendwo einen Trigger mit einem Script eingebaut hat. Es würde mich wundern, wenn ich nichts davon wüsste, aber ich überprüfe das.

Edit:
Doch, ich erzähle Mist! :-) face-smile
Siehe meine Korrektur oben.
Sorry
Bitte warten ..
Mitglied: letstryandfindout
27.04.2021 um 11:17 Uhr
Das versuche ich gerade rauszufinden.
Bitte warten ..
Mitglied: Doskias
27.04.2021 um 11:19 Uhr
Poste doch einfach mal einen Screenshot deiner Gruppenrichtlinienverwaltung in der man die OU sieht. Wenn du willst, dass die Konfiguration auf User angewandt wird, dann müssen in der OU User sein. Wenn in der OU Rechner sind, dann wird es nicht angewandt.
Bitte warten ..
Mitglied: letstryandfindout
27.04.2021 um 11:24 Uhr
Also die OU sieht gerade so aus und die Gruppe wo alle User drinnen sind wäre auch drinnen.

oa5 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: Doskias
27.04.2021 um 11:45 Uhr
Die Benutzer für die die GPO gelten soll, sind in der OU Terminal? Wenn nein, dann liegt hier dein problemP
Bitte warten ..
Mitglied: Hubert.N
LÖSUNG 27.04.2021, aktualisiert um 12:55 Uhr
Mir ist das alles zu unübersichtlich... Auch wenn ich vlt. dafür geschlagen werde, vielleicht mal alles auf Null und der Reihe nach...

Aufgabe: Anwenden einer GPO nur für Benutzer des Termninalservers

Ich
- erstelle eine GPO auf der OU mit dem Terminalserver
- entferne in der Sicherheitsfilterung die Authentifizierten Benutzer
- füge dort den Terminalserver wieder hinzu, damit der Server die GPO übernehmen kann. Entweder direkt oder über eine Sicherheitsgruppe
- füge die Gruppe der RDP-Benutzer hinzu
- aktiviere in der GPO die Loopbackverarbeitung
- konfiguriere die gewünschten Benutzereinstellungen
- warte oder aktualisiere die GPOs manuell auf dem Server
- kontrolliere per gpresult /R, ob die GPO angewendet wurde und/oder versuche es mal einfach mit einem normalen Benutzerkonto

Gruß
Bitte warten ..
Mitglied: letstryandfindout
27.04.2021 um 13:25 Uhr
Ich möchte euch allen für eure Hilfe danken. Es klappt nun. Die Zusammenfassung hat mir da gerade noch mal einen Fehler klar gemacht. Vielen lieben Dank.
Bitte warten ..
Heiß diskutierte Inhalte
Hyper-V
Spricht was gegen die Virtualisierung mit Hyper-V?
bauinformatikerVor 1 TagFrageHyper-V32 Kommentare

Seit 10 Jahren betreiben mein Kollege und ich 2 Hosts mit ESXi. Nun sollen die neu beschafft und neu installiert werden. Bis auf einen ...

Off Topic
Vom IT-Systemelektroniker zurück zur "IT"
xsheynVor 1 TagFrageOff Topic8 Kommentare

Schönen guten Abend, vor einigen Wochen hatte ich schonmal einen Thread erstellt, dass ich IT-Systemelektroniker bin aber kaum Erfahrung in der "Typischen IT" habe. ...

Entwicklung
Plattformübergreifende Programmierung mit Visual Studio
gelöst nagitaVor 1 TagAllgemeinEntwicklung11 Kommentare

Hallo ich habe mir vor einiger Zeit die aktuellste Version von Visual Studio installiert und bin eigentlich auch recht zufrieden damit. Ich habe vor, ...

Datenbanken
Liste als PDF ausdrucken
jensgebkenVor 1 TagFrageDatenbanken6 Kommentare

Hallo Gemeinschaft, Ich habe eine Access Datenbank und darin eine Abfrage in der Kunden Adressen und Kosten angezeigt werden pro Kunde. Nun möchte ich, ...

Video & Streaming
Netzwerkspeicher IPTV
uridium69Vor 1 TagFrageVideo & Streaming8 Kommentare

Hallo Ich möchte gerne meine beiden Android IPTV Receiver das NAS als Netzwerkspeicher und als Aufnahmemedium hinzufügen, ich habe unter den Optionen "Netzwerkspeicher hinzufügen" ...

Exchange Server
Postfach für öffentliche Ordner ist voll
gelöst Tommy525600Vor 22 StundenFrageExchange Server6 Kommentare

Hallo an alle, ich habe folgendes Problem: Mein primäres Postfach für öffentliche Ordner ist voll (99,58 GB) (und ja, ich kann auch nix dafür). ...

Outlook & Mail
Outlook export to PST schlägt fehl - Alternativen?
gelöst StefanKittelVor 1 TagFrageOutlook & Mail3 Kommentare

Hallo, ich versuche gerade ca. 20 Postfächer von einem Hosted Exchange-Anbieter in PST-Dateien zu sichern/archivieren. Bei 3 Postfächer schläft dies mit "unbekannter Fehler" fehl. ...

Netzwerke
PFSense und Transferprobleme
Xaero1982Vor 21 StundenFrageNetzwerke8 Kommentare

Moin Zusammen, leidiges Thema PFSense - ich hab mich mal wieder ran gewagt. Ich hab hier so ein paar VLANs laufen und nen ESX. ...