ametrin
Goto Top

Seltsames Guppenrichtlinienverhalten

Hallo!

Brauche eine Lektion in GPO Basiswissen.

Folgende Situation die ich nicht verstehe:
Habe eine GPO (XenApp_IEX10) in einer UO die nur Computerkonten enthält ( all unsere Citrix Server)
In dieser wird die konfiguration für den IEX10 vorgenommen.
Die Policy ist enabled und enforced.
Der Scope liegt auf Authentificated User

Die Benutzer die auf die Citrixserver zugreifen, bekommen Einstellungen für den Internet Explorer 10.
Nun gut, dachte ich mir, da wird es wahrscheinlich noch eine andere GPO geben die eben auf der Benutzer OU sitzt und den Internet Explorer konfiguriert.

Also habe ich den Group Policiy Result Wizard angeworfen.
Und siehe da bei den Applied Policies der Benutzerkonfiguration steht die XenApp_IEX10 GPO dabei.


Mein Verständnis war bisher das eine Richtlinie nur dann angewendet wird,
wenn sich entweder bei einer Computerrichtline ein Computerobjekt in der OU befindet
oder bei einer Benutzerrichtlinie ein Benutzerkonto in der OU ist.

Daher verstehe ich nicht warum die Internet Explorer Einstellung bei mir zieht.

Hoffe dies ist halbwegs verstädlich ausgedrückt. Vllt kann mich jemand belehren.

Content-ID: 245078

Url: https://administrator.de/contentid/245078

Ausgedruckt am: 13.11.2024 um 22:11 Uhr

psannz
psannz 30.07.2014 um 12:35:55 Uhr
Goto Top
Sers,

also wenn das Benutzereinstellungen sind die du vorgenommen hast dann greifen die. Klar. In deinem Fall für alle User die sich auf einem Computer der verlinkten OU anmelden.

Das ist durchaus gewollt so. Wie willst du denn sonst Einstellungen vornehmen die für User nur auf dem RDS greifen sollen? Etwa Applocker Einstellungen, oder zugewiesene Drucker, etc, pp...

Grüße,
Philip
Ametrin
Ametrin 30.07.2014 um 14:21:45 Uhr
Goto Top
Hallo psannz!

Das es funktioniert stelle ich ja auch nicht in Zweifel. Ebensowenig das es Sinn macht.
Es wirderspricht halt MEINEM Wissen über GPO das schlicht besagt:
GPO-Richtlinien ziehen nur für diejenigen Objekte die sich
a.) in der gleichen oder einer darunterliegenden OU befinden (eingeschaltete Verrbung vorausgesetzt) und
b.) der Computerrichtlinienteil zieht nur dann wenn es ein Computerkonto in der OU betrifft.
der Benutzerrichtlinenteil zieht nur dann wenn es ein Benutzerobjekt in der OU betrifft.

also:
anderes Beispiel:
Habe BenutzerOU und ComputerOU und eine GPO Objekt das ich "Laufwerke" nenne.
In der LaufwerkeGPO steht einfach unter Benutzerkonfigurationen drinnen das Laufwerk X auf UNC Pfad Y gemappt wird.

Diese liegen beide in einer FirmaOU.
Wenn ich jetzt bei der ComputerOU (in der sich logischerweise nur Computerkonten befinden) das Laufwerke-GPO eintrage,
dann bekommt keiner meiner Benutzer (die sich alle in der BenutzerOU befinden) das Laufwerk X.

Zumindest der "Result Wizard" meldet unter "Applied User Policy" gar keine Policy und unter "Denied Computer Policy" das das LaufwerkGPO leer oder inaccessible ist (was ja in Ordnung ist da sich ja nur Benutzereinstellungen darin befinden.

Beispiel ENDE

Hoffe mein Verständnissproblem wird so deutlicher.
Nr60730
Lösung Nr60730 30.07.2014 aktualisiert um 15:45:33 Uhr
Goto Top
Moin,

Dr. Seltsam und der Loopbackverarbeitungsmodus.
Deutlich genug? ;-p
psannz
Lösung psannz 30.07.2014 aktualisiert um 15:45:35 Uhr
Goto Top
Zitat von @Nr60730:

Moin,

Dr. Seltsam und der Loopbackverarbeitungsmodus.
Deutlich genug? ;-p

Da war einer schneller face-smile

Kleine Leseliste:
MSXFAQ: Loopback und Gruppenrichtlinien
Gruppenrichtlinien.de Loopbackverarbeitungsmodus - Loopback Processing Mode
Ametrin
Ametrin 30.07.2014 um 15:45:21 Uhr
Goto Top
Argh... Habe es mir durchgelesen. Genau das ist es, danke.
Da die GPO schon länger als ich exisitert, und die EInstellung natürlich nicht in der GPO war um die es ging..... Da hatte ich ja keine Chance.
Vielen herzlichen danke auch dreien, besonders Nr60730 face-smile

mfg Ametrin