itallrounder
Goto Top

Windows Gruppenrichtlinien Delegierung

Mahlzeit zusammen,

ich stehe hier gerade mit einer Gruppenrichtlinie auf Kriegsfuß und benötige einmal eine zweite Meinung.

Umgebung:
Domaincontroller: Server 2022 Datacenter (Funktionslevel 2016)
Client OS: Windows 10 21H2 Enterprise
Patchstand: Up2Date zum heutigen Datum
Anzahl Benutzer / Rechner: 40 Benutzer bei ca. 80 Clients.

Folgendes soll umgesetzt werden:
Gruppenrichtlinie für die Sperrung der Wechselmedien unter Windows 10 Enterprise (21H2).
Es sollen jedoch einzelne Rechner / Benutzer von der Sperrung ausgeschlossen werden.

Was wurde eingerichtet:
- Anlegen einer neuen Gruppenrichtlinie "C_Wechselmedien-Verweigern"
- Konfigurieren der Richtlinie -> Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> System/Wechsemedienzugriff (Alle Wechsemedien deaktivieren)
- Reiter "Deligierung" in der GPO aufrufen und über Erweitert eine Gruppe hinzugefügt (G_GPO-Allow-Removeable-Devices)
Diese Gruppe hat das Recht Lesen = Zulassen und Gruppenrichtlinie übernehmen = Verweigern

Als Bereich wurden 2 OU's ausgewählt (Workstations und Notebooks)
Als Sicherheitsfilter ist nur die Gruppe "Authentifizierte Benutzer" konfiguriert.

Verhalten:

- Client Rechner "WS1101" mit dem Benutzer "Mustermann" (Dieser soll keine Wechselmedien nutzen dürfen)
Der Client "WS1101" als auch der Benutzer "Mustermann" sind nicht Mitglied der oben erwähnten Gruppe "G_GPO-Allow-Removeable-Devices"
Die GPO wird als "Anwedendetes Gruppenrichtlinien Objekt" in "GPRESULT /r" oder "Gruppenrichtlinienergebnisse" angezeigt.
Der USB Slot ist soweit nicht nutzbar.

- Client Rechner "WS1101" mit dem Benutzer "Admin-Mustermann" (Dieser soll Wechselmedien nutzen dürfen)
Der Client "WS1101" als auch der Benutzer "Admin-Mustermann" sind Mitglied der oben erwähnten Gruppe "G_GPO-Allow-Removeable-Devices"
Die GPO wird als "Anwedendetes Gruppenrichtlinien Objekt" in "GPRESULT /r" oder "Gruppenrichtlinienergebnisse" angezeigt.
Der USB Slot ist soweit nicht nutzbar.
Nach meinem Verständnis sollte die GPO als "Abgelehntes Gruppenrichtlinien Objekt" erscheinen. Passiert aber leider nicht so.

- Client Rechner "NB1198" mit dem Benutzer "Admin-Müller" (Dieser soll Wechselmedien nutzen dürfen)
Der Client "NB1198" als auch der Benutzer "Admin-Müller" sind kein Mitglied der oben erwähnten Gruppe "G_GPO-Allow-Removeable-Devices"
Die GPO wird als "Abgelehntes Gruppenrichtlinien Objekt" in "GPRESULT /r" oder "Gruppenrichtlinienergebnisse" angezeigt.
Der USB Slot kann also verwendet werden. Aber warum?! Weder der Client noch der Benutzer sind in der Gruppe im AD Mitglied.

Auf den Systemen wurden selbstverständlich ein gpupdate /force ausgeführt, die Geräten wurden neu gestartet, die Gruppenrichtlinie wurde noch einmal komplett neu angelegt. Leider alles ohne Erfolg.

Ich bräuchte jedoch kurzfristig eine Lösung über GPO, den Wechselmedien Zugriff einzuschränken.
Theoretisch könnte ich das auch über WMI abfackeln, aber die Konstellation ist etwas ungünstig.
Es handelt sich ja um eine Computer Richtlinie. An einem Computer melden sich aber z.B Herr Meyer und Herr Günther an.
Herr Günther soll die Wechsemedien am PC nutzen dürfen, da er Auswertungen macht, welche auf einen Stick müssen und Herr Meyer soll keinen Stick im Windows Explorer sehen dürfen.

Ja ich weiß es gibt dafür auch gesonderte Software, hier sind wir aber noch in der "Musterungsphase".
Ggf. kann hier ja jemand eine gute Software empfehlen. face-smile


Ich würde mich sehr freuen, wenn jemand den richtigen "Wink mit dem Zaunpfahl" geben kann.
Genau so eine Richtlinie ist auf Basis einer "Benutzer + Computer GPO" eingerichtet. (Hier wird z.B die CMD, Powershell und andere Anwendungen als unzulässig geblockt, es sei denn mein Benutzer ist Mitglied der Gruppe "G_GPO-Allow-CMD-PS-3PartySoftware"

Content-Key: 2474355582

Url: https://administrator.de/contentid/2474355582

Ausgedruckt am: 28.03.2024 um 18:03 Uhr

Mitglied: RAMeater
RAMeater 11.04.2022 um 15:03:19 Uhr
Goto Top
Hallo,
also wen ich jetzt mit meinen verständins nicht kommplet falsch liege hast du eine Gruppenrichtline angelegt für als Computerrichtline die bei Delegierung eine gruppe hat die diese Verweigern darf.

Jetzt hast du 2 mal den WS1101 erwähnt einmal das dieser in der Gruppe Alown ist und einmal nicht . ( warscheinlich schreibfehler)

Wichtige Frage ist soll Benutzer Admin an jeden PC es erlaubt sein (warscheinlich JA) und Benutzer xy darf nur an bestimmten rechner oder auch überall.
Mitglied: ITAllrounder
ITAllrounder 11.04.2022 um 15:19:35 Uhr
Goto Top
Zitat von @RAMeater:

Hallo,
also wen ich jetzt mit meinen verständins nicht kommplet falsch liege hast du eine Gruppenrichtline angelegt für als Computerrichtline die bei Delegierung eine gruppe hat die diese Verweigern darf.

Jetzt hast du 2 mal den WS1101 erwähnt einmal das dieser in der Gruppe Alown ist und einmal nicht . ( warscheinlich schreibfehler)

Wichtige Frage ist soll Benutzer Admin an jeden PC es erlaubt sein (warscheinlich JA) und Benutzer xy darf nur an bestimmten rechner oder auch überall.



Korrekt.
Zwei mal wurde der WS1101 erwähnt, da einmal mit einem Standardbenutzer und einmal mit einem Lokalen Administrator Konto getestet wurde.

Ich habe versucht das Computerkonto der Domäne und den Benutzeraccount in die Sicherheitsgruppe aufzunehmen.
Nach meinem Verständnis müsste der "Benutzeraccount" ja reichen.

Der Wunsch wäre es, dass auch der "Admin User XY" nicht auf jedem PC die Wechselmedien nutzen darf.
Also es gibt ca. 5 Computer an denen die Funktion der Wechselmedien gegeben sein sollte ebenso müssten dafür dann 3 Benutzerkonten und 2 Admin Accounts freigeschaltet sein,
Mitglied: RAMeater
RAMeater 11.04.2022 um 15:49:40 Uhr
Goto Top
Ich glaub ich habs.
Du hast nur eine Computerrichtline aktiviert. Somit kann er Nutzer eigenlich nicht mehr zuordnen.

Hoffe es funktioniert ist jetzt reine Terorie. Unter Benutzerrichtlinen sperst du jetzt auch die USB Ports.
Jetzt sollte es gehen den du sperst alle pc wo es gennerel nicht gehen soll.,auser die es verweigern. Da die Benutzer Richtline erst danach zieht wen die Anmeldung erfolgt wird automatisch auch die Nutzer ausgespert die keine USB Sticks auf den PC anstecken dürfen. Wen dan eine Person mit Berechtiung (ist in der Gruppe Alown die verweigert) an den PC der nicht per Computerrichtline gespert ist sich anmeldet wird auch bei seiner Anmeldung nichts gespert. Nachteil du kanst nur immer den PC für alle User Freigeben bzw neuer User hat immer auf allen PC das recht. Leider weiß ich jetzt nicht ob die GPO so eine nur wen afrage hat aber glaub müsstes des immer einzeln machen was jetzt nicht gerade von vorteil ist.