Zwei Fragen zu den Gruppenrichtlinien
Hallo Leute,
ich beschäftige mich seit kurzem zur Auffrischung mit den Gruppenrichtlinien auf einem Testsystem WinServer 2012 R2 und Win7-Clients.
Dazu hätte ich zwei Fragen:
1. GPOs können über lokale, Standort-, Domänen- und OU-Richtlinien angewendet werden, das ist mir klar. Aber wenn ich jetzt eine Sicherheitsgruppen in eine OU schiebe, wirken sich die GPOs dieser OU nicht auf die Sicherheitsgruppen-Mitglieder aus, ist das richtig? Bei mir hat es jedenfalls nicht funktioniert.
2. Ich dachte, eine GPO-Computerrichtlinie könne mit GPO-Benutzerrichtlinien kombiniert werden, ging bei mir aber nicht. Habe eine OU mit einem Benutzer erstellt, auf den eine Benutzer-GPO angewendet wird. Dann habe ich einen Computer in eine OU verschoben, auf den eine Computer-GPO (Audiorecorder deaktivieren) laut Gruppenrichtlinienmodellierung auch angewendet wird.
Melde ich nun diesen Benutzer auf diesem Computer an, kann er trotzdem den Audiorecorder benutzen, er zieht sich halt nur die Benutzer-GPO. Sehe ich das richtig?
Danke, UselessUser
ich beschäftige mich seit kurzem zur Auffrischung mit den Gruppenrichtlinien auf einem Testsystem WinServer 2012 R2 und Win7-Clients.
Dazu hätte ich zwei Fragen:
1. GPOs können über lokale, Standort-, Domänen- und OU-Richtlinien angewendet werden, das ist mir klar. Aber wenn ich jetzt eine Sicherheitsgruppen in eine OU schiebe, wirken sich die GPOs dieser OU nicht auf die Sicherheitsgruppen-Mitglieder aus, ist das richtig? Bei mir hat es jedenfalls nicht funktioniert.
2. Ich dachte, eine GPO-Computerrichtlinie könne mit GPO-Benutzerrichtlinien kombiniert werden, ging bei mir aber nicht. Habe eine OU mit einem Benutzer erstellt, auf den eine Benutzer-GPO angewendet wird. Dann habe ich einen Computer in eine OU verschoben, auf den eine Computer-GPO (Audiorecorder deaktivieren) laut Gruppenrichtlinienmodellierung auch angewendet wird.
Melde ich nun diesen Benutzer auf diesem Computer an, kann er trotzdem den Audiorecorder benutzen, er zieht sich halt nur die Benutzer-GPO. Sehe ich das richtig?
Danke, UselessUser
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 306662
Url: https://administrator.de/forum/zwei-fragen-zu-den-gruppenrichtlinien-306662.html
Ausgedruckt am: 23.12.2024 um 06:12 Uhr
5 Kommentare
Neuester Kommentar
Hi.
1 richtig, GPOs wirken nicht auf Gruppen. Wohl aber kann man Gruppen zur Sicherheitsfilterung nutzen, also in den Eigenschaften der GPO unter Sicherheit eintragen, wer diese GPO anwenden soll und wer nicht. Damit erreicht man Dein Ziel.
2 stelle mit
gpresult /h %temp%\results.html /f & %temp%\results.html
fest, ob die Einstellung schon wirkt - wenn nicht, führe von einer elevated shell
gpupdate /force
aus und versuche es erneut.
1 richtig, GPOs wirken nicht auf Gruppen. Wohl aber kann man Gruppen zur Sicherheitsfilterung nutzen, also in den Eigenschaften der GPO unter Sicherheit eintragen, wer diese GPO anwenden soll und wer nicht. Damit erreicht man Dein Ziel.
2 stelle mit
gpresult /h %temp%\results.html /f & %temp%\results.html
fest, ob die Einstellung schon wirkt - wenn nicht, führe von einer elevated shell
gpupdate /force
aus und versuche es erneut.
Zitat von @UselessUser:
Aber wenn ich jetzt eine Sicherheitsgruppen in eine OU schiebe, wirken sich die GPOs dieser OU nicht auf die Sicherheitsgruppen-Mitglieder aus, ist das richtig?
Aber wenn ich jetzt eine Sicherheitsgruppen in eine OU schiebe, wirken sich die GPOs dieser OU nicht auf die Sicherheitsgruppen-Mitglieder aus, ist das richtig?
Es gibt zwei Voraussetzungen. Das Objekt, auf das die GPO angewendet werden soll muss in der OU sein, mit der die GPO auch verknüpft ist. Zudem muss das Objekt auch die Rechte Lesen und Gruppenrichtlinie übernehmen besitzen, direkt oder indirekt durch Gruppenmitgliedschaften.
Ich dachte, eine GPO-Computerrichtlinie könne mit GPO-Benutzerrichtlinien kombiniert werden, ging bei mir aber nicht.
Geht schon wenn Computer- und User-Ojekt, die zwei oben genannten Voraussetzungen erfüllen.
Habe eine OU mit einem Benutzer erstellt, auf den eine Benutzer-GPO angewendet wird. Dann habe ich einen Computer in eine OU verschoben, auf den eine Computer-GPO (Audiorecorder deaktivieren) laut Gruppenrichtlinienmodellierung auch angewendet wird.
Hast du in der GPO-Modellierung auch den User explizit mit dem Computer ausgewählt? Gewisse Konstellationen mit OUs und Objekten funktionieren nur wenn der Loopbackverarbeitungsmodus (eine Gruppenrichtlinie) aktiv ist.
Melde ich nun diesen Benutzer auf diesem Computer an, kann er trotzdem den Audiorecorder benutzen, er zieht sich halt nur die Benutzer-GPO. Sehe ich das richtig?
Entweder Rechteproblem, Konstellation haut nicht hin oder Loopbackverarbeitungsmodus notwendig.
Grüße Winary