none
Gruppenrichtlinien in zwei Domains RRS feed

  • Frage

  • Hallo,
    wir haben zwei sich vertrauende Domains.

    xxx.mydomain.com
    |_ yyy.xxx.mydomain.com

    In der Domain yyy.xxx.mydomain.com melden sich Benutzer an Citrix Terminalservern an, die sowohl Computer als auch Benutzereinstellungen per Gruppenrichtlinie bekommen. Die Einstellungen sind so auch Okay. Jetzt bekommen die Benutzer aus der yyy.xxx.mydomain.com Domain eine mit Citrix veröffentlichte Anwendung aus der Domain xxx.mydomain.com zugewiesen. In den Gruppenrichtlinienergebnissen auf einem Server in der Domain xxx.mydomain.com mit einem Benutzer aus der Domain yyy.xxx.mydomain.com sehen wir, dass die Richtlinien aus der yyy.xxx.mydomain.com Domain auch auf die Server in der xxx.mydomain.com angewandt werden. Dies wollen wir aber nicht. Hat einer eine Idee wie wir das verhindern können?

    Wir wollen, dass in der Domain xxx.mydomain.com auch nur die Richtlinien der Domain xxx.mydomain.com angewandt werden.

    In den Richtlinien der Domain yyy.xxx.mydomain.com haben wir es mal mit folgendem WMI Filter probiert.
    select * from win32_Computersystem where (Caption like "Server%")
    Dies hatte aber zur Folge das es Probleme in der yyy.xxx.mydomain.com gab.

    Ist es möglich die Verarbeitung der Gruppenrichtlinie irgendwie zu deaktivieren?


    Dienstag, 12. April 2011 13:34

Alle Antworten

  • Hi,

    Am 12.04.2011 15:34, schrieb akirajansen:

    dass die Richtlinien aus der yyy.xxx.mydomain.com Domain auch auf die
    Server in der xxx.mydomain.com angewandt werden. Dies wollen wir aber
    nicht [...]

    Per Default ist der Loopback Modus in einem Trust aktiviert.
    Wenn du in der "fremden" Domäne die "eigenen" Richtlinie möchtest:

    Gesamtstrukturübergreifende Benutzerrichtlinien und servergespeicherte
    Benutzerprofile zulassen = aktivieren
    Pfad für Einstellungen:
    Computerkonfiguration/Administrative Vorlagen/System/Gruppenrichtlinie

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Dienstag, 12. April 2011 20:27
  • Danke für die Anwort. Allerdings habe ich die Einstellung ausprobiert und die Benutzerrichtlinien der untergeordenten Domain werden trotzdem in xxx.mydomain.com angewandt. Die Richtlinie heißt ja auch gesamtstrukturübergreifende Benutzerrichtlinie. Hast du vielleicht noch eine Idee?
    Mittwoch, 13. April 2011 10:40
  • Am 13.04.2011 12:40, schrieb akirajansen:

    werden trotzdem in xxx.mydomain.com angewandt. Die Richtlinie heißt
    ja auch gesamtstrukturübergreifende Benutzerrichtlinie.

    Dann schalte es in der Root einfach mal aus ... das ist zwar das
    Standard verhalten, aber wenn es "von alleine" passiert, dann hat das
    jemand angeschaltet. Bewusst, unbewusst, per Registry, per GPO, per
    Script, undokumentiert oder wie auch immer.

    Ich habs flscha rum gelesen, ich dachte, du wolltest es.

    Da es das LoopbackVerhalten betrifft, wirst du sicherlich das System
    nach gpupdate neustarten müssen, damit es funktioniert.

    Aus dem Explain:
    Wenn diese Einstellung nicht konfiguriert ist, gilt Folgendes:
    - Es werden keine Benutzerrichtlinieneinstellung aus der Gesamtstruktur
      des Benutzers angewendet.
    - Benutzer erhalten auf dem Computer nicht ihre servergespeicherten
      Profile, sondern ein lokales Profil aus der lokalen Gesamtstruktur.
      Dem Benutzer wird eine Warnmeldung angezeigt, und eine
      Ereignisprotokollmeldung (1529) wird ausgegeben.
    - Die Loopbackverarbeitung von Gruppenrichtlinien wird durchgeführt,
      wobei die Gruppenrichtlinienobjekte verwendet werden, deren
      Gültigkeitsbereich der Computer ist.
    - Eine Ereignisprotokollnachricht (1109) wird ausgegeben. In ihr wird
      angegeben, dass die Loopbackverarbeitung im Ersetzungsmodus
      aufgerufen wurde.
    Wenn die Einstellung deaktiviert ist, tritt dasselbe Verhalten auf wie
    bei nicht konfigurierter Einstellung.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Mittwoch, 13. April 2011 15:23