Benutzer mit den meisten Antworten
loopback verhindert user GPOs

Frage
-
Hallo,
wir haben eine Domäne im 2003 Modus.
Unsere Computer (Windows 7) haben eine OU und die user haben eine OU:domäne
people
benutzer1
Workstations
Rechner1Es hängen sowohl an der Benutzer OU als auch an der Computer OU GPOs
Wenn wir nun in der Computer OU eine GPO mit dem Loopback Verarbeitungsmodus 'Ersetzen' oder 'Zusammenführen' mit anhängen, dann wird danach keine GPO aus der Benutzer OU mehr ausgeführt.Ich hatte den Loopbackmodus so verstanden, das dann der Benutzeranteil aus der GPO die an den Computer geknüpft ist mit ausgeführt wird, aber nicht, das er andere Benutzer GPOs verhindert.
Liegt hier bei uns ein Config Fehler vor, oder ist dies so richtig?
Gruß
Florian
Antworten
-
"Florian Schalk" schrieb
Hi,
> alle GPOs haben als Sicherheitsfilterung: Authentifizierte Benutzer.
OK.
> Sie sind auch über den Sicherheitstab in der eigentlich Richtlinie nicht
> eingeschränkt.
OK.
> Was ich merkwürdig finde, ist das die Benutzer GPOs ausgeführt werden
> sobald sich in der Computer OU kein Loopback mehr befindet.
Ja ist es.
> Sobald Loopback gesetzt sind, werden die Benutzer GPOs einfach
> ausgelassen.
Egal welcher Modus des Loopbacks?
> Wenn ich Dich aber richtig interpretiere, dann habe ich das schon richtig
> verstanden, das bei gesetztem Loopback erst die Benutzer GPOs abgearbeitet
> werden sollten und dann die Computer GPOs mit anschließendem (eventuellem)
> überschreiben der Benutzereinstellungen (im Ersetzen Modus).
Ja, wobei im ersetzen Modus die Useranteile der "Userzugewiesenen GPOs" gar
nicht ausgewertet werden, also nicht "überschrieben" werden brauchen.
http://www.gruppenrichtlinien.de/Grundlagen/Loopback_Verarbeitungs_Modus.htm
HTH
Norbert- Als Antwort markiert Florian Schalk Donnerstag, 22. April 2010 10:10
Alle Antworten
-
"Florian Schalk" schrieb
Hi,
> wir haben eine Domäne im 2003 Modus.
> Unsere Computer (Windows 7) haben eine OU und die user haben eine OU:
>
> domäne
> people
> benutzer1
> Workstations
> Rechner1
>
> Es hängen sowohl an der Benutzer OU als auch an der Computer OU GPOs
> Wenn wir nun in der Computer OU eine GPO mit dem Loopback
> Verarbeitungsmodus 'Ersetzen' oder 'Zusammenführen' mit anhängen, dann
> wird danach keine GPO aus der Benutzer OU mehr ausgeführt.
>
> Ich hatte den Loopbackmodus so verstanden, das dann der Benutzeranteil aus
> der GPO die an den Computer geknüpft ist mit ausgeführt wird, aber nicht,
> das er andere Benutzer GPOs verhindert.
>
> Liegt hier bei uns ein Config Fehler vor, oder ist dies so richtig?
Ich vermute einen Config Fehler. Ist an der Sicherheitsfilterung der GPOs
(die für die Benutzer) geschraubt worden? Ich vermute dort den Fehler.
Bye
Norbert -
Moin Norbert,
alle GPOs haben als Sicherheitsfilterung: Authentifizierte Benutzer.
Sie sind auch über den Sicherheitstab in der eigentlich Richtlinie nicht eingeschränkt.Was ich merkwürdig finde, ist das die Benutzer GPOs ausgeführt werden sobald sich in der Computer OU kein Loopback mehr befindet.
Sobald Loopback gesetzt sind, werden die Benutzer GPOs einfach ausgelassen.
Sie werden bei gpresult (oder bei Gruppenrichtlinienergebnisse) auch nicht als herausgefiltert angezeigt.
Als wenn die Dinger gar nicht vorhanden wären.Wenn ich Dich aber richtig interpretiere, dann habe ich das schon richtig verstanden, das bei gesetztem Loopback erst die Benutzer GPOs abgearbeitet werden sollten und dann die Computer GPOs mit anschließendem (eventuellem) überschreiben der Benutzereinstellungen (im Ersetzen Modus).
-
"Florian Schalk" schrieb
Hi,
> alle GPOs haben als Sicherheitsfilterung: Authentifizierte Benutzer.
OK.
> Sie sind auch über den Sicherheitstab in der eigentlich Richtlinie nicht
> eingeschränkt.
OK.
> Was ich merkwürdig finde, ist das die Benutzer GPOs ausgeführt werden
> sobald sich in der Computer OU kein Loopback mehr befindet.
Ja ist es.
> Sobald Loopback gesetzt sind, werden die Benutzer GPOs einfach
> ausgelassen.
Egal welcher Modus des Loopbacks?
> Wenn ich Dich aber richtig interpretiere, dann habe ich das schon richtig
> verstanden, das bei gesetztem Loopback erst die Benutzer GPOs abgearbeitet
> werden sollten und dann die Computer GPOs mit anschließendem (eventuellem)
> überschreiben der Benutzereinstellungen (im Ersetzen Modus).
Ja, wobei im ersetzen Modus die Useranteile der "Userzugewiesenen GPOs" gar
nicht ausgewertet werden, also nicht "überschrieben" werden brauchen.
http://www.gruppenrichtlinien.de/Grundlagen/Loopback_Verarbeitungs_Modus.htm
HTH
Norbert- Als Antwort markiert Florian Schalk Donnerstag, 22. April 2010 10:10