none
loopback verhindert user GPOs RRS feed

  • Frage

  • Hallo,

    wir haben eine Domäne im 2003 Modus.
    Unsere Computer (Windows 7) haben eine OU und die user haben eine OU:

    domäne
      people
        benutzer1
      Workstations
        Rechner1

    Es hängen sowohl an der Benutzer OU als auch an der Computer OU GPOs
    Wenn wir nun in der Computer OU eine GPO mit dem Loopback Verarbeitungsmodus 'Ersetzen' oder 'Zusammenführen' mit anhängen, dann wird danach keine GPO aus der Benutzer OU mehr ausgeführt.

    Ich hatte den Loopbackmodus so verstanden, das dann der Benutzeranteil aus der GPO die an den Computer geknüpft ist mit ausgeführt wird, aber nicht, das er andere Benutzer GPOs verhindert.

    Liegt hier bei uns ein Config Fehler vor, oder ist dies so richtig?

    Gruß

    Florian

    Mittwoch, 21. April 2010 10:23

Antworten

  • "Florian Schalk" schrieb
    Hi,

    > alle GPOs haben als Sicherheitsfilterung: Authentifizierte Benutzer.

    OK.

    > Sie sind auch über den Sicherheitstab in der eigentlich Richtlinie nicht
    > eingeschränkt.

    OK.

    > Was ich merkwürdig finde, ist das die Benutzer GPOs ausgeführt werden
    > sobald sich in der Computer OU kein Loopback mehr befindet.

    Ja ist es.

    > Sobald Loopback gesetzt sind, werden die Benutzer GPOs einfach
    > ausgelassen.

    Egal welcher Modus des Loopbacks?


    > Wenn ich Dich aber richtig interpretiere, dann habe ich das schon richtig
    > verstanden, das bei gesetztem Loopback erst die Benutzer GPOs abgearbeitet
    > werden sollten und dann die Computer GPOs mit anschließendem (eventuellem)
    > überschreiben der Benutzereinstellungen (im Ersetzen Modus).

    Ja, wobei im ersetzen Modus die Useranteile der "Userzugewiesenen GPOs" gar
    nicht ausgewertet werden, also nicht "überschrieben" werden brauchen.
    http://www.gruppenrichtlinien.de/Grundlagen/Loopback_Verarbeitungs_Modus.htm

    HTH
    Norbert

    • Als Antwort markiert Florian Schalk Donnerstag, 22. April 2010 10:10
    Mittwoch, 21. April 2010 18:10

Alle Antworten

  • "Florian Schalk" schrieb
    Hi,

    > wir haben eine Domäne im 2003 Modus.
    > Unsere Computer (Windows 7) haben eine OU und die user haben eine OU:
    >
    > domäne
    > people
    > benutzer1
    > Workstations
    > Rechner1
    >
    > Es hängen sowohl an der Benutzer OU als auch an der Computer OU GPOs
    > Wenn wir nun in der Computer OU eine GPO mit dem Loopback
    > Verarbeitungsmodus 'Ersetzen' oder 'Zusammenführen' mit anhängen, dann
    > wird danach keine GPO aus der Benutzer OU mehr ausgeführt.
    >
    > Ich hatte den Loopbackmodus so verstanden, das dann der Benutzeranteil aus
    > der GPO die an den Computer geknüpft ist mit ausgeführt wird, aber nicht,
    > das er andere Benutzer GPOs verhindert.
    >
    > Liegt hier bei uns ein Config Fehler vor, oder ist dies so richtig?


    Ich vermute einen Config Fehler. Ist an der Sicherheitsfilterung der GPOs
    (die für die Benutzer) geschraubt worden? Ich vermute dort den Fehler.

    Bye
    Norbert

    Mittwoch, 21. April 2010 14:12
  • Moin Norbert,

    alle GPOs haben als Sicherheitsfilterung: Authentifizierte Benutzer.
    Sie sind auch über den Sicherheitstab in der eigentlich Richtlinie nicht eingeschränkt.

    Was ich merkwürdig finde, ist das die Benutzer GPOs ausgeführt werden sobald sich in der Computer OU kein Loopback mehr befindet.
    Sobald Loopback gesetzt sind, werden die Benutzer GPOs einfach ausgelassen.
    Sie werden bei gpresult (oder bei Gruppenrichtlinienergebnisse) auch nicht als herausgefiltert angezeigt.
    Als wenn die Dinger gar nicht vorhanden wären.

    Wenn ich Dich aber richtig interpretiere, dann habe ich das schon richtig verstanden, das bei gesetztem Loopback erst die Benutzer GPOs abgearbeitet werden sollten und dann die Computer GPOs mit anschließendem (eventuellem) überschreiben der Benutzereinstellungen (im Ersetzen Modus).

     

    Mittwoch, 21. April 2010 14:23
  • "Florian Schalk" schrieb
    Hi,

    > alle GPOs haben als Sicherheitsfilterung: Authentifizierte Benutzer.

    OK.

    > Sie sind auch über den Sicherheitstab in der eigentlich Richtlinie nicht
    > eingeschränkt.

    OK.

    > Was ich merkwürdig finde, ist das die Benutzer GPOs ausgeführt werden
    > sobald sich in der Computer OU kein Loopback mehr befindet.

    Ja ist es.

    > Sobald Loopback gesetzt sind, werden die Benutzer GPOs einfach
    > ausgelassen.

    Egal welcher Modus des Loopbacks?


    > Wenn ich Dich aber richtig interpretiere, dann habe ich das schon richtig
    > verstanden, das bei gesetztem Loopback erst die Benutzer GPOs abgearbeitet
    > werden sollten und dann die Computer GPOs mit anschließendem (eventuellem)
    > überschreiben der Benutzereinstellungen (im Ersetzen Modus).

    Ja, wobei im ersetzen Modus die Useranteile der "Userzugewiesenen GPOs" gar
    nicht ausgewertet werden, also nicht "überschrieben" werden brauchen.
    http://www.gruppenrichtlinien.de/Grundlagen/Loopback_Verarbeitungs_Modus.htm

    HTH
    Norbert

    • Als Antwort markiert Florian Schalk Donnerstag, 22. April 2010 10:10
    Mittwoch, 21. April 2010 18:10