none
Problem: Loopback-Processing, WMI-Filter und Roaming Profiles (Einstellungen werden an alle Rechner mitgenommen) RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    Anforderung: Bestimmte Benutzerkonfigurationseinstellungen eines GPO sollen nur bei Anmeldung eines Benutzers an bestimmten Rechnern angewendet werden. Im aktuellen Beispiel geht es um die Vorgabe des Desktophintergrundbildes.

    Umsetzung: Benutzer-Gruppenrichtlinie in welcher der Loopback-Verarbeitungsmodus aktiviert ist, um das GPO nur auf bestimmten Rechnern anzuwenden.

    Problem: Meldet sich ein Benutzer, der bereits an einem der Rechner angemeldet war, auf die dieses GPO mithilfe von Loopback angewendet wird, anschließend an einem anderen Rechner an, auf den das GPO nicht angewendet wird, werden die im GPO festgelegten Einstellungen weiterhin angewendet. Die Einstellungen werden quasi über die Registry auf die anderen Rechner "verschleppt". Es bleibt dann nur, die Einstellungen manuell aus der Registry zu löschen.

    Edit: Noch zwei Anmerkungen:

    Es handelt sich um normale GPO-Einstellungen, die sich in den Registry-Bereichen befinden, in denen Einstellungen normalerweise wieder entfernt werden, wenn das GPO nicht mehr weiter angewendet wird. (Nicht "Tattoing"-Bereiche, vgl. http://blog.icewolf.ch/archive/2012/11/13/group-policies-group-policy-preferences-tattooing.aspx)

    Selbiges Verhalten konnte ich auch mit einem GPO ohne Loopback beobachten, dass durch WMI-Filterung auf bestimmte Rechner begrenzt werden sollte. Auch bei dieser Konstellation wird die betreffende Einstellung (hier das Ausblenden des Herunterfahren-Buttons) mit auf alle anderen Rechner genommen, auf denen später eine Anmeldung erfolgz, obwohl auf diesen laut gpresult das GPO wie beabsichtigt nicht angewendet wird.




    • Bearbeitet s0lution Montag, 14. September 2020 21:05
    Montag, 14. September 2020 12:04
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden
    Frage: Und wie soll das gewünschte Verhalten aussehen (bleiben wir beim Wallpaper-Beispiel)?

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 14. September 2020 13:00
    |
  • Question
    Anmelden
    0
    Anmelden
    Meldet sich ein Benutzer an Rechner A an, soll an diesem das Hintergrundbild vorgegeben werden. Meldet derselbe Benutzer sich an allen anderen Rechnern an, soll kein Hintergrundbild vorgegeben werden.
    Montag, 14. September 2020 13:07
    |
  • Question
    Anmelden
    0
    Anmelden
    Dann wende global diese Einstellung im Status "Deaktiviert" an (vorher mit einem Benutzer testen!!!).

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 14. September 2020 13:11
    |
  • Question
    Anmelden
    0
    Anmelden
    An so einen Workaround hatte ich auch schon gedacht, aber eigentlich sollte es auch anders möglich sein...
    Montag, 14. September 2020 13:14
    |
  • Question
    Anmelden
    0
    Anmelden
    An so einen Workaround hatte ich auch schon gedacht, aber eigentlich sollte es auch anders möglich sein...

    Zum Beispiel wie? Indem das System errät, welche Settings, zu denen Du *nix* konfigurierst, Du vorhattest mitzunehmen und welche nicht?

    Roaming Profiles sind dumm. Sie kopieren einfach die NTUSER.DAT weg und spielen sie woanders wieder ein. Wenn Du eine Profilmanagement-Lösung am Start hast, kannst Du bestimmte Registry-Zweige und -Werte ein- und ausschließen.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 14. September 2020 14:04
    |
  • Question
    Anmelden
    0
    Anmelden

    Mach's nicht mit Loopback, machs mit Preferences - Registry :-) Viel einfacher und viel besser zu kontrollieren.

    https://evilgpo.blogspot.com/2012/03/how-to-save-my-screen.html

    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    Montag, 14. September 2020 14:51
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Mitgenommen werden sollen überhaupt keine der Settings. An jedem Rechner, an dem sich der Benutzer anmeldet, sollte der Theorie nach bei der Anmeldung eine Auswertung der zugewiesenen GPOs erfolgen und die Settings entsprechend angewendet oder eben nicht angewendet werden.

    Es gibt Bereiche der Registry, deren GPO-Settings prinzipiell beibehalten werden, auch wenn das entsprechende GPO nicht mehr angewendet wird und wiederum andere Bereiche, deren Settings gelöscht werden sollten, sobald kein entsprechendes GPO mehr angewendet wird, siehe auch meine Ergänzungen im Original-Post. Da die betreffenden Einstellungen in meinem Fall von Windows in letzerem Bereich gespeichert werden, sollte man erwarten, dass es eigentlich nicht notwendig sein sollte, die Settings, sobald die zugehörigen GPOs irgendwann nicht mehr angewendet werden, mit einem weiteren GPO auf "Disabled" setzen zu müssen. Selbst wenn die NTUSER.DAT bei Roaming Profiles auf einen anderen Computer kopiert wird, sollte dort bei der Benutzernameldung ein Abgleich erfolgen, welche GPOs angewendet werden und die ggf. "hängengebliebenen" Einstellungen gelöscht werden, sobald kein entsprechendes GPO mehr angewendet wird.

    Letztendlich funktioniert es in diesem Anwendungsfall mit dem zweiten GPO, das die Einstellung für alle Benutzer auf Disabled setzt. Loopback wird jetzt für das erste GPO nicht mehr verwendet, stattdessen ein WMI-Filter auf bestimmte Rechnernamen. Übrigens konnte hierbei dasselbe Verhalten beobachtet werden: Die Einstellungen wurden mit auf einen anderen Rechner genommen wurden, obwohl auf diesem das GPO aufgrund des WMI-Filters laut gpresult nicht angewendet wird. Eventuell dauert es auch generell einfach einige Zeit, bis die nicht mehr anzuwendenden Einstellungen bereinigt werden und dies geschieht nicht automatisch bei jeder Benutzeranmeldung, wer weiß...

    Montag, 14. September 2020 21:02
    |
  • Question
    Anmelden
    0
    Anmelden
    Danke für den Tipp, über den Blog war ich auch schon gestolpert. Loopback war aber nicht die Ursache, mit einem WMI-Filter gibt es dasselbe Problem, siehe mein Post oben.
    Montag, 14. September 2020 21:04
    |