none
RDP GPO Auf Sicherheitsgruppe mit Computern anwenden. RRS feed

  • Frage

  • Hallo zusammen,

    ich stehe Momentan etwas auf dem Schlauch was die Sicherheitsfilterung einer GPO angeht. 

    Die Lage ist wie folgt:

    Die Computer befinden sich in einer OU, auf diese OU wird eine GPO mit der Einstellung für RDP-Sitzungen angewendet.

    Nun möchte ich das nur bestimmte Computer diese GPO anwenden also habe ich eine Gruppe in der OU Gruppen erstellt und die Computerobjekte auf die diese GPO wirken soll als Mitglieder hinzugefügt. Danach in der GPO unter Sicherheitsfilterung diese Gruppe angegeben. 

    Nun ist das Problem aber das die GPO trotzdem auf alle Computer angewendet wird egal ob sie in der Gruppe stehen oder nicht. Experimentell habe ich die Authentifizierten Benutzer mal entfernt und leider wird die GPO nun auf keinen Rechner mehr angewendet. Danach habe ich die Authentifizierten Benutzer wieder eingefügt allerdings bei der Delegation die Authentifizierten Benutzer nur als  Lesen gesetzt. Es konnte dann immer noch kein Computer die GPO anwenden. (Hoffe das war soweit verständlich :) )

    Also stehe ich nun immer noch vor dem Problem, wie kann ich erreichen das nur die in der Gruppe stehenden Computer die GPO anwenden?

    Ich hoffe Ihr könnt mir bei dem Problem behilflich sein und mir etwas auf die Sprünge helfen. 

    Bedanke mich schon mal im Vorraus^^

    Sonntag, 9. Juni 2019 20:06

Antworten

  • Dann ist die Gruppenmitgliedschaft noch nicht im Token enthalten. 

    Du kannst versuchen das ohne Reboot mit (Adminrechte + CMD als Administrator!!!)

    klist -li 0x3e7 purge
    zu erzwingen, aber Reboot ist zuverlässiger ;-)


    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert MaggifiXXL Montag, 10. Juni 2019 17:37
    Montag, 10. Juni 2019 10:58

Alle Antworten

  • Moin,

    "im Voraus" schreibt sich mit einem R.

    Wenn Du Authentifizierte Benutzer in der Sicherheitsfilterung stehen hast, gehören alle Computer auch dazu, und weitere Sicherheitsfilterung macht keinen Sinn. Das muss also definitiv raus.

    Folgende Stichworte für Dich als Anregungen zur Diagnose:

    • Wenn Du einen Computer (oder auch User) zu einer Gruppe hinzufügst, kommt die Gruppe nicht sofort in seinen Sicherheitstoken. Wenn Du bei Computern *schnell* Auswirkungen bei Änderung der Gruppenmitgliedschaften sehen willst, musst Du sie rebooten.
    • Welche Policies angewandt werden und warum nicht, siehst Du schwarz auf weiß im GPRESULT bzw. in dem entsprechenden Bericht in der GPMC.

    Da die Dauer eines Kerberos-Tokens im Default bei 10 Stunden liegt, dürfte das bei Dir inzwischen funktionieren ;-)


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 10. Juni 2019 09:17
  • Moin, danke dir für deine Korrektur. ;)

    Die einzelnen Computer wurden per gpupdate auf den aktuellsten Stand gebracht.

    Unter gpresult wird die GPO nur angewendet wenn Authentifizierte Benutzer in der Sicherheitsfilterung enthalten sind. Wenn Sie nicht darin enthalten sind, oder per Delegation nur auf Lesen stehen ist die GPO nur als nicht angewendet "Zugriff verweigert" gelistet. 

    Grüße

    Montag, 10. Juni 2019 10:03
  • Dann ist die Gruppenmitgliedschaft noch nicht im Token enthalten. 

    Du kannst versuchen das ohne Reboot mit (Adminrechte + CMD als Administrator!!!)

    klist -li 0x3e7 purge
    zu erzwingen, aber Reboot ist zuverlässiger ;-)


    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert MaggifiXXL Montag, 10. Juni 2019 17:37
    Montag, 10. Juni 2019 10:58
  • Am 09.06.2019 schrieb MaggifiXXL:

    Die Computer befinden sich in einer OU, auf diese OU wird eine GPO mit der Einstellung für RDP-Sitzungen angewendet.

    Nun möchte ich das nur bestimmte Computer diese GPO anwenden also habe ich eine Gruppe in der OU Gruppen erstellt und die Computerobjekte auf die diese GPO wirken soll als Mitglieder hinzugefügt. Danach in der GPO unter Sicherheitsfilterung diese Gruppe angegeben. 

    Nun ist das Problem aber das die GPO trotzdem auf alle Computer angewendet wird egal ob sie in der Gruppe stehen oder nicht. Experimentell habe ich die Authentifizierten Benutzer mal entfernt und leider wird die GPO nun auf keinen Rechner mehr angewendet. Danach habe ich die Authentifizierten Benutzer wieder eingefügt allerdings bei der Delegation die Authentifizierten Benutzer nur als  Lesen gesetzt. Es konnte dann immer noch kein Computer die GPO anwenden. (Hoffe das war soweit verständlich :) )

    Authentifizierte Benutzer müssen das GPO lesen dürfen, übernehmen
    nicht. Lies doch mal diesen Artikel:
    https://www.gruppenrichtlinien.de/de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/

    Servus
    Winfried


    WSUS Package Publisher:
    https://github.com/DCourtel/Wsus_Package_Publisher
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren:
    https://github.com/JochenKalmbach/communitybridge
    GP-PACK - PRIVACY AND TELEMETRIE: http://www.gp-pack.com/

    Montag, 10. Juni 2019 12:31
  • Hallo zusammen,

    es lag wohl wirklich noch an dem gültigen Anmeldetorken.

    Ich danke euch für eure Hilfe bei meinem Problem. :)

    Montag, 10. Juni 2019 17:38