none
1 Benutzer, zwei Gruppen - Verarbeitung von GPOs RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    haben z.B. einen Benutzer, welcher in zwei Sicherheitsgruppen Mitglied ist!

    Sagen wir Grp A und Grp B

    Nun haben wir zwei GPO's, in welchen Benutzerkonfigurationseinstellungen getroffen wurden.

    Sagen wir GPO 1 und GPO 2

    In der GPO 1 ist die Grp A in der Sicherheitsfilterung

    In der GPO 2 ist die Grp B in der Sicherheitsfilterung

    Beide GPO's wirken in einer OU, in der sich in der AD Struktur die Terminalserver befinden.

    Problem:

    Meldet sich nun dieser Benutzer an einem der beiden TS an, dann bekommt er beide Richtlinien verbraten! Das wollen wir aber nicht!

    Also habe ich in der Deligeirung der GPO 1 gesagt, dass die Übernahme der GPO 1 für die Grp B verweigert wird und umgekehrt.

    Dies führt aber dazu, dass keine der GPO's mehr übernommen wird.

    Was ist demnach zu konfigurieren, damit der Benutzer in beiden Sicherheitsgruppen immer die GPO übernimmt, die für den entsprechenden Server gilt.

    Da es sich ausschließlich um benutzerkonfigurationen handelt, erschien es mir nicht sinnvoll, etwas an der Deligierung in Richtung Computerkonten zu drehen...

    Hat dazu jemand eine Lösung, außer das Kontrukt der OU's pro Server aufzubrechen?

    MfG Harald
    • Bearbeitet H.Haas Dienstag, 24. Januar 2012 11:46
    Dienstag, 24. Januar 2012 11:44
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden

    Hallo Martin,

    die "Lösung" mit den weiteren OU's kam mir auch schon.

    Auch die Replace-Sache und dass die User-GPO's nur dann funktionieren, wenn Sie im Verwaltungsbereich der TS liegen, dachte ich mir schon, gerade nachdem ich mir nochmals die Beschreibung von Loopback durchgelesen habe... (@Mark - www.gruppenrichtlinien.de sei Dank)

    Fazit - da mir jegliche Erfahrungen mit WMI fehlen, hab ich es durch zwei weitere OU's gelöst! 

    MfG Harald
    Mittwoch, 25. Januar 2012 08:56
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Am 24.01.2012 12:44, schrieb H.Haas:

    Was ist demnach zu konfigurieren, damit der Benutzer in beiden
    Sicherheitsgruppen immer die GPO übernimmt, die für den
    entsprechenden Server gilt.

    entweder den Benutzer anstelle der Gruppe mit Verweigern eintragen
    oder eine neue Gruppe erstellen, der du es verweigerst und den User in
    die Gruppe packen.

    Das grundproblem: Deine Richtlinien kollidieren für die Gruppen.
    Das bedeutet: Der User darf nicht in beiden Gruppen sein, wenn er das
    ist und auch sein darf, dann dürfen die Richtlinien nicht kollidieren.

    Mit anderen Worten, die beiden Gruppen taugen nicht zur Filterung, da
    sie Überschneidungen zulassen, die nicht sein sollen.

    Diese Überschneidung kannst du mit anderen Gruppen verhindern damit du
    einen eindeutigen Filter hast oder den User nicht in beide Gruppen packen.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Dienstag, 24. Januar 2012 12:18
    |
  • Question
    Anmelden
    0
    Anmelden

    na da haben wir wieder den Salat.

    Natürlich sind in den Gruppen der Sicherheitsfilterung nur Benutzer und keine weiteren Gruppen.

    Hast du eine Beispielidee für "taugende" Gruppen in der Sicherheitsfilterung für soclhe "konkurierenden" GPOs?

    Zur Konkretisierung:

    Natürlich ist der Benutzer in einer OU, in welcher auch eine der beiden Gruppen für die Sicherheitsfilterung positioniert ist!

    Die zweite Gruppe ist in einer übergeordneten OU positioniert.

    Hier mal ein Beispiel:

    OU der einen Sicherheitsgruppe:
    OU=_uebergreifende Gruppen,OU=UNTERNEHMENS-OU,DC=Domänenname,DC=local

    OU der zweiten Sicherheitsgruppe:
    OU=Gruppen,OU=32_Jugend,OU=04_User,OU=UNTERNEHMENS-OU,DC=Domänenname,DC=local

    OU des Benutzers:
    OU=32_Jugend,OU=04_User,OU=UNTERNEHMENS-OU,DC=Domänenname,DC=local

    MfG Harald
    Dienstag, 24. Januar 2012 13:18
    |
  • Question
    Anmelden
    0
    Anmelden
    > Die zweite Gruppe ist in einer übergeordneten OU positioniert.
     
    Schön, spielt nur überhaupt keine Rolle... Nur OUs von User/Computer
    sind relevant.
     
    Hast Du Loopback aktiviert? Wenn ja: Merge oder Replace?
     
    Und alternativ kannst Du hier immer WMI-Filter verwenden:
     
    select * from Win32_Computersystem where Name="TS1"
    select * from Win32_Computersystem where Name="TS2"
     
    mfg Martin
     
    A bissle "Experience", a bissle GMV... Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Dienstag, 24. Januar 2012 13:46
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Hallo Martin,

    Loopback ist aktiviert! Replace ist definiert.

    na ja, die Bezeichnung "übergeordnete" Gruppe soll auch nur ein anderer Name dafür gewesen sein, dass hier paralell zu den OUs, in welcher die User sind, eine OU existiert, in der so Gruppen, wie RDP Zugriffe, etc. enthalten sind. Also Sicherheitsgruppen, in denen User aus verschiedenen OU's Mitglieder sind.

    Ich muss leider zugeben, dass ich mit dem WMI Filter noch keinerlei Erfahrung habe und ihn somit auch noch net genutzt habe.

    MfG Harald
    Dienstag, 24. Januar 2012 13:59
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 24.01.2012 14:18, schrieb H.Haas:

    Hast du eine Beispielidee für "taugende" Gruppen in der Sicherheitsfilterung

    Ich baue eigene Sicherheitsgruppen die "GPO_irgendwas" heissen, diese
    dienen nur zur GPO Filterung. Damit habe ich dann keine ÜBerschneidungen
    mit anderen Sicherheitsgruppen, die im Dateisystem oder anderswo
    verwendet werden.

    Die heissen dann ja auch "NTFS_irgendwas" und haben im GPO Filter nichts
    zu suchen. ;-)

    Ist doch egal, in wie vielen Gruppen der User steckt.
    Keine Angst, erst bei 1015 Gruppen musst du das Kerberos Token Size
    vergrößern, da ist noch ganz viel Luft nach oben ...

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Dienstag, 24. Januar 2012 14:02
    |
  • Question
    Anmelden
    0
    Anmelden
    > Ich muss leider zugeben, dass ich mit dem WMI Filter noch keinerlei
    > Erfahrung habe und ihn somit auch noch net genutzt habe.
     
    Dann schau mal bei http://www.gruppenrichtlinien.de vorbei (:
     
    A bissle "Experience", a bissle GMV... Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Dienstag, 24. Januar 2012 14:21
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden
    > Keine Angst, erst bei 1015 Gruppen musst du das Kerberos Token Size
     
    Nö - ab ungefähr 80 wirds interessant (hängt auch von DL/GG ab)... Und
    ab 1015 kann er sich nicht mehr anmelden, weil die LSA das Token nicht
    mehr zusammenbauen kann. Aber das ist ein anderes Thema.
     
    mfg Martin
     
    A bissle "Experience", a bissle GMV... Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Dienstag, 24. Januar 2012 14:23
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Am 24.01.2012 15:23, schrieb Martin Binder:

    ab ungefähr 80 wirds interessant

    War das nicht ein Bug der ab 2003 SP1 beseitigt ist und nicht mehr
    relevant ist?

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Dienstag, 24. Januar 2012 14:30
    |
  • Question
    Anmelden
    0
    Anmelden

    Hier Jungs,

    ich schau mir das Morgen in aller Ruhe an und www.gruppenrichtlinien.de ist in der Favoritenleiste einer DER häufigsten Links!!!! :-)

    Nein ehrlich, da schau ich öfters vorbei, hatte bisher aber keinen Grund, im Bereich WMI etwas nachzuschauen.

    Das mit der konkurierenden Mitgliedschaft hab ich gerafft...

    Vielen Dank auf jeden Fall für die bisherigen Beiträge und ich melde mich Morgen.

    MfG Harald
    Dienstag, 24. Januar 2012 15:05
    |
  • Question
    Anmelden
    1
    Anmelden
    "Kommt drauf an"...
     
     
    A bissle "Experience", a bissle GMV... Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Dienstag, 24. Januar 2012 15:06
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Am 24.01.2012 16:06, schrieb Martin Binder:

    "Kommt drauf an"...

    Mist verdammter ... :-(

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Dienstag, 24. Januar 2012 15:21
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Mark,
    hallo Martin,

    also irgendwas übersehe ich hier!

    Folgendes Szenario:

    - OU mit TerminalServern, darin enthalten, die Computerkonten (Objekte) der TS
    - darauf verlinkt eine extra GPO mit aktiviertem LBVM, replace ist aktiviert
    - darauf weiter verlinkt zwei GPO's (GPO1 +  GPO2) mit unterschiedlichen Benutzerkonfigurationen
    - Sicherheitsfilterung auf die jeweiligen TS (Computerkonten) und auf Grp A für GPO1 und Grp B für GPO2
    - Mitglieder in den Gruppen Grp A+B sind widerum Gruppen, welche in OU's liegen, wo auch die Benutzer positioniert sind.
    - Über die Gruppenmitgliedschaften kommt es vor, dass letzen Endes ein Benutzer Mitglied in Gruppen ist, die sowohl Mitglied in Grp A+B sind.

    Irgendwie raff ich es scheinbar doch net, dass der Benutzer nur die Einstellungen von GPO1 bekommt, wenn er sich an dem entsprechenden TS anmeldet und die Einstellungen von GPO2 bekommt, wenn er sich demnach an dem anderen TS anmeldet.

    Verweiger ich die Übernahme der jeweils anderen GPO für die Gruppe, in der der Benutzer tatsächlich Mitglied ist (also nicht Grp A od. B), dann wird keine Richtlinie übernommen - soll heißen, die konkurierende Mitgliedschaft ist nach wie vor gegeben.

    Auch funktioniert die Übernahme der GPO, wechel auf die OU des Benutzers verlinkt ist, nur dann, wenn ich sie auch auf die OU des TS verlinke (also Einstellungen wie Laufwerke...)

    WMI-technisch hab ich auf deiner Seite (@Mark) leider noch nix gefunden, was mich weiterbringt.

    Vielleicht bringt ihr nochmals praxisorientiert zum Ausdruck, wie es gehen könnte.

    VIELEN DANK DAFÜR schon jetzt (oh man, dabei sollte ich es wissen)

    MfG Harald
    Mittwoch, 25. Januar 2012 07:50
    |
  • Question
    Anmelden
    0
    Anmelden
    > - darauf verlinkt eine extra GPO mit aktiviertem LBVM, replace ist aktiviert
     
    Das hat dann zur Folge, daß User-GPOs nur noch im Verwaltungsbereich der
    TSe angewendet werden - was Du vmtl. auch willst.
     
    > - Sicherheitsfilterung auf die jeweiligen TS (Computerkonten) und auf
    > Grp A für GPO1 und Grp B für GPO2
     
    Die Computerkonten sind bei Loopback Replace irrelevant.
     
    > - Mitglieder in den Gruppen Grp A+B sind widerum Gruppen, welche in OU's
    > liegen, wo auch die Benutzer positioniert sind.
     
    Wo die Gruppen liegen, ist irrelevant, und wo die User liegen, ist bei
    Loopback Replace auch irrelevant.
     
    > Irgendwie raff ich es scheinbar doch net, dass der Benutzer nur die
    > Einstellungen von GPO1 bekommt, wenn er sich an dem entsprechenden TS
    > anmeldet und die Einstellungen von GPO2 bekommt, wenn er sich demnach an
    > dem anderen TS anmeldet.
     
    Das geht in diesem Szenario nur per WMI-Filter auf den Computernamen.
    Oder Du machst unterhalb der TS-OU zwei weitere OUs. In jede kommt einer
    der TSe, und mit jeder wird jeweils die zugehörige GPO verlinkt. Fertig. Ok?
     
    > Auch funktioniert die Übernahme der GPO, wechel auf die OU des Benutzers
    > verlinkt ist, nur dann, wenn ich sie auch auf die OU des TS verlinke
    > (also Einstellungen wie Laufwerke...)
     
    Ja - Loopback Replace ist "große Magie" ((:
     
    mfg Martin
     
    A bissle "Experience", a bissle GMV... Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Mittwoch, 25. Januar 2012 08:24
    |
    Beantworter
  • Question
    Anmelden
    1
    Anmelden

    Hallo Martin,

    die "Lösung" mit den weiteren OU's kam mir auch schon.

    Auch die Replace-Sache und dass die User-GPO's nur dann funktionieren, wenn Sie im Verwaltungsbereich der TS liegen, dachte ich mir schon, gerade nachdem ich mir nochmals die Beschreibung von Loopback durchgelesen habe... (@Mark - www.gruppenrichtlinien.de sei Dank)

    Fazit - da mir jegliche Erfahrungen mit WMI fehlen, hab ich es durch zwei weitere OU's gelöst! 

    MfG Harald
    Mittwoch, 25. Januar 2012 08:56
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    >Fazit - da mir jegliche Erfahrungen mit WMI fehlen, hab ich es durch zwei weitere OU's gelöst!

    das ist kein Teufelswerk.
    Im Netz findest du viele Beispielfilter.

    Du kannst deine Filter auch mit einen der vielen query builders zusammenbauen:

    http://www.robvanderwoude.com/wshtools.php

    >Die Computerkonten sind bei Loopback Replace irrelevant.

    Yes, Sir.

    Siehe hier:
    http://matthiaswolf.blogspot.com/2011/11/gpo-loopback-benotigt-leserechte-fur.html

     

     

    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: http://matthiaswolf.blogspot.com/
    Donnerstag, 26. Januar 2012 18:07
    |
    Beantworter