none
GPO mit Sicherheitsfilterung Registry Wert RRS feed

  • Frage

  • Hallo Leute,

    ich habe eine GPO welche soweit funktioniert. Diese GPO setzt Registry Werte für eine Domäne Gruppe.

    Mein Problem ist leider nur das diese Registry Werte (unter Current User) weiterhin gesetzt bleiben auch wenn der User nicht mehr in der Gruppe ist welche unter Sicherheitsfilterung angegeben ist.

    Wo liegt mein Problem ? Oder muss ich eine GPO erstellen die die Werte rauslöscht für alle anderen ?

    Dienstag, 14. Februar 2017 10:08

Antworten

  • Habe das ganze jetzt realisiert.

    Die Gruppe Test_Anwendung sitzt auch per Sicherheitsfilterung auf der GPO.

    Weiterhin habe ich beim Registry-Wert der gesetzt werden soll gesagt, dass ich das Element löschen möchte wenn es nicht mehr angewendet wird und bei der Zielgruppenadressierung die Test_Anwendung hinzugefügt ( Ist Mitglied von Gruppe Test_Anwendung).

    Wenn mein Test User jetzt Mitglied der Gruppe Test_Anwendung ist bekommt er den Registry Wert und wenn er aus der Gruppe entfernt wird weil nicht mehr benötigt wird der Registry Wert wieder entfernt.

    Funktioniert perfekt !

    • Als Antwort markiert Horter Freitag, 17. Februar 2017 11:38
    Freitag, 17. Februar 2017 11:37

Alle Antworten


  • Wo liegt mein Problem ? Oder muss ich eine GPO erstellen die die Werte rauslöscht für alle anderen ?

    die Einstellung bleibt solange gesetzt, bis dem System einer sagt das es anders sein soll ;)

    Also entweder den Wert mit einer anderen GPO/Skript ändern oder löschen.



    Freundliche Grüße

    Sandro
    MCSA: Windows Server 2012
    Fachinformatiker Fachrichtung Systemintegration (IHK, 07/2013)



    Dienstag, 14. Februar 2017 11:42
  • > Wo liegt mein Problem ? Oder muss ich eine GPO erstellen die die Werte rauslöscht für alle anderen ?
     
    Schau mal auf dem Reiter "Gemeinsam" alles genau an :-)
     
    Vermutlich filterst Du auf die Gruppe im Sicherheitsfilter der GPO. Trage da "Authentifizierte Benutzer" ein und filtere über die Zielgruppenadressierung unter "Gemeinsam". Setze dann noch "Element entfernen, wenn es nicht mehr angewendet wird" - fertig.
     
    Wenn Du mehrere Reg-Werte hast: Erstelle eine Sammlung und filtere in dieser.
     
    Dienstag, 14. Februar 2017 12:07
    Beantworter
  • Hi,

    vielen Dank für die Rückmeldung. Auf dem Reiter "Gemeinsam" habe ich bereits geschaut jedoch klappt das nicht so wie ich mir das vorstelle.

    Die zu setzenden Registry Werte sollen nur einige User bekommen deswegen habe ich in den Sicherheitsfilterung der GPO eine Gruppe Test_Anwendung eingefügt und die User welche die Werte bekommen sollen sind Mitglied dieser Gruppe.

    Die Verteilung funktioniert soweit. Nur wenn die User die Werte nicht mehr brauchen und Sie aus der Gruppe Test_Anwendung genommen werden sollen die Werte auch wieder gelöscht werden.

    Wie bekomme ich das hin ?Umsetzung:

    1. Ich trage die auth. Benutzer in die Sicherheitsfilterung der GPO ein (alle user wenden die GPO an)

    2. Ich mach eine Sammlung und packe beide Registry Werte hinein.

    3. Ich gehe in die Eigenschaften der Sammlung und konfiguriere dort die Zielgruppenadressierung auf Elementeben (Mitglied von Test_Anwendung Gruppe)

    Element entfernen wenn es nicht mehr angewendet wird (muss ich das auf die Sammlung oder auf den eigentlichen RegistryWert setzen ?)

    Mittwoch, 15. Februar 2017 10:16
  • Hi,
     
    Am 14.02.2017 um 11:08 schrieb Horter:
    > Mein Problem ist leider nur das diese Registry Werte (unter Current
    > User) weiterhin gesetzt bleiben auch wenn der User nicht mehr in der
    > Gruppe ist welche unter Sicherheitsfilterung angegeben ist.
    Weil du die GPP Registry verwendest, die RegWerte wie in einem Script
    schreibt. Es gibt keinen Automatismuss für Löschen.
    Wenn es gelöscht werden soll bei "is NOT member", dann musst du das
    definieren. Das ist wie im Script.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    Privacy and Telemetry on Windows 10 - gp-pack PaT
     
    Donnerstag, 16. Februar 2017 07:56
  • Hallo Horter,

    zunächst einmal stellt sich mir die Frage, warum du allen Benutzern das GPO anwenden lässt. Stell doch die Gruppe Test_Anwendung direkt in das Security Filtering ein. Auth. Benutzer müssen zwangsläufig lesen, weil dort die Computerobjekte hinter liegen. Deine benutzerdefinierte Gruppe bekommt dann einfach das Recht auf "Richtlinien anwenden", was die Authentifizierten Benutzer nicht bekommen. Und zack, brauchst du keine Zielgruppenadressierung mehr. Das erspart den Clients in diesem Fall zwar nur ganz wenig Rechenaufwand, aber wenn Du 100te GPOs verteilst, wirst Du deutlichen Unterschied in der Geschwindigkeit der Gruppenrichtlinienanwendung feststellen.

    Zu deinem Problem: Ich könnte mir echt vorstellen, dass die Zielgruppenadressierung dahinter steckt, oder evtl. die Sammlung?. Das wäre echt interessant, weil sowas hab ich noch nie getestet. Generell funktioniert das aber schon was du vor hast, evtl. muss man halt die o.g. Faktoren wieder deaktivieren.

    Benutzerkonfiguration --> Einstellungen --> Windows-Einstellungen --> Registrierung

    Dort erstellst du ein neues Registrierungselement - wie du es benötigst. Folgende Einstellungen setzt du:

    Allgemein --> Aktion = Ersetzen -->  nur so kann Windows den Wert wieder löschen, wenn das GPO nicht mehr zieht

    Gemeinsame Optionen --> Element entfernen, wenn es nicht mehr angewendet wird. Diese Funktion gibt es meines Wissens für Sammlungen nicht, nur für einzelne Werte.


    MfG, Jannik D.
    Donnerstag, 16. Februar 2017 08:40
  • Habe das ganze jetzt realisiert.

    Die Gruppe Test_Anwendung sitzt auch per Sicherheitsfilterung auf der GPO.

    Weiterhin habe ich beim Registry-Wert der gesetzt werden soll gesagt, dass ich das Element löschen möchte wenn es nicht mehr angewendet wird und bei der Zielgruppenadressierung die Test_Anwendung hinzugefügt ( Ist Mitglied von Gruppe Test_Anwendung).

    Wenn mein Test User jetzt Mitglied der Gruppe Test_Anwendung ist bekommt er den Registry Wert und wenn er aus der Gruppe entfernt wird weil nicht mehr benötigt wird der Registry Wert wieder entfernt.

    Funktioniert perfekt !

    • Als Antwort markiert Horter Freitag, 17. Februar 2017 11:38
    Freitag, 17. Februar 2017 11:37