[DarkAlucard]

Hallo liebe Community,

ich habe ein echtes Problem mit unseren GPOs momentan und wollte mal Fragen ob wer einen Rat hat.

Explizit geht es um folgende Konstellation:

Wir habe hier ein AD mit mehreren GPOs, welche alle Global für die komplette Struktur gelten.
U.A. werden darüber z.B. Registry Keys verteilt (Beispielsweise IE-Einstellungen).

Nun haben wir aber Bereiche (IT-Abteilung, Personalabteilung) welche sich NICHT! diese GPO ziehen sollen.
Um das zu realisieren habe ich verschiedene Benutzer und Gruppen in der Policy unter "Delegierung" eingetragen und das Sicherheitsrecht "Gruppenrichtlinie übernehmen" auf "verweigert" gesetzt.

Das hat bei anderen GPOs bisher immer geklappt, im Fall von Registryeinträgen, werden diese aber nun bei den "ausgenommenen Benutzer" gelöscht anstatt nicht angefasst.

Sprich wenn ich unter meinem Benutzer spezielle IE Einstellungen vornehme sind diese nach einem Neustart einfach weg, bzw. die Werte in der REgistry leer.

Irgendwie scheint die Policy da ja doch reinzuspielen. Ich hoffe ich konnte mich verständlich ausdrücken und das jemand mir helfen kann.

Danke im Vorraus.

Alucard

[timbowrockt]

Servus,

ich würde die Übernahme nicht explizit verweigern, sondern nur das "Zulassen" rausnehmen.
Teste das mal.

[DarkAlucard]

Wenn du jemanden unter Delegierung einfügst hat er normalerweise kein Häckchen bei "Gruppenrichtlinien übernehmen". Ich vermute das liegt daran, dass dieser Bereich eigentlich eher für die Rechte auf die GPO bzw. das Lesen der GPO zuständig ist und nicht um Ausnahmen zu schaffen. Normalerweise hat man nur einen Haken in "Lesen", welchen ich aber ungern raus nehme, weil ich unter meinem Benutzer (am AD-Server) dann die Richtlinie gar nicht mehr gepackt bekomme sondern über einen anderen Admin gehen muss.

EDIT: Ich habe grade Testweise mir den vollen Zugriff auf die GPO entzogen (also auch lesen), trotzdem werden bei einem "gpupdate /force" die Registry Einstellungen gelöscht.

Dieser Beitrag wurde von DarkAlucard bearbeitet: 13. März 2012 - 11:00

[timbowrockt]

Hast Du alle anderen Benutzer, welche nichts mit dem GPO zu tun haben sollen, aus den Delegationsberechtigungen entfernt? Oft stehen noch die "Authentifizierten Benutzer" mit extra Berechtigungen drin.

[DarkAlucard]

Nein hatte ich bisher nicht, Authentifizierte Benutzer stehen auch noch drin (auf diese Gruppe wird ja auch die GPO angewand). Ich dachte immer das "Verweigerungen" vor gehen. Weil ich habe ja auch Domänen-Admins etc in den Delegationen wo mein Benutzer auch zugehört.

[timbowrockt]

Verweigerungen gehen definitiv vor, aber wenn ich das so lese:

"EDIT: Ich habe grade Testweise mir den vollen Zugriff auf die GPO entzogen (also auch lesen), trotzdem werden bei einem "gpupdate /force" die Registry Einstellungen gelöscht."

dann weiß man nie.
Fakt ist doch, dass selbst wenn du das GPO für Dich deaktiviert hast, werden die Keys gelöscht. Sieh dann mal bitte mit gpresult nach, welche GPOs übernommen wurden. Eventuell ist es eine andere GPO, welche hier mitmischt?

Gruß

[DarkAlucard]

Mit gpresult habe ich gestern schonmal geprüft.
Insg. sind unsere GPOs sehr überschaubar und es gibt nur eine Policy die auch in die Registry schreibt,
zwar auch an eine sehr Ähnliche Stelle aber nicht die gleiche.

(Explizit werden einmal Proxieinstellungen gesetzt, das was immer rausfliegt und einmal Seiten in "vertrauenswürdige Sites" was mir zugeteilt ist und richtig angewand wird).

Die Policy die die Proxieinstellungen vornimmt erscheint im gpresult auch als "Proxy Policy, Filterung: Filterung: Verweigert (Sicherheit)".

[timbowrockt]

Wäre es denn möglich, dass die funktionierende Policy die ersteren Einstellungen überschreibt, weil der Status in den ungenuzten Objekten Deaktiviert oder nicht konfiguriert ist?

[DarkAlucard]

Gut, die Internet Explorer Einstellungen kann man ja an vielen Optionen in einer GPO verändern,
allerdings ist davon nichts konfiguriert, das habe ich gestern auch schon getestet.

Und ansonsten packe ich ja nur direkte Registrywerte an.

[timbowrockt]

Dann bin ich überfragt. Erstelle ein neus GPO, auf einer eigenen TEST-OU (diese sollte außerhalb jeglicher anderen GPOs sein). Stelle sicher, dass nur ein Benutzer/Computer in dieser OU ist und auch nur dieser Benutzer auf das GPO Zugriff hat. Überprüfe mit gpresult, ob dies alles so passt. Dann konfiguriere das GPO und mach nach jeder Änderung einen Neustart. Vorher solltest Du sicherstellen, dass zu Beginn alles in absoluter Ordnung ist und alle Regeinträge da sind, wo sie sein sollten.