33
Erstellung eines Objektes für die Gruppenrichtlinie
Hallo zusammen
Kurze Frage, wenn ich ein neues Gruppenrichtlinienobjekt erstelle, und dies nur einer bestimmten Benutzergruppe gelten soll, in meinem Fall das Mappen von Netzwerkdruckern,
würde ich die entsprechende Benutzergruppe einfügen, und die Standard Gruppe "Athenticated Users" entfernen, ansonsten würde es ja der ganzen Domäne gelten, oder wird das anders gelöst?
Kurze Frage, wenn ich ein neues Gruppenrichtlinienobjekt erstelle, und dies nur einer bestimmten Benutzergruppe gelten soll, in meinem Fall das Mappen von Netzwerkdruckern,
würde ich die entsprechende Benutzergruppe einfügen, und die Standard Gruppe "Athenticated Users" entfernen, ansonsten würde es ja der ganzen Domäne gelten, oder wird das anders gelöst?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 374744
Url: https://administrator.de/contentid/374744
Printed on: April 24, 2024 at 23:04 o'clock
33 Comments
Latest comment
Hi,
wie verbindest Du denn die Drucker? Falls über Loginscript, dann so wie Du schreibst. Allerdings müssen die Authentifizierten Benutzer diese GPO noch lesen dürfen.
Wenn über die GPP, dann kannst Du direkt an der Druckerzuweisung über "Zielgruppenadressierung" bzw. "item level targeting" einschränken, für wen dieser Drucker verbunden werden soll.
E.
wie verbindest Du denn die Drucker? Falls über Loginscript, dann so wie Du schreibst. Allerdings müssen die Authentifizierten Benutzer diese GPO noch lesen dürfen.
Wenn über die GPP, dann kannst Du direkt an der Druckerzuweisung über "Zielgruppenadressierung" bzw. "item level targeting" einschränken, für wen dieser Drucker verbunden werden soll.
E.
Nein nicht via Loginscript über die Group Policy hat man die Möglichkeit einen Drucker hinzuzufügen.
Group Policy Preferences? Die haben extra eine Option um solche Filterungen vorzunehmen. Ganz ohne WMI filter
Group Policy Preferences? Die haben extra eine Option um solche Filterungen vorzunehmen. Ganz ohne WMI filter
Am Rande: Doch, das ist dann auch ein WMI-Filter.
Also ich habe probehalber einen Drucker hinzugefügt, ein Farblaser den sowieso jeder nutzen kann/darf, nun ist er überall vorhanden obwohl ich eine Gruppe hinzugefügt hatte mit den 4 besagten Benutzern (die hatten den vorher nicht genutzt und somit auch nicht installiert), aber wenn ich zb. einen Drucker nur für eine Gruppe so zur Verfügung stellen kann, das dieser immer vorhanden ist im Benutzerprofil, oder wenn jemand neues in diese Gruppe kommt, den Drucker auch erhält, nicht aber die anderen...
Meine Idee wäre zb.
Gruppe Sekretariat 1: Laser 1 und 2
Gruppe Sekretariat 3: Laser 4 und 2
Alle anderen sollen diese Drucker jedoch nicht automatisch zur Auswahl haben die nicht in einer dieser beiden Sekretariaten bzw. Gruppen enthalten sind.
Meine Idee wäre zb.
Gruppe Sekretariat 1: Laser 1 und 2
Gruppe Sekretariat 3: Laser 4 und 2
Alle anderen sollen diese Drucker jedoch nicht automatisch zur Auswahl haben die nicht in einer dieser beiden Sekretariaten bzw. Gruppen enthalten sind.
Hi
schau mal unter "Gemeinsame Optionen" -> "Zielgruppenadressierung". Da kannst du das genau aufdröseln wer wann was bekommen soll
schau mal unter "Gemeinsame Optionen" -> "Zielgruppenadressierung". Da kannst du das genau aufdröseln wer wann was bekommen soll
Danke, aber ich habs auf englisch, wie heisst es dort?
Habe ich doch schon geschrieben!
Morgen
Gefunden, und dennoch greift die Berechtigung nicht wirklich
Gefunden, und dennoch greift die Berechtigung nicht wirklich
anhand der Fülle an Informationen kann ich mit Bestimmtheit sagen: Du machst was falsch
Die Gruppenrichtlinie ist hoffentlich (wieder) auf "authenticated users" gesetzt?
Die Gruppenrichtlinie ist hoffentlich (wieder) auf "authenticated users" gesetzt?
und dennoch greift die Berechtigung nicht wirklich
Das ist keine Berechtigung sondern ein Filter.Sicherheitsfilterung der (gesamten) GPO ist wieder auf Standard? (Filterung auf nur eine Gruppe wieder gegen "Authentifizierte Benutzer" getauscht?)
@SeaStorm: Ja habe ich wieder so gesetzt wie es war... "authenticated users"
Die Frage ist einfach an welchen Punkt in der GP schränkte ich den Zugriff ein damit die GP nur bestimmte Gruppen(n) Einfluss hat?
2 Grossdrucker habe ich für alle gesetzt aber da musste ich ja nichts einschränken da alle Mitarbeiter diese 2 Drucker zur Auswahl haben.
Wenn ich jedoch die Einteilung machen will zb. wie oben beschrieben
Drucker 1+2 -> Gruppe Sekretariat A sollen diese fix zur Auswahl haben
Drucker 3 -> Gruppe Sekretariat B sollen diesen fix zur Auswahl haben
Nicht aber die gesamte Firma.
Die Frage ist einfach an welchen Punkt in der GP schränkte ich den Zugriff ein damit die GP nur bestimmte Gruppen(n) Einfluss hat?
2 Grossdrucker habe ich für alle gesetzt aber da musste ich ja nichts einschränken da alle Mitarbeiter diese 2 Drucker zur Auswahl haben.
Wenn ich jedoch die Einteilung machen will zb. wie oben beschrieben
Drucker 1+2 -> Gruppe Sekretariat A sollen diese fix zur Auswahl haben
Drucker 3 -> Gruppe Sekretariat B sollen diesen fix zur Auswahl haben
Nicht aber die gesamte Firma.
deine Beschreibungen sind leider absolut nichtssagend. Mache doch bitte mal Screenshots von dem was du da eingestellt hast
Die Frage ist einfach an welchen Punkt in der GP schränkte ich den Zugriff ein damit die GP nur bestimmte Gruppen(n) Einfluss hat?
2 Grossdrucker habe ich für alle gesetzt aber da musste ich ja nichts einschränken da alle Mitarbeiter diese 2 Drucker zur Auswahl haben.
Wenn ich jedoch die Einteilung machen will zb. wie oben beschrieben
Drucker 1+2 -> Gruppe Sekretariat A sollen diese fix zur Auswahl haben
Drucker 3 -> Gruppe Sekretariat B sollen diesen fix zur Auswahl haben
Nicht aber die gesamte Firma.
Deine Aussagen widersprechen sich jetzt aber. Vorher hast Du noch geschrieben2 Grossdrucker habe ich für alle gesetzt aber da musste ich ja nichts einschränken da alle Mitarbeiter diese 2 Drucker zur Auswahl haben.
Wenn ich jedoch die Einteilung machen will zb. wie oben beschrieben
Drucker 1+2 -> Gruppe Sekretariat A sollen diese fix zur Auswahl haben
Drucker 3 -> Gruppe Sekretariat B sollen diesen fix zur Auswahl haben
Nicht aber die gesamte Firma.
Gefunden, und dennoch greift die Berechtigung nicht wirklich
Hast Du denn Punkt mit dem Item-Level Targeting nun gefunden oder nicht?Und hast Du dort je zu verbindenden Drucker angegeben, in welcher Gruppe der Benutzer Mitglied sein muss oder nicht?
Und ist der Benutzer dort Mitglied oder nicht?
Und hast Du den Benutzer neu angemeldet(!), nach dem Du ihn einer dieser Gruppen hinzugefügt oder aus dieser entfernt hast oder nicht?
@emeriks
1. Gefunden und entsprechende Gruppe hinzugefügt
2. Drucker angebeben und wird im GPO Editor unter Drucker angezeigt. Gewünschte Gruppe entsprechend hinzugefügt
3. Besagte Benutzer befinden sich in der hinzugefügten Gruppe
4. Hatte GPupdate /force ausgeführt danach verlange er das man sich ab und wieder anmeldet, klar Gruppenrechte greifen meist erst nach erneutem anmelden soweit klar.
1. Gefunden und entsprechende Gruppe hinzugefügt
2. Drucker angebeben und wird im GPO Editor unter Drucker angezeigt. Gewünschte Gruppe entsprechend hinzugefügt
3. Besagte Benutzer befinden sich in der hinzugefügten Gruppe
4. Hatte GPupdate /force ausgeführt danach verlange er das man sich ab und wieder anmeldet, klar Gruppenrechte greifen meist erst nach erneutem anmelden soweit klar.
1. Gefunden und entsprechende Gruppe hinzugefügt
2. Drucker angebeben und wird im GPO Editor unter Drucker angezeigt. Gewünschte Gruppe entsprechend hinzugefügt
Zweimal hinzugefügt?2. Drucker angebeben und wird im GPO Editor unter Drucker angezeigt. Gewünschte Gruppe entsprechend hinzugefügt
Und Drucker unter "Benutzerkonfiguraton" und nicht unter "Computerkonfiguration"?
4. Hatte GPupdate /force ausgeführt danach verlange er das man sich ab und wieder anmeldet, klar Gruppenrechte greifen meist erst nach erneutem anmelden soweit klar.
Gar nichts ist klar. GPO's greifen sofort nach dem Update. Nur Gruppenmitgliedschaften nicht. Da muss man entweder manuell das Ticket löschen oder eben einfach den Benutzer neu anmelden. DAS ist der Zusammenhang.
Tach zusammen
Also ich habe hier ein Screenshot, alle Benutzer die in dem Sekretariat Uro arbeiten und sich in dieser Gruppe befinden, (zum testen ist es die Gruppe "G_Test" ) sollte einen bestimmen Drucker hinzugefügt werden, wäre dies so korrekt?
Also ich habe hier ein Screenshot, alle Benutzer die in dem Sekretariat Uro arbeiten und sich in dieser Gruppe befinden, (zum testen ist es die Gruppe "G_Test" ) sollte einen bestimmen Drucker hinzugefügt werden, wäre dies so korrekt?
Theoretisch ja. Sofern die Benutzerkonten unerhalb der OU "Pathologie Users" gespeichert sind, Du innerhalb der GPO bei der GPP "Drucker" keine weitere "Item level targeting" festgelegt hast und diese GPO sonst überhaupt korrekt ist. Darüber sagt ja der Screenshot gar nichts aus.
mach bitte screenshots der GPP Einstellungen. Das ist das interessante. Sind die korrekt, ist es auch nicht nötig an dem Security Filter zu schrauben
Jup, hoffe es sagt was aus?
Und jetzt noch unter der Benutzeranmeldung ein
ausführen und schauen, ob diese GPO überhaupt angewendet wurde. Wenn nein, dann erstmal darum kümmern. Wenn doch, dann schauen, ob die Drucker verbunden wurden. Wenn nein, dann erst darum kümmern.
gpresult /r
Also ich würde jetzt das Security filtering wieder auf den Standard "authenticated users" setzen, dann den Haken "run in logged-on user's security context" setzen und im Item-Level targeting einstellen, welche Gruppe, also "G_Test", den Drucker bekommen soll...
Zitat von @SeaStorm:
Also ich würde jetzt das Security filtering wieder auf den Standard "authenticated users" setzen, dann den Haken "run in logged-on user's security context" setzen und im Item-Level targeting einstellen, welche Gruppe, also "G_Test", den Drucker bekommen soll...
Und was würde das "verbessern"?Also ich würde jetzt das Security filtering wieder auf den Standard "authenticated users" setzen, dann den Haken "run in logged-on user's security context" setzen und im Item-Level targeting einstellen, welche Gruppe, also "G_Test", den Drucker bekommen soll...
der eine Haken sorgt dafür das der Drucker als derjenige User verbinden wird, und nicht im SYSTEM Kontext
und der andere macht die Verteilung viel flexibler. Man kann z.B sagen: Der Drucker wird dieser Gruppe hinzugefügt, aber nur wenn er sich auf dem Stockwerk/Gebäude anmeldet, weil da die VLAN ID 123 eingesetzt wird. Oder wenn er sich im Firmen-WLAN befindet usw usw.
Oder auf was willst du hinaus?
Ja klar kann man das auch so machen, das man im SecFilter die Gruppe angibt. Aber aus offensichtlichen Gründen ist eine Empfehlung hier für das Item-Level Targeting auszusprechen. Korrigiere mich, wenn ich da was falsch sehe ;) Aber ich sehe nur Vorteile darin.
und der andere macht die Verteilung viel flexibler. Man kann z.B sagen: Der Drucker wird dieser Gruppe hinzugefügt, aber nur wenn er sich auf dem Stockwerk/Gebäude anmeldet, weil da die VLAN ID 123 eingesetzt wird. Oder wenn er sich im Firmen-WLAN befindet usw usw.
Oder auf was willst du hinaus?
Ja klar kann man das auch so machen, das man im SecFilter die Gruppe angibt. Aber aus offensichtlichen Gründen ist eine Empfehlung hier für das Item-Level Targeting auszusprechen. Korrigiere mich, wenn ich da was falsch sehe ;) Aber ich sehe nur Vorteile darin.
@SeaStorm: Also "Auth" Users ist wieder drin, aber wo setzte ich diesen Haken "run in logged-on user's security context" ? Targeting habe ich die besagte Gruppe "G_Test" eingefügt., ist schon korrekt wenn ich "User in Group" auswähle?
aber wo setzte ich diesen Haken
Im Dialog, auf der Seite, wo der Button zum "item-level targeting" ist.Zitat von @uridium69:
@SeaStorm: Also "Auth" Users ist wieder drin, aber wo setzte ich diesen Haken "run in logged-on user's security context" ?
@SeaStorm: Also "Auth" Users ist wieder drin, aber wo setzte ich diesen Haken "run in logged-on user's security context" ?
da der Zweite Punkt
Targeting habe ich die besagte Gruppe "G_Test" eingefügt., ist schon korrekt wenn ich "User in Group" auswähle?
Jap
Also alles so gesetzt, dennoch greift die Policy nicht... Versucht noch mit Gpupdate /force, nix...
dennoch greift die Policy nicht.
Was heißt das genau?Die GPO erscheint nicht in der Liste der angewendeten GPO beim "gpresult /r" oder sie erscheint dort, aber der Drucker wird nicht verbunden?
Also wie es scheint weder noch also die GP wird nicht aufgelistet... und der Drucker ist dann natürlich nicht verbunden.
Letzte Gruppenrichtlinienanwendung: 28.05.2018, um 11:29:20
Gruppenrichtlinieanwendung von: dc04.patho.local
Schwellenwert fr langsame Verbindung:500 kbps
Dom„nenname: PATHO
Dom„nentyp: Windows 2008 oder h”her
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
RemoteDesktop
WSUS-Clients
DisableFW
energie-us
Store
Default Domain Policy
Disable UAC GPO
Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
----------------------------------------------------------------------
Richtlinien der lokalen Gruppe
Filterung: Nicht angewendet (Leer)
Letzte Gruppenrichtlinienanwendung: 28.05.2018, um 11:29:20
Gruppenrichtlinieanwendung von: dc04.patho.local
Schwellenwert fr langsame Verbindung:500 kbps
Dom„nenname: PATHO
Dom„nentyp: Windows 2008 oder h”her
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
RemoteDesktop
WSUS-Clients
DisableFW
energie-us
Store
Default Domain Policy
Disable UAC GPO
Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
----------------------------------------------------------------------
Richtlinien der lokalen Gruppe
Filterung: Nicht angewendet (Leer)
Na bitte. Dann fang doch erstmal dort an. Vergiss den Drucker, vergiss Item-Level targeting.
Sorge erstmal dafür, dass die GPO überhaupt im GPO-Vererbungspfad des Benutzers auftaucht. Entweder als angewendete oder als nicht angewendete GPO. Erst wenn das gegeben ist, macht es Sinn, über die einzelnen Einstellungen der GPO nachzudenken.
Sorge erstmal dafür, dass die GPO überhaupt im GPO-Vererbungspfad des Benutzers auftaucht. Entweder als angewendete oder als nicht angewendete GPO. Erst wenn das gegeben ist, macht es Sinn, über die einzelnen Einstellungen der GPO nachzudenken.
Also es hat hingehauen, allerdings weiss ich nicht ob nur das Targeting ausreicht (Sicherheitsgruppe) oder es auch unter "Scope" nebst "Authenticated Users" es die gleiche Gruppe zusätzlich benötigt ?!
nebst "Authenticated Users" es die gleiche Gruppe zusätzlich benötigt ?!
Nein. Wenn dort die "Authenticated Users" drin stehen, dann muss da nichts weiter rein. Aber auch unter "Delegation" keine Verweigerungen. Davon gehe ich jetzt mal aus!
