fragen stichworte

Gruppenrichtlinienausnahmen mithilfe von Filtern

Ich habe eine Richtlinie zum Erzwingen des Bildschirmschoners mit einer Sperrung nach 7 Minuten festgelegt, in der Sie zur Eingabe eines Kennworts aufgefordert werden. Ich habe festgestellt, dass es einige Maschinen als Ausnahmen gibt. Ich habe eine andere Richtlinie festgelegt, um den Bildschirmschoner für Geräte zu deaktivieren, die Teil einer bestimmten Gruppe sind. Ich habe ein Loopback auch festgelegt, weil sich die Bildschirmschoner-Richtlinie in der Benutzergruppenrichtlinie befindet, aber ich möchte, dass sie auf Computerbasis angewendet wird. Mit der Filterung habe ich es so gemacht, dass die Gruppenrichtlinie auf alle Benutzer angewendet wird, außer wenn Sie sich auf einem der "ausgenommenen" Computer befinden. Ich lasse gpresult auf dem Computer laufen, und es werden die korrekten Richtlinien angewendet. Die Richtlinie zum Abrufen des Bildschirmschoners wird jedoch zuerst angewendet. Dadurch wird verhindert, dass die deaktivierten Einstellungen für den Bildschirmschoner ausgeführt werden. Gibt es eine Möglichkeit, die Computerrichtlinie vor der Benutzerrichtlinie ausführen zu lassen? wenn ja wie und gibt es einen besseren Weg, dies zu tun?

antworten

Eine einfachere Möglichkeit besteht darin, die Bildschirmschoner-Richtlinie nur auf Maschinen anzuwenden, auf denen dies möglich ist. Es ist besser, als die Richtlinie auf alles anzuwenden und dann etwas davon rückgängig zu machen.

Dazu müssen Sie das GPO nach Sicherheitsgruppe filtern (z. B. Screensaver aktiviert) und dann alle Computer, auf denen das GPO des Screensaver angezeigt werden soll, zu einem Mitglied des Screensaver Enabled machen Gruppe.


Bearbeiten

Erstellen Sie mit so wenigen Objekten, für die kein Gruppenrichtlinienobjekt erforderlich ist, eine Sicherheitsgruppe mit dem Namen Screensaver Disabled, machen Sie die Zielcomputer zu einem Mitglied dieser Gruppe, bearbeiten Sie die Sicherheit des Gruppenrichtlinienobjekts Screensaver und fügen Sie die Gruppe Bildschirmschoner deaktiviert, und wählen Sie für die Berechtigung Apply Group Policy die Option Ablehnen aus.

Was Izzy sagt, ist gut, wenn Sie nur eine Computerrichtlinie benötigen. Sie suchen nach einer Loopback-Gruppenrichtlinienverarbeitung.

Richtlinieneinstellungen für den Bildschirmschoner sind Benutzerrichtlinieneinstellungen. Daher müssen Sie die Verarbeitung von Loopback-Gruppenrichtlinien aktivieren (Computereinstellungen - Administrative Vorlagen - System - Gruppenrichtlinien - Loop-Verarbeitungsmodus für Gruppenrichtlinien für Benutzergruppen) für den Modus "Zusammenführen" (um Ihren Computer zuzulassen) Bestehende Benutzereinstellungen, die weiterhin gelten sollen) in einem neuen oder vorhandenen Gruppenrichtlinienobjekt, das bereits für die Computer gilt, für die eine "Ausnahme" von den ansonsten universellen Bildschirmschoner-Einstellungen erforderlich ist. Wenn Sie möchten, dass diese "Ausnahme" nur für eine Teilmenge von Computern in der Organisationseinheit gilt, in der das Gruppenrichtlinienobjekt verlinkt ist, erstellen Sie eine Sicherheitsgruppe, die diese Computer enthält, und fügen Sie diese Gruppe mit der Berechtigung "Lesen" und "Gruppenrichtlinie anwenden" für das Gruppenrichtlinienobjekt hinzu Entfernen Sie bei dieser Loopback-Gruppenrichtlinienverarbeitung "Authentifizierte Benutzer" aus der Berechtigung und fügen Sie bei Bedarf "Domänenbenutzer" (mehr unten) mit der Berechtigung "Lesen" und "Gruppenrichtlinie anwenden" hinzu.

Anschließend müssen Sie die erforderlichen Richtlinieneinstellungen so einstellen, dass die Bildschirmschoner-Einstellungen deaktiviert werden. Hierbei handelt es sich um Benutzereinstellungen. Sie können sie in dasselbe GPO einfügen, in dem Sie die Loopback-Gruppenrichtlinienverarbeitung aktiviert haben. Wenn Sie dasselbe Gruppenrichtlinienobjekt verwenden, das die Einstellungen für die Loopback-Gruppenrichtlinienverarbeitung und festlegt, die Anwendung dieses Gruppenrichtlinienobjekts zu einer Sicherheitsgruppe gefiltert haben, müssen Sie "Domain Users" mit "Read" und "Apply Group" hinzufügen Richtlinienberechtigung für dieses Gruppenrichtlinienobjekt, da die tatsächliche Anwendung der Benutzereinstellungen im Kontext des angemeldeten Benutzers und nicht des Computers erfolgt.

Starten Sie einen der "ausgenommenen" Computer neu und probieren Sie es aus.

Wenn diese "ausgenommenen" Computer gestartet werden, wenden sie das Gruppenrichtlinienobjekt an, das die Loopback-Gruppenrichtlinienverarbeitung im "Zusammenführungsmodus" aktiviert. Dies bedeutet im Endeffekt, dass nach allen normalen Benutzer-GPO-Einstellungen ein zweiter Domain-Durchlauf durchgeführt wird, in dem nach GPOs gesucht wird, die Benutzereinstellungen enthalten, die jedoch für den Speicherort des Computer -Objekts im Verzeichnis gelten (denken Sie von Loopback-Richtlinienverarbeitung "Zusammenführungsmodus" als "magisch", wobei eine Kopie des Benutzerobjekts während der Anmeldung in denselben Container wie der Computer eingefügt wird, wodurch auch alle Benutzereinstellungen in Gruppenrichtlinienobjekten über dem Computer auf den Benutzer ausgerichtet werden.

Es ist möglich, dass Sie nicht bereits Loopback-Gruppenrichtlinien verwenden. Diese sehr vereinfachte Methode, die ich oben beschrieben habe, funktioniert problemlos. Wenn Sie bereits Loopback-GPO-Verarbeitung verwenden, wird das Filtern nach Sicherheitsgruppen für die "ausgenommenen" Computer problematisch (und jenseits dessen, was ich in dieser Antwort beschreiben möchte). Wenn Sie bereits dort sind, sollten Sie bereits wissen, was Sie tun sollen ... & gt; Lächeln & lt;

Natürlich würde ich empfehlen, die Richtlinienverarbeitung in Loopback-Gruppen nachzulesen und einige Tests mit einem Arbeitscomputer in einer Testorganisationseinheit auszuführen, bevor Sie dies auf Ihren Produktionscomputern/Organisationseinheiten durchführen. Dies ist einer der Fälle, in denen der Algorithmus, den der Gruppenrichtlinienclient verwendet, um die für den Benutzer/Computer geltenden Richtlinien auszuwählen, zu verstehen, anstatt sich nur auf Tools wie den "Planungsmodus" von GPMC zu verlassen, ein großer Gewinn. Ich würde Sie zu einem Artikel von Microsoft verweisen, aber sie haben nichts, was nicht scheiße ist (dh spricht von "Priorität" von GPOs und anderen derartigen Dummheiten, anstatt nur den Algorithmus im Detail zu erklären ... & gt; seufzen & lt ;).

Eines Tages (NICHT heute, Kyle! Ich habe heute keine Zeit ...), schreibe ich eine Beschreibung des Algorithmus für Server Fault auf.