How-To-Compute

IT-Pro Blog: Anleitungen, Tipps und Tricks um euch das Leben leichter zu machen.

Unterschied Loopbackverarbeitung Ersetzen und Zusammenführen

Vielen von euch ist mit Sicherheit schon einmal der Loopbackverarbeitsmodus für Gruppenrichtlinien über den Weg gelaufen. In der Regel wird dieser auf Terminalservern eingesetzt.

Der Sinn vom Loopbackverarbeitsmodus ist der, dass Benutzereinstellungen definiert werden können, welche nur auf den Terminalservern greifen. Also auf den Computer Objekten, wo der Loopbackverarbeitsmodus aktiv ist. Nun gibt es zwei Einstellungen:

1) Zusammenführen:
Zusammenführen bedeutet, dass die GPO Einstellungen der OU in welcher die Benutzer sich befinden, zusätzlich zu den Einstellungen am Terminalserver Objekt angewandt werden. Vorrang hat allerdings die Terminalserver Einstellung, da diese “näher” am Objekt ist.

2) Ersetzen:
Beim Ersetzen werden die GPO Einstellungen der OU in welcher die Benutzer sich befinden verworfen und ausschließlich die Einstellungen der Terminalserver GPO Objekte angewandt. Dies ist natürlich die sauberste Art. Da dann die Terminalserver Umgebung für sich Autark ist und GPO Einstellungen bei den Benutzern sich nicht auf die Terminalserver auswirken.
Nachteil: Z.B. Proxy oder Internet Explorer Einstellungen müssen sowohl bei den Benutzern in der OU konfiguriert werden, als auch auf den Terminalserver Objekten

Nun gibt es aber gerade bei dem Punk “Zusammenführen”  eine Besonderheit, wenn ihr mit Sicherheitsfilterung arbeitet. Und zwar, sobald ihr eine Benutzergruppe dort eintragt, wird diese GPO nicht mehr abgearbeitet. Auch nicht für die Benutzergruppe, welche ihr zuvor eingetragen habt. Dies liegt daran, weil das Computer Objekt keinen “Lesezugriff” auf das GPO Objekt mehr hat und damit auch nicht die Einstellungen abarbeiten kann.

Um dies zu lösen, müsst ihr auf dem Tab Reiter “Deligierung” die Authentifizierten Benutzer mit dem Recht “Lesen” hinzufügen. Damit taucht die Gruppe Authentifizierte Benutzer nicht in der Sicherheitsfilterung auf, weil sie ausschließlich Leserecht hat.
Und ja, Computer Objekte sind auch “Authentifizierte Benutzer” 🙂

Nun werden die GPO Einstellungen für die Benutzer in der Sicherheitsgruppe sauber angewandt.

PS: Es reicht, wenn ihr in einer GPO den Loopbackverarbeitsmodus für die Terminalserver setzt. Es muss nicht pro GPO gesetzt werden, da es eine Computer Einstellung ist 🙂

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

How-To-Compute © 2017 Frontier Theme