Mit Gruppenrichtlinien lassen sich die Einstellungen und Berechtigungen von Clients, Servern und Benutzern sehr gut konfigurieren. Dieser Artikel soll Dir zeigen, wie Du bestimmte Gruppen oder Benutzer von einzelnen Gruppenrichtlinien ausnimmst. Wir wollen also eine Gruppenrichtlinie nicht anwenden, obwohl die Organisationseinheit (OU) eines Computers oder Benutzers dieser zugewiesen ist.
Für bestimmte Benutzer eine Gruppenrichtlinie nicht anwenden
Je nach Aufbau und Verschachtelung der Organisationseinheiten kann es sinnvoll sein, Gruppenrichtlinien für bestimmte Gruppen oder einzelne Benutzer nicht anzuwenden. Das temporäre Deaktivieren einer Gruppenrichtlinie kann aber auch für die Fehlersuche sehr hilfreich sein.
In meinem Beispiel betrachte ich die Gruppenrichtlinien für die Abteilung „Buchhaltung“. Der entsprechenden Organisationseinheit ist unter anderen die Gruppenrichtlinie „Laufwerke verbinden“ zugewiesen. Das bedeutet, dass alle Benutzer der Organisationseinheit „Buchhaltung“ diese Richtlinie verarbeiten und die entsprechenden Laufwerke verbunden bekommen.
Damit bestimmte Benutzer oder Gruppen diese Gruppenrichtlinie nicht anwenden, wählen wir die Gruppenrichtlinie aus und klicken auf den Reiter „Delegierung“. Dort wählen wir die Schaltfläche „Erweitert“.
Daraufhin öffnet sich die Übersicht („Sicherheit“) in welcher sämtliche mit dieser Gruppenrichtlinie verbundenen Benutzer und Gruppen enthalten sind. Sämtliche Mitglieder der Organisationseinheit, auf welche die Gruppenrichtlinie angewendet wurde, erhalten diese über die Gruppe „Authentifizierte Benutzer“.
Da das Recht „Verweigern“ dem Recht „Zulassen“ übergeordnet wird, genügt es an dieser Stelle, Benutzer/Gruppen hinzuzufügen und die Ausführung der Gruppenrichtlinie zu verweigern. In meinem Beispiel füge ich nun die Gruppe „Ausbildung“ hinzu.
Ausnahmen für Gruppenrichtlinien erstellen
Anschließend suchen wir im unteren Bereich den Punkt „Gruppenrichtlinie übernehmen“ und wählen für diesen Eintrag das Kontrollkästchen „Verweigern“ aus. Hiermit sorgen wir dafür, dass alle Mitglieder der Gruppe „Ausbildung“ die Gruppenrichtlinie nicht anwenden. Auch nicht, wenn der einzelne Benutzer Mitglied der OU „Buchhaltung“ ist.
Nach einem Klick auf „OK“ erhalten wir den Hinweis, dass die Berechtigung „Verweigern“ über dem Recht „Zulassen“ steht. Bestätigen wir dieses mit „Ja“, so werden die Berechtigungen wie gewünscht aktiviert.
Grundsätzlich sollte nicht unbedingt mit dem Verweigern von Gruppenrichtlinien gearbeitet werden. Es gibt wesentlich elegantere und übersichtlichere Wege, Gruppenrichtlinienelemente nur den dafür vorgesehenen Benutzern zuzuordnen. So zum Beispiel mit der „Zielgruppenadressierung auf Elementebene“ wie ich es im Artikel „Netzlaufwerk verbinden per Gruppenrichtlinie“ beschrieben habe.
Für die kurzzeitige Deaktivierung zur Fehlersuche eignet sich dieses Verfahren aber sehr gut.
Ebenfalls interessant:
- Anmeldungen am Terminalserver protokollieren
- Client verschwindet aus WSUS
- Drucker per Gruppenrichtlinien installieren
- 8 wichtige ADMX-Vorlagen für IT-Administratoren
Dieser Artikel ist wie alle anderen auf dieser Seite kostenlos für Dich und ich hoffe, ich konnte Dir weiterhelfen. Wer möchte, kann diesem Blog eine kleine Aufmerksamkeit in Form einer kleinen Spende (PayPal) oder über die Amazon Wunschliste zukommen lassen.
Hallo Rene,
danke für diesen Beitrag. Hat mir sehr weitergeholfen:-)