Statt Loopback - Benutzer Richtlinien auf eine Gruppe von Computern filtern

Autor: Mark Heitbrink - vom 19.06.2016 - Kategorie(n): Anleitungen

Statt Loopback - Benutzer Richtlinien auf eine Gruppe von Computern filtern

Nach der Installation von MS16-072 - KB3163622 - Patch KB3159398 - Patchday 14.06.2016 bietet sich eine neue Filter Möglichkeit. Die Umstellung, das das Computerpbjekt LESE Rechte an den Benutzerrichtlinien benötigt eröffnet einen komplett neuen Ansatz.

Die Situation:
Ihr möchtet spezielle Benutzerrichtlinien in Abhängigkeit des Computers, an dem sich der Benutzer anmeldet.

Bisherige Lösungsmöglichkeiten
a) Loopbackverarbeitungsmodus. Funktioniert. Ist altbekannt und seit Windows 2000 ein gängiges Mittel. Das kennen wir vor allem aus dem TerminalServer/RemoteDesktopServer Bereich. Der Loopback kommt aber auch gerne bei Notebooks zum Einsatz. Der Nachteil an der Technik ist, sie ist nicht auf den ersten Blick verständlich und wer schon mal mit Richtlinien Erzwingen, bzw. Vererbung deaktivieren in Verbindung mit Loopback gearbeitet hat, der hat ein wenig gebraucht um festzustellen wer hier wirklich der LAST WRITER ist. :-)

b) WMI Filter auf der Benutzerrichtlinie. Die Computergruppe könnte aufgrund einer Namenskonvention adressiert werden, sodass die Richtlinien nur bei "dnsHostname LIKE TS%" oder "NB%" oder RDS%" ankommt.
Nette, Idee funktioniert auch prima, aber es setzt eine Namenskonvention voraus ;-) Der Nachteil von WMI ist, das die Syntax evtl. eine kleine Hürde darstellt und das es bei einem schlecht formuliertem Filter, der zB noch das AD abfragt oder externe Ressourcen zu Performanceproblemen führen kann. 

Neue Lösung:
Seit MS16-072 - KB3163622 - Patch KB3159398 - Patchday 14.06.2016 braucht der Computer LESE Rechte an der Benutzerrichtlinie. Mit anderen Worten: Hat der Computer kein Leserecht, kann der Benutzer die Richtlinie nicht anwenden. Oder noch mal anders ausgedrückt: Im Sicherheitsfilter müssen sowohl die Benutzer als auch die Ziele (Computer) auftauchen.

Ehrlich gesagt, ich finde diese Art der Filterung wesentlich logischer und viel verständlicher als alles bisherige. Für mich macht es Sinn, daß alle Objekte bei denen die Richtlinie funktionieren soll auch genannt werden.


Anleitung:
Ich setze voraus, daß der Patch installiert ist, sonst geht es logischerweise nicht und ihr den Powershell Oneliner aus dem Artikel Sicherheitsfilterung neu erfunden - MS16-072 - Patchday 14.06.2016 umgesetzt habt und den SecurityDescriptor im Schema geändert habt.
Zudem denke ich, daß eure Benutzer und Computer Objekte in getrennten OUs liegen.

1. Ihr erstellt eine neue  Richtlinie und verlinkt sie an eure Benutzer OU.
Die Berechtigungen auf der GPO sehen nach Erstellung so aus, siehe Reiter Delegation


(klick-vergrößern)

Mit dieser Konfiguration übernimmt JEDER Benutzer und JEDER Computer die Richtlinie, da beide Objekte Mitglied der Authentifizierten Benutzer sind.

2. Wir entfernen die Authentifizierten Benutzer komplett aus der Richtlinie: Reiter Delegation -> unten rechts Erweitert -> Gruppe entfernen

3. Wir entfernen die Domänen Computer komplett aus der Richtlinie: Reiter Delegation -> unten rechts Erweitert -> Gruppe entfernen

Jetzt hat keiner das Recht die Richtlinie zu übernehmen und es gibt keine Computer mehr, die LESE Rechte an dem Objekt haben

Wer soll die Richtlinie auf welchem Computern erhalten? Wir benötigen 2 Ziel Gruppen. Die Benutzer, für die es angewendet werden soll und die Computer an denen es gelten soll.

4. Wenn die Richtlinie für alle Benutzer an der speziellen Computergruppe gelten soll, fügen wir die Domänen Benutzer mit LESEN und ÜBERNEHMEN zur Richtlinie hinzu. Alternativ, eine selbsterstellte Benutzergruppe.



5. Wir erstellen für die Zielgruppe der Computer eine Sicherheitgruppe und fügen diese mit LESE Rechten hinzu. In die Gruppe stecken wir alle Computerobjekte, die das Ziel sein sollen.



Im Reiter "Bereich" taucht nur die Sicherheitsgruppe Domänen Benutzer auf. Denn hier stehen nur die Gruppe(n), die auch das Recht der Übernahme einer Richtlinie hat. Aus dokumentarischer Sicht kann ich es akzeptieren, wenn die Gruppe "Schulungsraum-Computer" ebenfalls das Recht "ÜBERNEHMEN" erhält, dann stehen beide Filtergruppe vorne auf dem ersten Reiter. Es ist nur technisch gesehen unsauber, wenn es in der OU keine Computer gibt und wenn die Richtlinie keine Computereinstellungen enthält.