Freigeben über

Loopbackverarbeitung von Gruppenrichtlinien

  • Artikel

Dieser Artikel hilft Ihnen, das Problem beim Anwenden der Gruppenrichtlinien-Loopbackfunktion zu beheben, wenn sich ein Benutzer bei einem Computer in einer bestimmten Organisationseinheit anmeldet.

Gilt für: Windows Server (alle unterstützten Versionen)
Ursprüngliche KB-Nummer: 231287

Übersicht

Gruppenrichtlinien gelten für den Benutzer oder Computer auf eine Weise, die davon abhängt, wo sich sowohl der Benutzer als auch die Computerobjekte in Active Directory befinden. In einigen Fällen benötigen Benutzer jedoch möglicherweise Richtlinien, die auf sie angewendet werden, basierend auf dem Speicherort des Benutzerobjekts und des Computerobjekts oder der Position des Computerobjekts allein." In diesem Fall können Sie das Gruppenrichtlinien-Loopback-Feature verwenden, um Gruppenrichtlinienobjekte (Group Policy Objects, GPOs) entsprechend anzuwenden.

Weitere Informationen

Führen Sie die folgenden Schritte aus, um die Benutzerkonfiguration pro Computer festzulegen:

  1. Wählen Sie in der Gruppenrichtlinie Microsoft Management Console (MMC) die Option "Computerkonfiguration" aus.
  2. Suchen Sie administrative Vorlagen, wählen Sie "System" aus, wählen Sie "Gruppenrichtlinie" aus, und aktivieren Sie dann die Option "Benutzergruppenrichtlinien-Loopbackverarbeitungsmodus konfigurieren".

Diese Richtlinie leitet das System an, den Satz von GPOs für den Computer auf jeden Benutzer anzuwenden, der sich auf einem Computer anmeldet, der von dieser Richtlinie betroffen ist. Diese Richtlinie ist für spezielle Computer vorgesehen, auf denen Sie die Benutzerrichtlinie basierend auf dem verwendeten Computer ändern müssen. Zum Beispiel Computer in öffentlichen Bereichen, in Laboratorien und in Klassenzimmern.

Notiz

Loopback wird nur in einer Active Directory-Umgebung unterstützt. Sowohl das Computerkonto als auch das Benutzerkonto müssen sich in Active Directory befinden. Wenn Benutzer an ihren eigenen Arbeitsstationen arbeiten, sollten Gruppenrichtlinieneinstellungen basierend auf dem Speicherort des Benutzerobjekts angewendet werden. Daher empfehlen wir, Richtlinieneinstellungen basierend auf der Organisationseinheit zu konfigurieren, in der sich das Benutzerkonto befindet. Wenn sich ein Computerobjekt in einer bestimmten Organisationseinheit befindet, sollten die Benutzereinstellungen einer Richtlinie basierend auf dem Speicherort des Computerobjekts anstelle des Benutzerobjekts angewendet werden.

Notiz

Sie können die Benutzereinstellungen, die angewendet werden, nicht filtern, indem Sie die AGP- und Leserechte aus dem computerobjekt entfernen, das für die Loopbackrichtlinie angegeben ist.

Normale Benutzergruppenrichtlinienverarbeitung gibt an, dass Computer, die sich in ihrer Organisationseinheit befinden, die GPOs während des Computerstarts angewendet haben. Benutzer in ihrer Organisationseinheit haben GPOs bei der Anmeldung in der Reihenfolge angewendet, unabhängig davon, an welchem Computer sie sich anmelden.

Diese Verarbeitungsbestellung ist in einigen Fällen möglicherweise nicht geeignet. Wenn Sie beispielsweise nicht möchten, dass anwendungen, die den Benutzern in ihrer Organisationseinheit zugewiesen oder veröffentlicht wurden, installiert werden, wenn der Benutzer bei einem Computer in einer bestimmten Organisationseinheit angemeldet ist. Mit dem Feature zur Unterstützung von Gruppenrichtlinien-Loopbacks können Sie zwei weitere Möglichkeiten zum Abrufen der Liste der GPOs für jeden Benutzer der Computer in dieser bestimmten Organisationseinheit angeben:

  • Zusammenführungsmodus

    In diesem Modus wird die Liste der GPOs des Benutzers in der Regel mithilfe der GetGPOList-Funktion erfasst, wenn sich der Benutzer anmeldet. Die GetGPOList-Funktion wird dann erneut mithilfe des Speicherorts des Computers in Active Directory aufgerufen. Die Liste der GPOs für den Computer wird dann am Ende der GPOs für den Benutzer hinzugefügt. Dies bewirkt, dass die GPOs des Computers eine höhere Priorität haben als die GPOs des Benutzers. In diesem Beispiel wird die Liste der GPOs für den Computer der Liste des Benutzers hinzugefügt.

  • Ersetzen-Modus

    In diesem Modus wird die Liste der GPOs des Benutzers nicht erfasst. Es wird nur die Liste der GPOs verwendet, die auf dem Computerobjekt basieren.

Datensammlung

Wenn Sie Unterstützung vom Microsoft-Support benötigen, empfehlen wir Ihnen, die Informationen zu sammeln, indem Sie die unter " Sammeln von Informationen" genannten Schritte unter Verwendung von TSS für Gruppenrichtlinienprobleme ausführen.