Mit Gruppenrichtlinien lassen sich die Einstellungen und Berechtigungen von  Clients, Servern und Benutzern sehr gut konfigurieren. Dieser Artikel soll Dir zeigen, wie Du bestimmte Gruppen oder Benutzer von einzelnen Gruppenrichtlinien ausnimmst. Wir wollen also eine Gruppenrichtlinie nicht anwenden, obwohl die Organisationseinheit (OU) eines Computers oder Benutzers dieser zugewiesen ist.



Für bestimmte Benutzer eine Gruppenrichtlinie nicht anwenden

Je nach Aufbau und Verschachtelung der Organisationseinheiten kann es sinnvoll sein, Gruppenrichtlinien für bestimmte Gruppen oder einzelne Benutzer nicht anzuwenden. Das temporäre Deaktivieren einer Gruppenrichtlinie kann aber auch für die Fehlersuche sehr hilfreich sein.

In meinem Beispiel betrachte ich die Gruppenrichtlinien für die Abteilung „Buchhaltung“. Der entsprechenden Organisationseinheit ist unter anderen die Gruppenrichtlinie „Laufwerke verbinden“ zugewiesen. Das bedeutet, dass alle Benutzer der Organisationseinheit „Buchhaltung“ diese Richtlinie verarbeiten und die entsprechenden Laufwerke verbunden bekommen.

Damit bestimmte Benutzer oder Gruppen diese Gruppenrichtlinie nicht anwenden, wählen wir die Gruppenrichtlinie aus und klicken auf den Reiter „Delegierung“. Dort wählen wir die Schaltfläche „Erweitert“.

Gruppenrichtlinie nicht anwenden

Daraufhin öffnet sich die Übersicht („Sicherheit“) in welcher sämtliche mit dieser Gruppenrichtlinie verbundenen Benutzer und Gruppen enthalten sind. Sämtliche Mitglieder der Organisationseinheit, auf welche die Gruppenrichtlinie angewendet wurde, erhalten diese über die Gruppe „Authentifizierte Benutzer“.

Da das Recht „Verweigern“ dem Recht „Zulassen“ übergeordnet wird, genügt es an dieser Stelle, Benutzer/Gruppen hinzuzufügen und die Ausführung der Gruppenrichtlinie zu verweigern. In meinem Beispiel füge ich nun die Gruppe „Ausbildung“ hinzu.

Ausnahmen für Gruppenrichtlinien erstellen

Gruppenrichtlinien nicht anwenden

Ausnahme für Gruppenrichtlinie

Anschließend suchen wir im unteren Bereich den Punkt „Gruppenrichtlinie übernehmen“ und wählen für diesen Eintrag das Kontrollkästchen „Verweigern“ aus. Hiermit sorgen wir dafür, dass alle Mitglieder der Gruppe „Ausbildung“ die Gruppenrichtlinie nicht anwenden. Auch nicht, wenn der einzelne Benutzer Mitglied der OU „Buchhaltung“ ist.

GPO nicht anwenden

Nach einem Klick auf „OK“ erhalten wir den Hinweis, dass die Berechtigung „Verweigern“ über dem Recht „Zulassen“ steht. Bestätigen wir dieses mit „Ja“, so werden die Berechtigungen wie gewünscht aktiviert.

Benutzer von GPO ausschließen

Grundsätzlich sollte nicht unbedingt mit dem Verweigern von Gruppenrichtlinien gearbeitet werden. Es gibt wesentlich elegantere und übersichtlichere Wege, Gruppenrichtlinienelemente nur den dafür vorgesehenen Benutzern zuzuordnen. So zum Beispiel mit der „Zielgruppenadressierung auf Elementebene“ wie ich es im Artikel „Netzlaufwerk verbinden per Gruppenrichtlinie“ beschrieben habe.

Für die kurzzeitige Deaktivierung zur Fehlersuche eignet sich dieses Verfahren aber sehr gut.

Ebenfalls interessant:

Wenn Dir diese Information weitergeholfen hat, kannst Du mir das gerne in die Kommentare schreiben. Ebenfalls freue ich mich über jede kleine Spende, die Du diesem Blog ganz unkompliziert über PayPalMe zukommen lassen kannst.
Wer lieber einen Obolus in Bitcoins dalassen mag, dann bitte an 17zAdJSDYkukxeWFfSu5qjnmMtKamWzRuD.
Vielen Dank.

René Albarus

Ich heiße René Albarus und bin seit 2002 beruflich im Bereich der Systemadministration tätig. Da auch ich einen Teil meines Wissens IT-Blogs im Internet verdanke, ist es für mich selbstverständlich, dass ich Lösungsansätze und Anleitungen in diesem Blog weitergebe.
René Albarus

Letzte Artikel von René Albarus (Alle anzeigen)

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.