Mit Gruppenrichtlinien lassen sich die Einstellungen und Berechtigungen von  Clients, Servern und Benutzern sehr gut konfigurieren. Dieser Artikel soll Dir zeigen, wie Du bestimmte Gruppen oder Benutzer von einzelnen Gruppenrichtlinien ausnimmst. Wir wollen also eine Gruppenrichtlinie nicht anwenden, obwohl die Organisationseinheit (OU) eines Computers oder Benutzers dieser zugewiesen ist.



Für bestimmte Benutzer eine Gruppenrichtlinie nicht anwenden

Je nach Aufbau und Verschachtelung der Organisationseinheiten kann es sinnvoll sein, Gruppenrichtlinien für bestimmte Gruppen oder einzelne Benutzer nicht anzuwenden. Das temporäre Deaktivieren einer Gruppenrichtlinie kann aber auch für die Fehlersuche sehr hilfreich sein.

In meinem Beispiel betrachte ich die Gruppenrichtlinien für die Abteilung „Buchhaltung“. Der entsprechenden Organisationseinheit ist unter anderen die Gruppenrichtlinie „Laufwerke verbinden“ zugewiesen. Das bedeutet, dass alle Benutzer der Organisationseinheit „Buchhaltung“ diese Richtlinie verarbeiten und die entsprechenden Laufwerke verbunden bekommen.

Damit bestimmte Benutzer oder Gruppen diese Gruppenrichtlinie nicht anwenden, wählen wir die Gruppenrichtlinie aus und klicken auf den Reiter „Delegierung“. Dort wählen wir die Schaltfläche „Erweitert“.

Gruppenrichtlinie nicht anwenden

Daraufhin öffnet sich die Übersicht („Sicherheit“) in welcher sämtliche mit dieser Gruppenrichtlinie verbundenen Benutzer und Gruppen enthalten sind. Sämtliche Mitglieder der Organisationseinheit, auf welche die Gruppenrichtlinie angewendet wurde, erhalten diese über die Gruppe „Authentifizierte Benutzer“.

Da das Recht „Verweigern“ dem Recht „Zulassen“ übergeordnet wird, genügt es an dieser Stelle, Benutzer/Gruppen hinzuzufügen und die Ausführung der Gruppenrichtlinie zu verweigern. In meinem Beispiel füge ich nun die Gruppe „Ausbildung“ hinzu.

Ausnahmen für Gruppenrichtlinien erstellen

Gruppenrichtlinien nicht anwenden

Ausnahme für Gruppenrichtlinie

Anschließend suchen wir im unteren Bereich den Punkt „Gruppenrichtlinie übernehmen“ und wählen für diesen Eintrag das Kontrollkästchen „Verweigern“ aus. Hiermit sorgen wir dafür, dass alle Mitglieder der Gruppe „Ausbildung“ die Gruppenrichtlinie nicht anwenden. Auch nicht, wenn der einzelne Benutzer Mitglied der OU „Buchhaltung“ ist.

GPO nicht anwenden

Nach einem Klick auf „OK“ erhalten wir den Hinweis, dass die Berechtigung „Verweigern“ über dem Recht „Zulassen“ steht. Bestätigen wir dieses mit „Ja“, so werden die Berechtigungen wie gewünscht aktiviert.

Benutzer von GPO ausschließen

Grundsätzlich sollte nicht unbedingt mit dem Verweigern von Gruppenrichtlinien gearbeitet werden. Es gibt wesentlich elegantere und übersichtlichere Wege, Gruppenrichtlinienelemente nur den dafür vorgesehenen Benutzern zuzuordnen. So zum Beispiel mit der „Zielgruppenadressierung auf Elementebene“ wie ich es im Artikel „Netzlaufwerk verbinden per Gruppenrichtlinie“ beschrieben habe.

Für die kurzzeitige Deaktivierung zur Fehlersuche eignet sich dieses Verfahren aber sehr gut.

Ebenfalls interessant:

Es freut mich, wenn ich Dir mit diesem Artikel helfen konnte.
Wer möchte, kann diesem Blog eine kleine Aufmerksamkeit in Form einer kleinen Spende (PayPal) oder über die Amazon Wunschliste zukommen lassen.

René Albarus

Ich heiße René Albarus und bin seit 2002 beruflich im Bereich der Systemadministration tätig. Da auch ich einen Teil meines Wissens IT-Blogs im Internet verdanke, ist es für mich selbstverständlich, dass ich Lösungsansätze und Anleitungen in diesem Blog weitergebe.
René Albarus
0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.