{"id":502,"date":"2014-11-17T11:08:06","date_gmt":"2014-11-17T10:08:06","guid":{"rendered":"https:\/\/blog.4-it.net\/?p=502"},"modified":"2014-11-17T11:08:45","modified_gmt":"2014-11-17T10:08:45","slug":"loopbackverarbeitungsmodus-loopback-processing-mode","status":"publish","type":"post","link":"https:\/\/blog.4-it.net\/?p=502","title":{"rendered":"Loopbackverarbeitungsmodus &#8211; Loopback Processing Mode"},"content":{"rendered":"<p class=\"bodytext\">Loopback processing of Group Policy<br \/>\n<a class=\"external-link-new-window\" title=\"\u00d6ffnet externen Link in neuem Fenster\" href=\"http:\/\/support.microsoft.com\/kb\/231287\/en-us\" target=\"_blank\">http:\/\/support.microsoft.com\/kb\/231287\/en-us<\/a><\/p>\n<p>Die Situation: Man m\u00f6chte, da\u00df der Benutzer spezielle Einstellungen, abh\u00e4ngig vom Computer\u00a0an dem er sich anmeldet,\u00a0\u00fcbernimmt.\u00a0Klassische Beispiele sind in dem Fall: Terminal (Remote Desktop)\u00a0Server und Notebooks.<\/p>\n<p>Bei einem TS m\u00f6chte man in der Regel, da\u00df der Benutzer wesentlich restriktiver gehandhabt wird, als wenn er sich an seiner Workstation anmeldet und bei Notebooks ist es oftmals genau\u00a0 das Gegenteil: Der Benutzer darf\u00a0mehr, als an seiner festen Workstation.\u00a0Am Ende kommt es auf die gleiche Situation hinaus. Ich ben\u00f6tige Richtlinien abh\u00e4ngig vom Computer.<\/p>\n<p><span class=\"kommentar\">Das k\u00f6nnte\u00a0man heute prima mit einem WMI Filter erreichen, der auf einer an der Benutzer OU verlinkten GPO eingesetzt wird und zB den dnsHostName abfragt. Dummerweise gab es diesen Filter\u00a0unter Windows 2000 nicht. Deswegen gibt es den Loopback.<\/span><\/p>\n<p>Die Herausforderung:<br \/>\nIch muss\u00a0die Richtlinie irgendwie\u00a0auf das Computerkonto anwenden? Aber der Computer ignoriert den Anteil der Benutzerkonfiguration einer Richtlinie, da er ja schliesslich ein Computerobjekt ist und kein Benutzer. Ebenfalls, ist dem anmeldenden Benutzer die Benutzerkonfiguration einer Richtlinien\u00a0auf dem Computerobjekt egal, da der Benutzer die Computerkonfiguration garnicht liest, und damit am Ende\u00a0die Richtlinie, nicht \u00fcbernehmen kann. Es kommt noch hinzu, da\u00df der Benutzer\u00a0meistens\u00a0nicht in der OU des Computers steht, damit nicht im Verwaltungsbereich der Richtlinie ist und er somit die GPO generell nicht anwenden kann.<\/p>\n<p>Schauen wir uns die normale Verarbeitung von Richtlinien an.<\/p>\n<ul>\n<li>OU &#8222;Terminal Server&#8220;, darin enthalten der Computer<\/li>\n<li>verlinktes GPObjekt &#8222;TerminalServer Einschr\u00e4nkungen&#8220;<br \/>\ndarin enthalten konfigurierte Einstellungen im Bereich Computer~ und Benutzerkonfiguration<\/li>\n<li>OU &#8222;Meine Benutzer&#8220;, darin enthalten alle Benutzerkonten<\/li>\n<li>verlinktes GPObjekt &#8222;Meine Std. Firmenvorgaben&#8220;<br \/>\nnur Einstellungen im Bereich Benutzerkonfiguration<\/li>\n<\/ul>\n<p>Ablauf:<\/p>\n<ol>\n<li>Der Computer aus der OU &#8222;Terminal Server&#8220; liest den Anteil Computerkonfiguration der Richtlinie &#8222;TerminalServer Einschr\u00e4nkungen&#8220; .<\/li>\n<li>Der Computer kann als Objekt keine Benutzereinstellungen \u00fcbernehmen.<\/li>\n<li>Der Benutzer aus der OU &#8222;Meine Firma&#8220; liest den Anteil Benutzerkonfiguration der Richtlinie &#8222;Meine Std. Firmenvorgaben&#8220;.\u00a0Fertig<\/li>\n<\/ol>\n<div>\n<p class=\"bodytext\">Jetzt aktiviert man den Loopbackverarbeitungsmodus auf einer beliebigen Richtlinie, die auf den Computer wirkt.\u00a0Sie sollte\u00a0als eigene Richtlinie integriert werden, mit nur der einen Policy aktivert. Diese Objekt kann man dann \u00fcberall dort verlinken, wo es einen Loop geben soll. Die Eigenschaft des Loopback gilt ab der n\u00e4chsten \u00dcbernahme und dem anschliessendem\u00a0Neustart f\u00fcr alle Richtlinien. Nicht nur f\u00fcr eine spezielle.<\/p>\n<p>Wir erweitern das Beispiel um eine weitere Richtlinie: &#8222;Loopbackverarbeitungsmodus aktiviert&#8220;<\/p>\n<\/div>\n<p class=\"bodytext\"><span class=\"kommentar\">Computerkonfiguration \\ Administrative Vorlagen \\ System \\ Gruppenrichtlinien<br \/>\nLoopbackverarbeitungsmodus f\u00fcr Benutzergruppenrichtlinie = aktiviert<\/span><\/p>\n<ul>\n<li>OU &#8222;Terminal Server&#8220;, darin enthalten der Computer<\/li>\n<li>verlinktes GPObjekt &#8222;Loopbackverarbeitungsmodus aktiviert&#8220;<\/li>\n<li>verlinktes GPObjekt &#8222;TerminalServer Einschr\u00e4nkungen&#8220;<\/li>\n<li>OU &#8222;Meine Benutzer&#8220;, darin enthalten alle Benutzerkonten<\/li>\n<li>verlinktes GPObjekt &#8222;Meine Std. Firmenvorgaben&#8220;<\/li>\n<\/ul>\n<div>\n<p class=\"bodytext\">Neuer Ablauf:<\/p>\n<ol>\n<li>Der Computer aus der OU &#8222;Terminal Server&#8220; liest den Anteil Computerkonfiguration der Richtlinie &#8222;TerminalServer Einschr\u00e4nkungen&#8220;.<\/li>\n<li>Der Computer aus der OU &#8222;Terminal Server&#8220; liest den Anteil Computerkonfiguration der Richtlinie &#8222;Loopbackverarbeitungsmodus aktiviert&#8220;.<\/li>\n<li>Der Benutzer aus der OU &#8222;Meine Firma&#8220; liest den Anteil Benutzerkonfiguration der Richtlinie &#8222;Meine Std. Firmenvorgaben&#8220;<\/li>\n<li>Der Benutzer aus der OU &#8222;Meine Firma&#8220; liest den Anteil Benutzerkonfiguration der Richtlinie &#8222;TerminalServer Einschr\u00e4nkungen&#8220;<\/li>\n<\/ol>\n<\/div>\n<p class=\"bodytext\">Durch den\u00a0<span class=\"fachbegriff\">Loop<\/span>\u00a0wird eine Schleife (Loopback = Salto r\u00fcckw\u00e4rts)\u00a0bei der \u00dcbernahme erzeugt, die den Prozess der Benutzeranmeldung dazu bringt\u00a0die Liste der\u00a0Richtlinien\u00a0des\u00a0Computerobjekts durchzuschauen. Da nur in diesem speziellen Fall das Benutzerobjekt die Richtlinien des Computers liest und jetzt\u00a0Benutzerkonfigurationen\u00a0findet, die es lesen und \u00fcbernehmen\u00a0kann, funktioniert der Trick.<\/p>\n<p>In jedem anderen Fall w\u00fcrde kein Benutzer Computerkonfigurationen lesen und kein Computer Benutzerkonfigurationen. Da jedes Mal das &#8222;falsche&#8220; Ziel angesprochen wird.\u00a0Durch diese Manipulation k\u00f6nnen sich nat\u00fcrlich Probleme ergeben, da jetzt mehr Richtlinien auf das Benutzerobjekt angewendet werden, als vorher.\u00a0Dadurch kann es wieder zu &#8222;Ph\u00e4nomenen&#8220; kommen, da\u00df bestimmte Richtlinieneinstellungen sich nicht durchsetzen etc.<br \/>\nDer Ablauf der Vererbung muss in diesem Fall noch einmal genau kontrolliert werden, um Fehler zu finden, in denen sich 2 Einstellungen zB durch den normalen \u00dcberschreibungsvorgang der zuletzt angewendeten Richtlinie \u00fcberstimmen oder ins Gegenteil gesetzt werden.<\/p>\n<p>Der Loopbackverarbeitungsmodus kennt 2 Konfigurationseinstellungen: Zusammenf\u00fchren (Merge) und Ersetzen (Replace)<\/p>\n<p>Im ersten Fall werden alle vorhandenen Benutzerrichtlinien des Benutzerobjekts mit denen des Computerobjekts zusammengef\u00fchrt, wobei die Einstellungen aus der Benutzerkonfiguration der Computerrichtlinie, die Einstellungen des Benutzerobjekts \u00fcberschreiben k\u00f6nnen, wenn sie sich widersprechen. LAST WRITER WINS!<\/p>\n<p>Im Replace Modus, werden alle Benutzereinstellungen des Benutzerobjekts ignoriert und verworfen und es kommen nur die Einstellungen der Benutzerkonfiguration des Computerobjekts zum Einsatz.<\/p>\n<p>Ich pers\u00f6nlich habe lange Zeit\u00a0den &#8222;Ersetzen&#8220; Modus favorisiert, da ich im Falle eines Falles nur eine Stelle (die Einstellungen des Computers) kontrollieren muss um a) genau zu wissen, was beim Benutzer ankommt und b) die Fehlersuche zu reduzieren und damit c) den Ablauf insgesamt vereinfache.<br \/>\nDer Nachteil ist, und das ist der Grund, warum ich mittlerweile &#8222;Zusammenf\u00fchren&#8220; mag,\u00a0da\u00df ich viele\u00a0 Einstellungen erneut definieren muss, die schon beim Benutzer konfiguriert sind, da sie ja beim &#8222;Ersetzen&#8220;\u00a0\u00a0verworfen werden und fehlen.<\/p>\n<pre>Quelle:\u00a0<a href=\"http:\/\/www.gruppenrichtlinien.de\/artikel\/loopbackverarbeitungsmodus-loopback-processing-mode\/\" target=\"_blank\">http:\/\/www.gruppenrichtlinien.de\/artikel\/loopbackverarbeitungsmodus-loopback-processing-mode\/<\/a><\/pre>\n","protected":false},"excerpt":{"rendered":"<p>Loopback processing of Group Policy http:\/\/support.microsoft.com\/kb\/231287\/en-us Die Situation: Man m\u00f6chte, da\u00df der Benutzer spezielle Einstellungen, abh\u00e4ngig vom Computer\u00a0an dem er sich anmeldet,\u00a0\u00fcbernimmt.\u00a0Klassische Beispiele sind in dem Fall: Terminal (Remote Desktop)\u00a0Server und Notebooks. Bei einem TS m\u00f6chte man in der Regel, da\u00df der Benutzer wesentlich restriktiver gehandhabt wird, als wenn er sich an seiner Workstation anmeldet [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4,5,6,27],"tags":[],"class_list":["post-502","post","type-post","status-publish","format-standard","hentry","category-betriebssysteme","category-windows-server-2003","category-windows-server-2008","category-windows-server-2012"],"_links":{"self":[{"href":"https:\/\/blog.4-it.net\/index.php?rest_route=\/wp\/v2\/posts\/502","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.4-it.net\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.4-it.net\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.4-it.net\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.4-it.net\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=502"}],"version-history":[{"count":2,"href":"https:\/\/blog.4-it.net\/index.php?rest_route=\/wp\/v2\/posts\/502\/revisions"}],"predecessor-version":[{"id":504,"href":"https:\/\/blog.4-it.net\/index.php?rest_route=\/wp\/v2\/posts\/502\/revisions\/504"}],"wp:attachment":[{"href":"https:\/\/blog.4-it.net\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=502"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.4-it.net\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=502"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.4-it.net\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=502"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}