Loopbackverarbeitung von Gruppenrichtlinie

In diesem Artikel erfahren Sie, wie Sie das Problem der Anwendung der Gruppenrichtlinie-Loopbackfunktion lösen, wenn sich ein Benutzer bei einem Computer in einer bestimmten Organisationseinheit anmeldet.

Gilt für: Windows Server 2012 R2
Ursprüngliche KB-Nummer: 231287

Zusammenfassung

Gruppenrichtlinie gilt für den Benutzer oder Computer in einer Weise, die davon abhängt, wo sich sowohl der Benutzer als auch die Computerobjekte in Active Directory befinden. In einigen Fällen müssen Benutzer möglicherweise eine Richtlinie auf sie anwenden, die nur auf dem Speicherort des Computerobjekts basiert. Sie können das Gruppenrichtlinie-Loopbackfeature verwenden, um Gruppenrichtlinie Objekte (GPOs) anzuwenden, die nur von dem Computer abhängen, an dem sich der Benutzer anmeldet.

Weitere Informationen

Führen Sie die folgenden Schritte aus, um die Benutzerkonfiguration pro Computer festzulegen:

  1. Wählen Sie im Gruppenrichtlinie Microsoft Management Console (MMC) die Option Computerkonfiguration aus.
  2. Suchen Sie nach Administrative Vorlagen, wählen Sie System aus, wählen Sie Gruppenrichtlinie aus, und aktivieren Sie dann die Option Loopbackrichtlinie.

Diese Richtlinie weist das System an, die Gruppenrichtlinienobjekte für den Computer auf jeden Benutzer anzuwenden, der sich bei einem Computer anmeldet, der von dieser Richtlinie betroffen ist. Diese Richtlinie ist für Computer mit spezieller Verwendung vorgesehen, auf denen Sie die Benutzerrichtlinie basierend auf dem verwendeten Computer ändern müssen. Zum Beispiel Computer in öffentlichen Bereichen, in Labors und in Klassenzimmern.

Hinweis

Loopback wird nur in einer Active Directory-Umgebung unterstützt. Sowohl das Computerkonto als auch das Benutzerkonto müssen sich in Active Directory befinden. Wenn ein auf Microsoft Windows NT 4.0 basierender Domänencontroller eines der Konten verwaltet, funktioniert der Loopback nicht. Auf dem Clientcomputer muss eines der folgenden Betriebssysteme ausgeführt werden:

  • Windows XP Professional
  • Windows 2000 Professional
  • Windows 2000 Server
  • Windows 2000 Advanced Server
  • Windows Server 2003

Wenn Benutzer auf ihren eigenen Arbeitsstationen arbeiten, möchten Sie möglicherweise Gruppenrichtlinie Einstellungen basierend auf der Position des Benutzerobjekts anwenden. Daher wird empfohlen, Richtlinieneinstellungen basierend auf der Organisationseinheit zu konfigurieren, in der sich das Benutzerkonto befindet. Wenn sich ein Computerobjekt in einer bestimmten Organisationseinheit befindet, sollten die Benutzereinstellungen einer Richtlinie basierend auf dem Speicherort des Computerobjekts anstelle des Benutzerobjekts angewendet werden.

Hinweis

Sie können die angewendeten Benutzereinstellungen nicht filtern, indem Sie die AGP- und Leserechte für das für die Loopbackrichtlinie angegebene Computerobjekt verweigern oder entfernen.

Normale Benutzer-Gruppenrichtlinie-Verarbeitung gibt an, dass auf Computern in ihrer Organisationseinheit die Gruppenrichtlinienobjekte während des Computerstarts in der richtigen Reihenfolge angewendet werden. Benutzer in ihrer Organisationseinheit haben Gruppenrichtlinienobjekte bei der Anmeldung in der richtigen Reihenfolge angewendet, unabhängig davon, an welchem Computer sie sich anmelden.

Diese Verarbeitungsreihenfolge ist in einigen Fällen möglicherweise nicht angemessen. Beispielsweise, wenn Sie nicht möchten, dass Anwendungen, die den Benutzern in ihrer Organisationseinheit zugewiesen oder veröffentlicht wurden, installiert werden, wenn der Benutzer bei einem Computer in einer bestimmten Organisationseinheit angemeldet ist. Mit der Gruppenrichtlinie-Loopbackunterstützungsfunktion können Sie zwei weitere Möglichkeiten angeben, um die Liste der Gruppenrichtlinienobjekte für jeden Benutzer der Computer in dieser spezifischen Organisationseinheit abzurufen:

  • Zusammenführungsmodus

    Wenn sich der Benutzer in diesem Modus anmeldet, wird die Liste der Gruppenrichtlinienobjekte des Benutzers in der Regel mithilfe der GetGPOList-Funktion gesammelt. Die GetGPOList-Funktion wird dann mithilfe des Standorts des Computers in Active Directory erneut aufgerufen. Die Liste der Gruppenrichtlinienobjekte für den Computer wird dann am Ende der Gruppenrichtlinienobjekte für den Benutzer hinzugefügt. Dadurch haben die Gruppenrichtlinienobjekte des Computers eine höhere Priorität als die Gruppenrichtlinienobjekte des Benutzers. In diesem Beispiel wird die Liste der Gruppenrichtlinienobjekte für den Computer der Liste des Benutzers hinzugefügt.

  • Ersetzungsmodus

    In diesem Modus wird die Liste der Gruppenrichtlinienobjekte des Benutzers nicht erfasst. Es wird nur die Liste der Gruppenrichtlinienobjekte verwendet, die auf dem Computerobjekt basieren.

Datensammlung

Wenn Sie Unterstützung vom Microsoft-Support benötigen, sollten Sie die Informationen sammeln, indem Sie die unter Sammeln von Informationen mithilfe von TSS für Gruppenrichtlinie Probleme beschriebenen Schritte ausführen.