HKCU Registry Key für alle Benutzer austeilen

[peterpeta]

Hallo zusammen,

wir müssten für ein Add-In im Outlook einen Registry Wert im Unternehmen verteilen. Also zumindest an bestimmte Nutzer. Der Key der die Einstellung speichert befindet sich allerdings HKEY_Current_User
Soweit ich das mit der Registry verstanden habe, müstte der Wert somit bei jedem angemeldeten Benutzer dort gespeichert werden.
Gibts ne Möglichkeit den Eintrag irgendwo anders zu setzen, sodass er Systemweit gültig ist?

Viele Grüße

 

[kamblars]

https://www.windowspro.de/wolfgang-...l-group-policy-preferences-erstellen-loeschen

Google: Registry per GPO

 

[XN04113]

und wenn es nur ein ausgewählte Benutzer soll kann man die Policy über eine AD Gruppe filtern

 

[crashbandicot]

und wenn es nur ein ausgewählte Benutzer soll kann man die Policy über eine AD Gruppe filtern

Das funktioniert seit knapp 2 Jahren nicht mehr so einfach.

https://blogs.technet.microsoft.com/askpfeplat/2016/07/05/who-broke-my-user-gpos/

 

[0711]

Natürlich funktioniert das noch so einfach, nur weil das computerkonto rechte auf die gpo braucht ändert sich an der Anwendbarkeit auf benutzerebene nicht wirklich was

von dem abgesehen kann man gpp (über welches man registry keys setzt) die Anwendung über "gemeinsamen Optionen" auf einzelne benutzergruppen oder andere gegebenenheiten beschränekn, man muss also mitnichten die gpo selbst einschränken

 

[crashbandicot]

Natürlich funktioniert das noch so einfach, nur weil das computerkonto rechte auf die gpo braucht ändert sich an der Anwendbarkeit auf benutzerebene nicht wirklich was

Natürlich ändert sich da was. Es reicht halt nicht mehr aus eine Gruppe mit Benutzern in das Security Filtering der GPO einzubauen. Neben den Benutzern müssen noch die dazugehörigen Computerobjekte identifiziert und ebenfalls in das Security Filtering der Policy eingebaut werden.

So einfach wie früher (Gruppe bauen, betroffene Benutzer hinzufügen) ist es halt nicht mehr. Recht hast du hingegen mit der Zuweisung der GPP auf Gruppen-/Benutzerebene.

 

[0711]

Die "zugehörigen" Computerobjekte muss man nicht wirklich ermitteln, entweder "Domänencomputer" oder "Authentifizierte Benutzer" in die Delegierung mit Leserechten setzen und gut...

 

[crashbandicot]

Dann funktioniert Beitrag #3 aber nicht mehr bzw. die GPO wird an alle Nutzer verteilt.

 

[0711]

Doch dann funktioniert Beitrag #3 genau so wie gewünscht, die Benutzerrichtlinie wurde nicht zu einer Computerrichtlinie umgemünzt wenn man nur leserechte auf die Richtlinie gibt, was nicht mit GPO Übernehmen Berechtigung zu verwechseln ist. Das einzige was sich geändert hat ist das der Computer die Richtlinie abfrägt, das hat aber mit dem anwenden erst mal nichts zu tun.

Das ist in deinem eigenen Link eigentlich sogar sehr gut erklärt, einzig beim expliziten verweigern muss man jetzt noch zusätzlich neben lesen auch das anwenden explizit verweigern was vorher nicht nötig war. Ansonsten hat sich aber bis auf das immer nötige Leserechte für Computerobjekte bei Benutzerrichtlinien nichts geändert.