13
GPO OUs und Rechnerabhängig
Hallo,
habe kleines Problem. Mit GPOs bin ich zwar bischen vertrut(dachte ich mir), aber das Problem übersteigt meine möglichkeiten.
Es sind rund 30 (XP Pro) Rechner die in Neue Domäne kömmen und mit GPO so bischen verwaltet werden. ca. 10 Davon arbeiten mit enem "Jade Workgroup Server"(ist nicht von uns), Der Hersteller "Verbietet" jedlich Scripts und Policys für diese Rechner (Wieso auch immer).
Da kommt die Frage: Wie kann man GPOs an die OUs mit Benutzern anwenden, die allerdings nicht an allen PCs angewant wird. Klingt kommisch, ist aber so.
bzw. Alternativ wie kann man Anmelde Scripte nur auf Bestimmten Rechnern ausführen?
Klingt kommisch, ist aber so.
habe kleines Problem. Mit GPOs bin ich zwar bischen vertrut(dachte ich mir), aber das Problem übersteigt meine möglichkeiten.
Es sind rund 30 (XP Pro) Rechner die in Neue Domäne kömmen und mit GPO so bischen verwaltet werden. ca. 10 Davon arbeiten mit enem "Jade Workgroup Server"(ist nicht von uns), Der Hersteller "Verbietet" jedlich Scripts und Policys für diese Rechner (Wieso auch immer).
Da kommt die Frage: Wie kann man GPOs an die OUs mit Benutzern anwenden, die allerdings nicht an allen PCs angewant wird. Klingt kommisch, ist aber so.
bzw. Alternativ wie kann man Anmelde Scripte nur auf Bestimmten Rechnern ausführen?
Klingt kommisch, ist aber so.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 83971
Url: https://administrator.de/contentid/83971
Printed on: April 25, 2024 at 14:04 o'clock
13 Comments
Latest comment
Ich verstehe vielleicht das Problem nicht, aber dazu braucht man doch eigentlich nur diese zehn Rechner sowie ihre Benutzer in eine eigene OU zu packen, die restlichen in eine "Standard"-OU und dann die Policies an die OU zu hängen und nicht mehr an die Domäne.
Das klappt bis auf wenige Ausnahmen (z.B. Password-Policy) die nur auf Domänen-Level definiert werden können.
Das klappt bis auf wenige Ausnahmen (z.B. Password-Policy) die nur auf Domänen-Level definiert werden können.
aha, da ist ja auch das problemm.
Die Benutzer müssen sich an allen rechnern anmelden können.
und die GPOs müssen dann nicht in kraft tretten, wenn der User aus einer OU sich an Bestimmten Rechnern anmeldet.
Die Benutzer müssen sich an allen rechnern anmelden können.
und die GPOs müssen dann nicht in kraft tretten, wenn der User aus einer OU sich an Bestimmten Rechnern anmeldet.
Würde es nicht reichen wenn Du bestimmten Benutzern erlaubst sich an nur bestimmte PCs
anzumelden? Und auf den Benutzer bzw. die OU dann die GPO beziehen?
anzumelden? Und auf den Benutzer bzw. die OU dann die GPO beziehen?
nö,
das ist eine Arzt Praxis, da geht es drüber und drunter.
Letztendlich sind das die Ärzte, die öffter mal die Plätze Tauschen.
Und an Bestimmten Arbeitsplätzen ist dieses doofes Ding installiert, dessen hersteller die verwendung von Policies und Anmeldescripts verbittet.
Ich will mir aber nicht die ganze Arbeit dadurch verderben lassen.
( höchst warscheinlich werde ich die GPOs auch an den Rechner anwenden, aber ich brauche eben diese gliederung um GPOs und Anmeldescripte für diese Rechner separat auszuschalten, falls es probleme gibt).
das ist eine Arzt Praxis, da geht es drüber und drunter.
Letztendlich sind das die Ärzte, die öffter mal die Plätze Tauschen.
Und an Bestimmten Arbeitsplätzen ist dieses doofes Ding installiert, dessen hersteller die verwendung von Policies und Anmeldescripts verbittet.
Ich will mir aber nicht die ganze Arbeit dadurch verderben lassen.
( höchst warscheinlich werde ich die GPOs auch an den Rechner anwenden, aber ich brauche eben diese gliederung um GPOs und Anmeldescripte für diese Rechner separat auszuschalten, falls es probleme gibt).
Dann bleibt ja immer noch die Möglichkeit, für Benutzer andere OUs zu definieren als für die Rechner. Ich würde dieses Verbot von Policies aber eventuell auch nicht allzu ernst nehmen: erstens ist es eine Frechheit und zweitens hat die Software ja vielleicht auch nur mit ganz bestimmten Policies Probleme. Was soll denn passieren, wenn man doch welche anwendet?
Dann bleibt ja immer noch die
Möglichkeit, für Benutzer andere
OUs zu definieren als für die Rechner.
Ich würde dieses Verbot von Policies
aber eventuell auch nicht allzu ernst nehmen:
erstens ist es eine Frechheit und zweitens
hat die Software ja vielleicht auch nur mit
ganz bestimmten Policies Probleme. Was soll
denn passieren, wenn man doch welche
anwendet?
Möglichkeit, für Benutzer andere
OUs zu definieren als für die Rechner.
Ich würde dieses Verbot von Policies
aber eventuell auch nicht allzu ernst nehmen:
erstens ist es eine Frechheit und zweitens
hat die Software ja vielleicht auch nur mit
ganz bestimmten Policies Probleme. Was soll
denn passieren, wenn man doch welche
anwendet?
So sehe ich das auch. Wenn ich Admin bin und mir eine Anwendung nicht erlaubt Policies
zu benutzen, dann wechsel ich entweder den Anbieter oder wenns nicht anders geht,
pfeiff ich auf deren Vorschriften, so hart das klingt. Mich würd eher interessieren ob das irgendwo
schriftlich niedergelgt ist, oder irgendeine Hotline-Tante mal sowas erwähnt hatte.
Bin ich auch der Meinung,
muss wohl OU nur mit Rechnern machen.
Und bei Anmeldescripten trixen.
muss wohl OU nur mit Rechnern machen.
Und bei Anmeldescripten trixen.
Dein Problem ist (mehr oder weniger leicht) lösbar. Einen Ansatz dazu habe ich hier (CD laufwerke an Arbeitstationen in einer Dömäne beschränken) aufgezeigt.
Grüße, Steffen
Grüße, Steffen
hat etwas länger gedauert, musste es ausprobieren
Momentan Sieht die OU Struktur so aus (abgesehen von namen
)
Domäne
|
-- MeineOU
|
-- CooleBenutzer
|
-- CooleRechner
|
-- UncooleRechner
|
-- UncooleBenutzer
Es müssen GPOs (welche auch immer) nur dann greifen wenn ein CoolerBenutzer an CoolemRechner sich anmeldet.
Wenn ich GPO in Coole Rechner stecke werden sie nicht übernomen, da de benutzer in anderem OU ist.
und ich kann nicht jedem von ca 30 Rechner eigene OUs erstellen.
Momentan Sieht die OU Struktur so aus (abgesehen von namen
)Domäne
|
-- MeineOU
|
-- CooleBenutzer
|
-- CooleRechner
|
-- UncooleRechner
|
-- UncooleBenutzer
Es müssen GPOs (welche auch immer) nur dann greifen wenn ein CoolerBenutzer an CoolemRechner sich anmeldet.
Wenn ich GPO in Coole Rechner stecke werden sie nicht übernomen, da de benutzer in anderem OU ist.
und ich kann nicht jedem von ca 30 Rechner eigene OUs erstellen.
Habe was von WMI-Filter gelesen, kann man damit auch OUs von Rechnern filtern?
Man kann das mit Filtern hinbekommen, allerdings ist das eine zweischneidige Sache, weil man irgendwann selbst keine Übersicht mehr darüber hat, was denn nun in welchem Fall gilt. Eigentlich sollte man aber auch den Rechnern selbst Policies zuweisen können - wenn das nicht geht, dann hat man entweder versucht, benutzerspezifische Regeln anzuwenden oder die Rechner selbst haben kein Zugriffsrecht auf das SYSVOL, was ich auch schon erlebt habe.
Zu der ganzen Thematik haben die Jungs von http://www.gruppenrichtlinien.de/ schon einen Haufen interessante Dinge zusammengetragen. Schau doch da mal rein, bevor wir hier das Rad neu erfinden...
Zu der ganzen Thematik haben die Jungs von http://www.gruppenrichtlinien.de/ schon einen Haufen interessante Dinge zusammengetragen. Schau doch da mal rein, bevor wir hier das Rad neu erfinden...
Danke für den Tipp, die Seite ist allerdings mein ständiger begleiter in sachen GP.
Allerdings habe ich da auch noch nichts Passendes gefunden.
(es heißt aber nicht, dass es doch noch irgend wo da ist)
Das Problem it, dass, wenn ich die GPO auf OU CooleComputer anwende, dann kann ich Keine Benutzereinstellungen anwenden, da keine benutzer in der OU sind.
So ein kack.
kann mir jemand ein Abfragebeispiel für WMI-Filter geben, bzw wäre ich für eine Empfelenswerte Seite bezüglich WMI sehr dankbar.
mfg
Ich
Allerdings habe ich da auch noch nichts Passendes gefunden.
(es heißt aber nicht, dass es doch noch irgend wo da ist)
Das Problem it, dass, wenn ich die GPO auf OU CooleComputer anwende, dann kann ich Keine Benutzereinstellungen anwenden, da keine benutzer in der OU sind.
So ein kack.
kann mir jemand ein Abfragebeispiel für WMI-Filter geben, bzw wäre ich für eine Empfelenswerte Seite bezüglich WMI sehr dankbar.
mfg
Ich
JA JA JA JA!!!
Wer lange sucht, der wird entweder verrückt, oder erfindet das was er sucht oder beides.
Ich habe die Lösung!!!
( vielleicht hielft sie jemandem noch )
1. OUs wie oben
2. Die Benutzer, für die die Richtlinie wirksam sein soll in eine Gruppe Packen (z.B.cool)
3. Eine Richtlinie mit für "Coole REchner" oder übergeordnet "Computerkonfiguration \ Administrative Vorlagen \ System \ Gruppenrichtlinien
Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie = aktiviert"
3. benötigte Richtlinie für OU "Coole Rechner" erstellen
4. unter Deligierung Authentifizierte Benutzer entfernen und die gewünschte gruppe einfügen mit Lesen und Richtlinie übernehmen.
P.S.
http://www.gruppenrichtlinien.de/Grundlagen/Loopback_Verarbeitungs_Modu ...
Wer lange sucht, der wird entweder verrückt, oder erfindet das was er sucht oder beides.
Ich habe die Lösung!!!
( vielleicht hielft sie jemandem noch
)1. OUs wie oben
2. Die Benutzer, für die die Richtlinie wirksam sein soll in eine Gruppe Packen (z.B.cool)
3. Eine Richtlinie mit für "Coole REchner" oder übergeordnet "Computerkonfiguration \ Administrative Vorlagen \ System \ Gruppenrichtlinien
Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie = aktiviert"
3. benötigte Richtlinie für OU "Coole Rechner" erstellen
4. unter Deligierung Authentifizierte Benutzer entfernen und die gewünschte gruppe einfügen mit Lesen und Richtlinie übernehmen.
P.S.
http://www.gruppenrichtlinien.de/Grundlagen/Loopback_Verarbeitungs_Modu ...
