Computergruppen in Active Directory bekommen keine Gruppenrichtlinien
Hallo, ich bin zur Zeit in der Ausbildung zum Fachinformatiker - Systemintegration und beschäftige mich gerade mit Active Directory, ich habe ein "kleines" Problem, bei dem ich gerade auf dem Schlauch steh.
Ich habe eine Test-OU-Struktur erstellt und innerhalb dieser OU eine Gruppe, die nur Computer beinhaltet. Die eigentlichen Computer sind noch im Ordner "Computers", da sollen sie auch bleiben und ich wollte mit Gruppen arbeiten, damit es übersichtlicher bleibt.
In der OU habe ich ein Gruppenrichtlinie (Computerkonfiguration) erstellt, die mir die Firewall-Regeln anpassen soll, jedoch bekommen die Clients in der Domäne von dieser Richtlinie nichts mit. Die Änderung tritt erst in Kraft, wenn ich die einzelnen Computer in die OU verschiebe, was jedoch nicht passieren soll.
Woran liegt das, dass die Computer in der Gruppe nicht angesprochen werden? Was muss noch geschehen, damit es so klappt wie ich mir das vorgestellt habe?
Danke!
Ich habe eine Test-OU-Struktur erstellt und innerhalb dieser OU eine Gruppe, die nur Computer beinhaltet. Die eigentlichen Computer sind noch im Ordner "Computers", da sollen sie auch bleiben und ich wollte mit Gruppen arbeiten, damit es übersichtlicher bleibt.
In der OU habe ich ein Gruppenrichtlinie (Computerkonfiguration) erstellt, die mir die Firewall-Regeln anpassen soll, jedoch bekommen die Clients in der Domäne von dieser Richtlinie nichts mit. Die Änderung tritt erst in Kraft, wenn ich die einzelnen Computer in die OU verschiebe, was jedoch nicht passieren soll.
Woran liegt das, dass die Computer in der Gruppe nicht angesprochen werden? Was muss noch geschehen, damit es so klappt wie ich mir das vorgestellt habe?
Danke!
Please also mark the comments that contributed to the solution of the article
Content-Key: 249035
Url: https://administrator.de/contentid/249035
Printed on: April 19, 2024 at 01:04 o'clock
5 Comments
Latest comment
Hi.
Du denkst (wie man auch meinen sollte): "GPOs kann man auf Gruppen anwenden". Dem ist nicht so.
User-GPOs müssen auf OUs mit Userobjekten verlinkt werden.
Computer-GPOs müssen auf OUs mit Computerobjekten verlinkt werden.
->oder man verlinkt auf den Domain-Head, dann trifft man jedoch alle User, Computer/Server.
Normalerweise löst man das so:
Allgemeine OU "Client-PCs". Alle Clients drin. GPO mit Computersettings daran verlinken und per Sicherheitsfilterung mit Gruppen arbeiten (Rechtsklick auf die GPO ->Eigenschaften ->Sicherheit ->auth Benutzer raus, Sicherheitsgruppe rein und der das Recht "GPO anwenden" und "GPO lesen" geben).
Analog geht das ebenso mit Userobjekten und deren GPOs.
Du denkst (wie man auch meinen sollte): "GPOs kann man auf Gruppen anwenden". Dem ist nicht so.
User-GPOs müssen auf OUs mit Userobjekten verlinkt werden.
Computer-GPOs müssen auf OUs mit Computerobjekten verlinkt werden.
->oder man verlinkt auf den Domain-Head, dann trifft man jedoch alle User, Computer/Server.
Normalerweise löst man das so:
Allgemeine OU "Client-PCs". Alle Clients drin. GPO mit Computersettings daran verlinken und per Sicherheitsfilterung mit Gruppen arbeiten (Rechtsklick auf die GPO ->Eigenschaften ->Sicherheit ->auth Benutzer raus, Sicherheitsgruppe rein und der das Recht "GPO anwenden" und "GPO lesen" geben).
Analog geht das ebenso mit Userobjekten und deren GPOs.