Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

GPO OUs und Rechnerabhängig

Frage Microsoft Windows Server

Mitglied: h44656e

h44656e (Level 1) - Jetzt verbinden

26.03.2008, aktualisiert 18.10.2012, 3896 Aufrufe, 13 Kommentare

Hallo,
habe kleines Problem. Mit GPOs bin ich zwar bischen vertrut(dachte ich mir), aber das Problem übersteigt meine möglichkeiten.

Es sind rund 30 (XP Pro) Rechner die in Neue Domäne kömmen und mit GPO so bischen verwaltet werden. ca. 10 Davon arbeiten mit enem "Jade Workgroup Server"(ist nicht von uns), Der Hersteller "Verbietet" jedlich Scripts und Policys für diese Rechner (Wieso auch immer).

Da kommt die Frage: Wie kann man GPOs an die OUs mit Benutzern anwenden, die allerdings nicht an allen PCs angewant wird. Klingt kommisch, ist aber so.

bzw. Alternativ wie kann man Anmelde Scripte nur auf Bestimmten Rechnern ausführen?

Klingt kommisch, ist aber so.
Mitglied: Kasima
26.03.2008 um 12:42 Uhr
Ich verstehe vielleicht das Problem nicht, aber dazu braucht man doch eigentlich nur diese zehn Rechner sowie ihre Benutzer in eine eigene OU zu packen, die restlichen in eine "Standard"-OU und dann die Policies an die OU zu hängen und nicht mehr an die Domäne.

Das klappt bis auf wenige Ausnahmen (z.B. Password-Policy) die nur auf Domänen-Level definiert werden können.
Bitte warten ..
Mitglied: h44656e
26.03.2008 um 13:39 Uhr
aha, da ist ja auch das problemm.

Die Benutzer müssen sich an allen rechnern anmelden können.
und die GPOs müssen dann nicht in kraft tretten, wenn der User aus einer OU sich an Bestimmten Rechnern anmeldet.
Bitte warten ..
Mitglied: funkmasta2k
26.03.2008 um 13:52 Uhr
Würde es nicht reichen wenn Du bestimmten Benutzern erlaubst sich an nur bestimmte PCs
anzumelden? Und auf den Benutzer bzw. die OU dann die GPO beziehen?
Bitte warten ..
Mitglied: h44656e
26.03.2008 um 14:55 Uhr
nö,
das ist eine Arzt Praxis, da geht es drüber und drunter.
Letztendlich sind das die Ärzte, die öffter mal die Plätze Tauschen.
Und an Bestimmten Arbeitsplätzen ist dieses doofes Ding installiert, dessen hersteller die verwendung von Policies und Anmeldescripts verbittet.

Ich will mir aber nicht die ganze Arbeit dadurch verderben lassen.
( höchst warscheinlich werde ich die GPOs auch an den Rechner anwenden, aber ich brauche eben diese gliederung um GPOs und Anmeldescripte für diese Rechner separat auszuschalten, falls es probleme gibt).
Bitte warten ..
Mitglied: Kasima
26.03.2008 um 16:41 Uhr
Dann bleibt ja immer noch die Möglichkeit, für Benutzer andere OUs zu definieren als für die Rechner. Ich würde dieses Verbot von Policies aber eventuell auch nicht allzu ernst nehmen: erstens ist es eine Frechheit und zweitens hat die Software ja vielleicht auch nur mit ganz bestimmten Policies Probleme. Was soll denn passieren, wenn man doch welche anwendet?
Bitte warten ..
Mitglied: funkmasta2k
26.03.2008 um 18:08 Uhr
Dann bleibt ja immer noch die
Möglichkeit, für Benutzer andere
OUs zu definieren als für die Rechner.
Ich würde dieses Verbot von Policies
aber eventuell auch nicht allzu ernst nehmen:
erstens ist es eine Frechheit und zweitens
hat die Software ja vielleicht auch nur mit
ganz bestimmten Policies Probleme. Was soll
denn passieren, wenn man doch welche
anwendet?

So sehe ich das auch. Wenn ich Admin bin und mir eine Anwendung nicht erlaubt Policies
zu benutzen, dann wechsel ich entweder den Anbieter oder wenns nicht anders geht,
pfeiff ich auf deren Vorschriften, so hart das klingt. Mich würd eher interessieren ob das irgendwo
schriftlich niedergelgt ist, oder irgendeine Hotline-Tante mal sowas erwähnt hatte.
Bitte warten ..
Mitglied: h44656e
26.03.2008 um 18:27 Uhr
Bin ich auch der Meinung,
muss wohl OU nur mit Rechnern machen.
Und bei Anmeldescripten trixen.
Bitte warten ..
Mitglied: 51705
26.03.2008, aktualisiert 18.10.2012
Dein Problem ist (mehr oder weniger leicht) lösbar. Einen Ansatz dazu habe ich hier (http://www.administrator.de/forum/cd-laufwerke-an-arbeitstationen-in-ei ...) aufgezeigt.

Grüße, Steffen
Bitte warten ..
Mitglied: h44656e
28.03.2008 um 13:31 Uhr
hat etwas länger gedauert, musste es ausprobieren

Momentan Sieht die OU Struktur so aus (abgesehen von namen )

Domäne
|
-- MeineOU
|
-- CooleBenutzer
|
-- CooleRechner
|
-- UncooleRechner
|
-- UncooleBenutzer
Es müssen GPOs (welche auch immer) nur dann greifen wenn ein CoolerBenutzer an CoolemRechner sich anmeldet.

Wenn ich GPO in Coole Rechner stecke werden sie nicht übernomen, da de benutzer in anderem OU ist.

und ich kann nicht jedem von ca 30 Rechner eigene OUs erstellen.
Bitte warten ..
Mitglied: h44656e
28.03.2008 um 13:53 Uhr
Habe was von WMI-Filter gelesen, kann man damit auch OUs von Rechnern filtern?
Bitte warten ..
Mitglied: Kasima
30.03.2008 um 10:15 Uhr
Man kann das mit Filtern hinbekommen, allerdings ist das eine zweischneidige Sache, weil man irgendwann selbst keine Übersicht mehr darüber hat, was denn nun in welchem Fall gilt. Eigentlich sollte man aber auch den Rechnern selbst Policies zuweisen können - wenn das nicht geht, dann hat man entweder versucht, benutzerspezifische Regeln anzuwenden oder die Rechner selbst haben kein Zugriffsrecht auf das SYSVOL, was ich auch schon erlebt habe.

Zu der ganzen Thematik haben die Jungs von http://www.gruppenrichtlinien.de/ schon einen Haufen interessante Dinge zusammengetragen. Schau doch da mal rein, bevor wir hier das Rad neu erfinden...
Bitte warten ..
Mitglied: h44656e
31.03.2008 um 01:21 Uhr
Danke für den Tipp, die Seite ist allerdings mein ständiger begleiter in sachen GP.
Allerdings habe ich da auch noch nichts Passendes gefunden.
(es heißt aber nicht, dass es doch noch irgend wo da ist)

Das Problem it, dass, wenn ich die GPO auf OU CooleComputer anwende, dann kann ich Keine Benutzereinstellungen anwenden, da keine benutzer in der OU sind.
So ein kack.


kann mir jemand ein Abfragebeispiel für WMI-Filter geben, bzw wäre ich für eine Empfelenswerte Seite bezüglich WMI sehr dankbar.

Mit freundlichen Grüßen
Ich
Bitte warten ..
Mitglied: h44656e
03.04.2008 um 09:29 Uhr
JA JA JA JA!!!
Wer lange sucht, der wird entweder verrückt, oder erfindet das was er sucht oder beides.

Ich habe die Lösung!!!
( vielleicht hielft sie jemandem noch )

1. OUs wie oben
2. Die Benutzer, für die die Richtlinie wirksam sein soll in eine Gruppe Packen (z.B.cool)

3. Eine Richtlinie mit für "Coole REchner" oder übergeordnet "Computerkonfiguration \ Administrative Vorlagen \ System \ Gruppenrichtlinien
Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie = aktiviert"

3. benötigte Richtlinie für OU "Coole Rechner" erstellen
4. unter Deligierung Authentifizierte Benutzer entfernen und die gewünschte gruppe einfügen mit Lesen und Richtlinie übernehmen.

P.S.

http://www.gruppenrichtlinien.de/Grundlagen/Loopback_Verarbeitungs_Modu ...
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Windows Server
GPO aktiv trotz Deaktivierung (7)

Frage von XxDarkAngelxX zum Thema Windows Server ...

Windows Server
gelöst Laufwerkspfad wird nach GPO-Änderung nicht aktualisiert (4)

Frage von YotYot zum Thema Windows Server ...

Windows Server
GPO werden nicht an Window 7 Clients vergeben (5)

Frage von Tealk144 zum Thema Windows Server ...

Windows Server
Jnlp Endungen mit Java automatisch verknüpfen über GPO (10)

Frage von staybb zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows Server
Mailserver auf Windows Server 2012 (8)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (8)

Frage von 1410640014 zum Thema Backup ...