Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

GPO nur auf Standort anwenden

Frage Microsoft Windows Server

Mitglied: BerndP

BerndP (Level 1) - Jetzt verbinden

06.11.2014 um 09:59 Uhr, 1290 Aufrufe, 14 Kommentare

Servus, haben 3 Standorte und für die habe ich unterschiedliche Laufwerkszuordnung per GPO definiert.

Kann ich die Standorte dazu verwenden Richtlinien nur auf Rechner am jeweiligen Standort anzuwenden, wie die Zielgruppenadressierung nur halt für die Gesamte Richtlinie?
Mitglied: xbast1x
06.11.2014 um 10:42 Uhr
Hi,

am einfachsten wäre die Unterteilung in OU's: Standort 1, Standort2, Standort3, auf die jeweilige OU packst du dann die entsprechende Laufwerkszuordnung.
Bitte warten ..
Mitglied: SlainteMhath
06.11.2014 um 10:51 Uhr
Moin,

GPOs kann man im AD direkt an die AD-Sites hängen.

lg,
Slainte
Bitte warten ..
Mitglied: emeriks
06.11.2014 um 11:08 Uhr
Hi,
als erstes die Standorte mit den IP-Subnets im AD anlegen. Dann erkennen die Computer von selbst, zu welchem Standort sie gehören. Dann die GPOs statt mit einer OU eben mit einem Standort verlinken. Die Standorte bekommst Du in der GPO-Verwaltung standardmäßig nicht angezeigt. Diese musst Du Dir explizit anzeigen lassen.

Beachte beim Anlegen von Standorten, dass, falls Du DCs an den Standorten hast und Du die Standorte aber erst nachtäglich im AD anlegen solltest, Du die Server-Objekte der betreffenden DCs im "Standorte und Services" manuell in die Standorte verschieben musst.

E.
Bitte warten ..
Mitglied: BerndP
06.11.2014, aktualisiert um 12:24 Uhr
hm... Standorte sind mit IP Subnetz erstellt und die DCs werden auch richtig angezeigt... trotzdem werden "falsche" Laufwerke verbunden.

Naja hab es jetzt mit Benutzergruppen und Zielgruppenadressierung>Standort gelöst das andere wäre zwar sauberer aber leider keine Zeit mehr..

Danke trotzdem!
Bitte warten ..
Mitglied: SlainteMhath
06.11.2014 um 12:57 Uhr
Wenn du über Site-GPOs Laufwerke mappen willst, musst du die Loopback Verarbeitung aktiveren, sonst wird nur der "Computer" Teil der GPO verarbeitet.
Bitte warten ..
Mitglied: emeriks
06.11.2014 um 13:17 Uhr
Zitat von SlainteMhath:

Wenn du über Site-GPOs Laufwerke mappen willst, musst du die Loopback Verarbeitung aktiveren, sonst wird nur der
"Computer" Teil der GPO verarbeitet.
Wo hast Du DAS denn her? Kann ich nicht bestätigen. Thema Loopback ist in ganz anderem Kontext.

E.
Bitte warten ..
Mitglied: BerndP
06.11.2014 um 16:36 Uhr
naja das problem ist das zu viel verarbeitet wird und nicht zu wenig ;)
Bitte warten ..
Mitglied: SlainteMhath
07.11.2014 um 09:09 Uhr
@emeriks
Wo hast Du DAS denn her?
Guckst Du hier: http://technet.microsoft.com/en-us/library/cc754948(v=ws.10).aspx

Insbesondere die Punkte
"Special considerations for site-linked GPOs"
und
"Using loopback processing to configure user policy settings"

Kann ich nicht bestätigen.
Tja, man lernt nie aus, gell?

Thema Loopback ist in ganz anderem Kontext.
Nö.

@BerndP
naja das problem ist das zu viel verarbeitet wird und nicht zu wenig ;)
Natürlich musst du die Drivemappings aus dem GPOs die an die User OU gebunden sind dann komplett rausnehmen.
Bitte warten ..
Mitglied: emeriks
07.11.2014, aktualisiert um 09:49 Uhr
Hi,
Zitat von SlainteMhath:

Guckst Du hier: http://technet.microsoft.com/en-us/library/cc754948(v=ws.10).aspx

Insbesondere die Punkte
"Special considerations for site-linked GPOs"
und
"Using loopback processing to configure user policy settings"
Na und? Wo steht da was davon, dass man für die Abarbeitung von GPO Benutzerkonfigurationen im Zusammenhang mit dem Verlinken von GPO an AD Standorten die Loopback-Verarbeitung aktivieren muss?

> Kann ich nicht bestätigen.
Tja, man lernt nie aus, gell?
Das hoffe ich doch für Dich.

> Thema Loopback ist in ganz anderem Kontext.
Nö.
Sorry, aber ich muss davon ausgehen, Du hast das Thema Loopback Verarbeitung von GPO's falsch oder gar nicht verstanden. Oder verwechselt, z.B. mit "Vererbung" und/oder "Erzwingen".


Wenn man über einen Standort die Loopback Verarbeitung aktiviert, dann gilt das für alle Computer an diesem Standort, egal welche Domäne und welche OU, wenn man nicht explizit an der richtigen Stelle die Veerbung blockiert bzw. die GPO filtert. Sowas kann u.U. mächtig in die Hose gehen!


E.
Bitte warten ..
Mitglied: SlainteMhath
07.11.2014 um 10:15 Uhr
Na und? Wo steht da was davon, dass man für die Abarbeitung von GPO Benutzerkonfigurationen im Zusammenhang mit dem Verlinken von GPO an AD Standorten die Loopback-Verarbeitung aktivieren muss?
Mal in den Technet Artikel reingeguckt?

01.
Special considerations for site-linked GPO 
02.
 
03.
[...] Any GPO that is linked to a site container is applied to all computers in that site [...]
in Zusammenhang mit
01.
Using loopback processing to configure user policy settings 
02.
 
03.
[...] By enabling the loopback processing policy setting in a GPO, you can configure user policy settings based on the computer that they log on to. Those policy settings are applied regardless of which user logs on. [...]
Sorry, aber ich muss davon ausgehen, Du hast das Thema Loopback Verarbeitung von GPO's falsch oder gar nicht verstanden. Oder verwechselt, z.B. mit
"Vererbung" und/oder "Erzwingen".
Nö.

Wenn man über einen Standort die Loopback Verarbeitung aktiviert, dann gilt das für alle Computer an diesem Standort, egal welche Domäne und welche OU,
Richtig, genau wie vom TE gewünscht

Sowas kann u.U. mächtig in die Hose gehen!
Natürlich sollte man dabei noch entsprechende Merge Mode/Replace Mode setzen, damit man die Amins nicht von dem Servern ausschliesst o.Ä. schon klar.
Bitte warten ..
Mitglied: emeriks
07.11.2014 um 10:55 Uhr
Hi,
01.
> Special considerations for site-linked GPO 
02.
>  
03.
> [...] Any GPO that is linked to a site container is applied to all computers in that site [...] 
04.
> 
in Zusammenhang mit
01.
> Using loopback processing to configure user policy settings 
02.
>  
03.
> [...] By enabling the loopback processing policy setting in a GPO, you can configure user policy settings based on the computer 
04.
> that they log on to. Those policy settings are applied regardless of which user logs on. [...] 
05.
> 
Ah ja, das erklärt. Das haste dann doch falsch verstanden.
Die Formulierung "Any GPO that is linked to a site container is applied to all computers in that site" bedeutet NICHT, dass das bloß für Computer gilt. Es bedeutet auch, dass es für alle Benutzer gilt, welche sich an so einem Computer anmelden.
Loopback Verarbeitung bedeutet NICHT, dass ein Computer die Benutzereinstellungen einer GPO quasi stellvertretend für den Benutzer anwendet, wenn die GPO nicht für den Benutzer gelten sollte.
musst du die Loopback Verarbeitung aktiveren, sonst wird nur der "Computer" Teil der GPO verarbeitet.
Die Loopback Verarbeitung steuert lediglich den Gruppenrichtlinein Client des Computers, nach welcher Logik er GPO's für den Benutzer aus dem AD ausliest. (Welche GPO's und in welcher Reihenfolge.)

1. GPO, welche am Standort verlinkt werden, gelten für alle Computer dieses Standorts, sofern sie für diese Computer zutreffen (Computereinstellungen nicht deaktiviert, Computereinstellungen enhalten, Sicherheitsfilterung zutreffend, WMI-Filter zutreffend, Item-Level-Targeting zutreffend)
2. GPO, welche am Standort verlinkt werden, gelten für alle Benutzer, welche sich an einem Computer dieses Standorts anmelden, sofern sie für diese Benutzer zutreffen (Benutzereinstellungen nicht deaktiviert, Benutzereinstellungen enhalten, Sicherheitsfilterung zutreffend, WMI-Filter zutreffend, Item-Level-Targeting zutreffend.)
3. Die einzelnen Einstellungen der GPO's gelten bis auf ganz wenige Ausnahmen (z.B. alles was die Domäne an sich betrifft) vollkommen unabhängig davon, wo die GPO verlinkt ist und unabhängig davon, ob die GPO über den Benutzerpfad oder über den Computerpfad (bei aktivierten Loopback) vom GPO Client eingesammelt werden. Einzig entscheidend ist, dass die GPO für den Computer oder für den Benutzer zum Zeitpunkt der Anwendung gilt.

E.
Bitte warten ..
Mitglied: SlainteMhath
07.11.2014 um 11:49 Uhr
Loopback Verarbeitung bedeutet NICHT, dass ein Computer die Benutzereinstellungen einer GPO quasi stellvertretend für den Benutzer anwendet, wenn die GPO nicht für den Benutzer gelten sollte
Richtig, Loopback bedeutet, das der USER Teil einer GPO die auf ein Computer Objekt wirkt auf alle Anwender wirkt die sich an dem Computer anmelden. Die Reihenfolge (Domain->Site->OU->Local) bleibt davon unberührt.

Ergo: Site-GPO wird auf Computer angewendet, und per Loopback auf alle User die sich an dem Computer anmelden.

Und ja, das hab ich schon öfters so oder in ähnlicher Weise "draussen" (v.A. in Zusammenspiel mit Temrinalservern) implementiert.
Bitte warten ..
Mitglied: emeriks
07.11.2014 um 12:04 Uhr
Hi,
Richtig, Loopback bedeutet, das der USER Teil einer GPO die auf ein Computer Objekt wirkt auf alle Anwender wirkt die sich an dem
Computer anmelden. Die Reihenfolge (Domain->Site->OU->Local) bleibt davon unberührt.
Nein, sorry, das ist falsch!
Loopback bedeutet, das der USER Teil einer GPO, die für ein USER Objekt gilt, für DIESEN USER angewendet wird, WENN ER sich an einem
Computer anmeldet, über dessen ADS-Pfad der GPO Client eine GPO für diesen Benutzer findet.

Der USER braucht das Lesen- und Anwenden-Recht, wenn der GPO Client diese GPO liefern soll, nicht der Computer. Der Computer ist in diesem Zusammenhang nur dafür relevant, dass der GPO Client ausgehend von dessen Computer-Objekt die GPO's für den Benutzere einsammelt.

Ergo: Site-GPO wird auf Computer angewendet, und per Loopback auf alle User die sich an dem Computer anmelden.
Über Loopback kann man überhaupt keinen Einfluss darauf nehmen, welche GPO für einen Computer angewendet wird.

Und ja, das hab ich schon öfters so oder in ähnlicher Weise "draussen" (v.A. in Zusammenspiel mit Temrinalservern) implementiert.
Ich will Dir in keiner Weise absprechen, dass Du da erfolgreich gute und funktionierende Lösungen geschaffen hast! Aber wenn man Wissen weitergeben will, dann muss das auch fachlich korrekt sein. Sonst bringt es dem Fragesteller nicht weiter.

E.
Bitte warten ..
Mitglied: SlainteMhath
07.11.2014 um 12:30 Uhr
´Ne seh schon das wird mit uns zwei nix mehr. Erklär du dem TE mal wie ers machen soll und ich geh mich mal um meine offensichtlich nicht funkionierenden GPOs kümmern.

Schönen Tag noch.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Netzwerk
gelöst GPO auf alle PCs mit bestimmtes Computernamen Schema anwenden lassen (5)

Frage von Michael-ITler zum Thema Windows Netzwerk ...

Windows Server
gelöst Skript per GPO ausführen - Berechtigungen? (13)

Frage von honeybee zum Thema Windows Server ...

Windows Server
gelöst Änderung eines Registryeintrages per GPO (15)

Frage von honeybee zum Thema Windows Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...