7
GPO in Verbindung mit Gruppen Gruppen (AD)
Hallo,
in unserem AD (Windows Server 2003) habe ich die logische Struktur mit Hilfe von Organisationseinheiten nachgebildet. Da es keine Option ist die Benutzer & Computer direkt in diese Struktur einzuornen, habe ich Gruppen erstellt und die Benutzer bzw. Computer diesen Gruppen zugeordnet. Die Gruppen sind also Platzhalter für die eigentlichen User und Computer.
Grafisch im Snap-In 'Active Directory-Benutzer und -Computer' kann man sich das, stark vereinfacht, so vorstellen:
domäne.intra
Computers [hier drin sind alle Computer]
Users [hier drin sind alle User]
EigentlichLogischeStruktur
Abteilung1
Abteilung2 [dieser OU ist das GPO zugewiesen]
GruppeA [erscheint ja normalerweise auf der rechten Seite; Hier ist der Computer, an den ich die GPO verteilen möchte, Mitglied]
Die Gruppe 'GruppeA' ist eine 'Globale Gruppe', der Typ ist 'Sicherheit'
Nun habe ich einer OU ein Group Policy Object (GPO) zugewiesen. Was ich erwartet hätte, wäre, dass das GPO auf die User und/oder Computer in den Gruppen angewendet werden. Genau dies passiert jedoch nicht. (Neustart und 'gpupdate /force' füren nicht zur Übernahme der Registry-Einstellungen.
Um ganz sicher zu sein, dass das Problem nicht an einer anderen Stelle liegt, habe ich statt der Gruppe den Computer direkt in diese OU verschoben - das GPO wird sauber in die Registry geschrieben.
Das lässt mich nun zu dem Schluss kommen, dass Gruppen, in denen Benutzer oder Computer Mitglieder sind, keine GPO's annehmen. Ist das so? Kann mir vielleicht jemand erklären warum? Und wenn das Verhalten so nicht sein wollte, was wäre zu tun um das Problem zu fixen?
in unserem AD (Windows Server 2003) habe ich die logische Struktur mit Hilfe von Organisationseinheiten nachgebildet. Da es keine Option ist die Benutzer & Computer direkt in diese Struktur einzuornen, habe ich Gruppen erstellt und die Benutzer bzw. Computer diesen Gruppen zugeordnet. Die Gruppen sind also Platzhalter für die eigentlichen User und Computer.
Grafisch im Snap-In 'Active Directory-Benutzer und -Computer' kann man sich das, stark vereinfacht, so vorstellen:
domäne.intra
Computers [hier drin sind alle Computer]
Users [hier drin sind alle User]
EigentlichLogischeStruktur
Abteilung1
Abteilung2 [dieser OU ist das GPO zugewiesen]
GruppeA [erscheint ja normalerweise auf der rechten Seite; Hier ist der Computer, an den ich die GPO verteilen möchte, Mitglied]
Die Gruppe 'GruppeA' ist eine 'Globale Gruppe', der Typ ist 'Sicherheit'
Nun habe ich einer OU ein Group Policy Object (GPO) zugewiesen. Was ich erwartet hätte, wäre, dass das GPO auf die User und/oder Computer in den Gruppen angewendet werden. Genau dies passiert jedoch nicht. (Neustart und 'gpupdate /force' füren nicht zur Übernahme der Registry-Einstellungen.
Um ganz sicher zu sein, dass das Problem nicht an einer anderen Stelle liegt, habe ich statt der Gruppe den Computer direkt in diese OU verschoben - das GPO wird sauber in die Registry geschrieben.
Das lässt mich nun zu dem Schluss kommen, dass Gruppen, in denen Benutzer oder Computer Mitglieder sind, keine GPO's annehmen. Ist das so? Kann mir vielleicht jemand erklären warum? Und wenn das Verhalten so nicht sein wollte, was wäre zu tun um das Problem zu fixen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 127648
Url: https://administrator.de/contentid/127648
Printed on: April 25, 2024 at 23:04 o'clock
7 Comments
Latest comment
Hallo,
als kurze Nachfrage: Wie sind die Richtlinien eingestellt? Es gibt ja schliesslich ein mal die Computerkonfiguration und einmal die Benutzerkonfiguration. Kann es sein das du die Einstellungen nur in Computerconf. durchgeführt hast?
Torsten
als kurze Nachfrage: Wie sind die Richtlinien eingestellt? Es gibt ja schliesslich ein mal die Computerkonfiguration und einmal die Benutzerkonfiguration. Kann es sein das du die Einstellungen nur in Computerconf. durchgeführt hast?
Torsten
Die traurige Bestätigung: http://www.google.com/search?hl=en&rls=com.microsoft%3Aen-us&q= ...
Hallo,
verdammt jahrelang mit gpo gearbeitet und noch nie so bewußt gewesen.
danke für den link
Torsten
verdammt jahrelang mit gpo gearbeitet und noch nie so bewußt gewesen.
danke für den link
Torsten
Und wenn das Verhalten so nicht sein wollte, was wäre zu tun um das Problem zu fixen?
...ach ja, eine Alternative wolltest Du ja auch 
Du kannst mit Sicherheitsfilterung arbeiten. Policy öffnen - Rechtsklick auf den Namen - Eigenschaften - Sicherheit. Dort stehen immer authenticated users drin, das sind alle Nutzer und Computer. Nimm die raus und setz nur die jeweiligen Gruppen ein. Berechtigung: lesen und GPO übernehmen.
Hallo,
da mich nun das Thema auch interessiert hat, habe ich auch nochmals die Suchmaschine meiner Wahl benutzt. Ich bin dabei wieder mal auf die Seite gelandet, wo man für GPO als erstes nachsehen sollte.
Hier nochmal schnell ein Link, er enthält auch den selben Lösungsvorschlag wie von DerWoWusste.
http://www.gruppenrichtlinien.de/index.html?/HowTo/Richtlinien_pro_Benu ...
Torsten
PS.: ich denke der Thread kann geschlossen werden
da mich nun das Thema auch interessiert hat, habe ich auch nochmals die Suchmaschine meiner Wahl benutzt. Ich bin dabei wieder mal auf die Seite gelandet, wo man für GPO als erstes nachsehen sollte.
Hier nochmal schnell ein Link, er enthält auch den selben Lösungsvorschlag wie von DerWoWusste.
http://www.gruppenrichtlinien.de/index.html?/HowTo/Richtlinien_pro_Benu ...
Torsten
PS.: ich denke der Thread kann geschlossen werden
Moin
das erste Mal kam ich bei **domäne.intra* ins Grübeln, den Rest hat DWW schon passend erklärt
es soll zwar gehen - aber keine Umlaute in irgendwelche wichtigen Namen, bitte
Gruß
24
das erste Mal kam ich bei **domäne.intra* ins Grübeln, den Rest hat DWW schon passend erklärt
es soll zwar gehen - aber keine Umlaute in irgendwelche wichtigen Namen, bitte
Gruß
24
Hallo,
besten Dank an alle. Da ich es nun schwarz auf weiß habe, muss ich mir Gedanken machen wie ich anderweitig zu Rande komme.
Ich markiere das Ding als geklärt.
Gruß,
nowa
besten Dank an alle. Da ich es nun schwarz auf weiß habe, muss ich mir Gedanken machen wie ich anderweitig zu Rande komme.
Ich markiere das Ding als geklärt.
Gruß,
nowa
