19
Korrekte Einrichtung einer Gruppenrichtlinie
Hallo zusammen,
es geht um folgendes Szenario:
In einem Windows-Netzwerk mit einem SBS 2008 als DC und Win7-Clients sollen einige Maschinen nach der Installation von Windows-Updates nicht automatisch neu gestartet werden, sofern Benutzer gerade angemeldet sind.
Dazu habe ich ein Gruppenrichtlinienobjekt(GRO) auf dem Server erstellt, und es in eine OU gepackt.
Das GRO ist aktiviert und erzwungen, und beinhaltet eigentlich nur eine Richtlinie:
Pfad: Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Windows Update
Richtlinie:
Keinen automatischen Neustart für geplante Installationen automatischer Updates durchführen, wenn Benutzer angemeldet sind.
Ausserdem habe ich in diesem GRO festgelegt, dass nur bestimmte Clients (Computer) davon betroffen sind, und diese unter "Bereich" -> "Sicherheitsfilterung" hinterlegt.
WMI-Filter sind übrigens nicht im Spiel.
Leider verlief der letzte Microsoft-Patchday genau so, als hätte ich das GRO gar nicht eingerichtet: Die Updates wurden installiert und die Rechner neu gestartet, während die User angemeldet waren. Genau das soll aber verhindert werden. Es reicht, wenn die Updates am Ende des Tages installiert werden, wenn der User den Rechner runterfährt.
Muss man noch mehr machen, als das GRO in irgendeine OU zu legen und die Verknüpfung dann zu aktivieren, damit die GRO auch angewendet wird?
Vielen Dank vorab!
es geht um folgendes Szenario:
In einem Windows-Netzwerk mit einem SBS 2008 als DC und Win7-Clients sollen einige Maschinen nach der Installation von Windows-Updates nicht automatisch neu gestartet werden, sofern Benutzer gerade angemeldet sind.
Dazu habe ich ein Gruppenrichtlinienobjekt(GRO) auf dem Server erstellt, und es in eine OU gepackt.
Das GRO ist aktiviert und erzwungen, und beinhaltet eigentlich nur eine Richtlinie:
Pfad: Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Windows Update
Richtlinie:
Keinen automatischen Neustart für geplante Installationen automatischer Updates durchführen, wenn Benutzer angemeldet sind.
Ausserdem habe ich in diesem GRO festgelegt, dass nur bestimmte Clients (Computer) davon betroffen sind, und diese unter "Bereich" -> "Sicherheitsfilterung" hinterlegt.
WMI-Filter sind übrigens nicht im Spiel.
Leider verlief der letzte Microsoft-Patchday genau so, als hätte ich das GRO gar nicht eingerichtet: Die Updates wurden installiert und die Rechner neu gestartet, während die User angemeldet waren. Genau das soll aber verhindert werden. Es reicht, wenn die Updates am Ende des Tages installiert werden, wenn der User den Rechner runterfährt.
Muss man noch mehr machen, als das GRO in irgendeine OU zu legen und die Verknüpfung dann zu aktivieren, damit die GRO auch angewendet wird?
Vielen Dank vorab!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 201789
Url: https://administrator.de/contentid/201789
Printed on: April 24, 2024 at 01:04 o'clock
19 Comments
Latest comment
Hallo,
was ist denn in der OU? Nachdem du Computerkonfiguration benutzt hast, sollten sich in der OU auch nur Computerkonten befinden. Sonst bewirkt die GPO natürlich rein gar nichts.
Du kannst auf einem deiner Clients mal mit rsop.msc aus der Kommandozeile ausführen und schauen was angewendet wird und was nicht.
Grüße
was ist denn in der OU? Nachdem du Computerkonfiguration benutzt hast, sollten sich in der OU auch nur Computerkonten befinden. Sonst bewirkt die GPO natürlich rein gar nichts.
Du kannst auf einem deiner Clients mal mit rsop.msc aus der Kommandozeile ausführen und schauen was angewendet wird und was nicht.
Grüße
Servus,
hmm, also ich habe einfach eine "neue OU" unter der Domäne angelegt (einfach nur den Namen festgelegt), und darin dann die Verknüpfung zum GRO abgelegt.
Welche Computer betroffen sind, steht nur im GRO - nicht in der OU, falls Du das meinst.
Kann/Muss ich die OU denn noch weiter konfigurieren - ihr Computer hinzufügen? Wenn ja, wie?
hmm, also ich habe einfach eine "neue OU" unter der Domäne angelegt (einfach nur den Namen festgelegt), und darin dann die Verknüpfung zum GRO abgelegt.
Welche Computer betroffen sind, steht nur im GRO - nicht in der OU, falls Du das meinst.
Kann/Muss ich die OU denn noch weiter konfigurieren - ihr Computer hinzufügen? Wenn ja, wie?
Hallo.
Du kannst doch dieses Verhalten über die SBS Console konfigurieren.
LG Günther
In einem Windows-Netzwerk mit einem SBS 2008 als DC und Win7-Clients sollen einige Maschinen nach der Installation von Windows-Updates nicht automatisch neu gestartet werden, sofern Benutzer gerade angemeldet sind
Du kannst doch dieses Verhalten über die SBS Console konfigurieren.
LG Günther
Hallo Günther,
in der SBS-Console kann ich das nicht speziell genug einstellen.
Bei einigen Computern sollen die Updates sofort installiert werden, inklusive Neustarts, bei anderen aber nicht (dafür das GRO).
In der SBS-Console kann ich nur einstellen, dass der User informiert wird, und dieser dann selbst entscheiden kann.
Das ist aber nicht gewollt.
in der SBS-Console kann ich das nicht speziell genug einstellen.
Bei einigen Computern sollen die Updates sofort installiert werden, inklusive Neustarts, bei anderen aber nicht (dafür das GRO).
In der SBS-Console kann ich nur einstellen, dass der User informiert wird, und dieser dann selbst entscheiden kann.
Das ist aber nicht gewollt.
Zitat von @coltseavers:
hmm, also ich habe einfach eine "neue OU" unter der Domäne angelegt (einfach nur den Namen festgelegt), und darin
dann die Verknüpfung zum GRO abgelegt.
Welche Computer betroffen sind, steht nur im GRO - nicht in der OU, falls Du das meinst.
hmm, also ich habe einfach eine "neue OU" unter der Domäne angelegt (einfach nur den Namen festgelegt), und darin
dann die Verknüpfung zum GRO abgelegt.
Welche Computer betroffen sind, steht nur im GRO - nicht in der OU, falls Du das meinst.
Jo, dann ist es kein Wunder, daß das GPO nicht zieht ;)
Kann/Muss ich die OU denn noch weiter konfigurieren
Nein, außer halt das GPO darin verknüpfen, aber das hast Du ja schon gemacht.
- ihr Computer hinzufügen? Wenn ja, wie?
Jaaaaa
Wie? Wenn Du noch nie mit OUs gearbeitet hast, dürften Deine Computerkonten alle in der OU "Computers" liegen. Von dort ziehst Du sie mit dem Tool "ActiveDirectory Benutzer und Computer" einfach per Drag & Drop in Deine OU, auf die Du Dein GPO wirken läßt. Nur auf die Computer, deren Konten sich in der OU (oder in hierarchisch darunter angeordneten OUs) befinden, wirkt die Richtlinie!
Zitat von @SarekHL:
> Zitat von @coltseavers:
> ----
> hmm, also ich habe einfach eine "neue OU" unter der Domäne angelegt (einfach nur den Namen festgelegt), und
darin
> dann die Verknüpfung zum GRO abgelegt.
> Welche Computer betroffen sind, steht nur im GRO - nicht in der OU, falls Du das meinst.
Jo, dann ist es kein Wunder, daß das GPO nicht zieht ;)
> Kann/Muss ich die OU denn noch weiter konfigurieren
Nein, außer halt das GPO darin verknüpfen, aber das hast Du ja schon gemacht.
> - ihr Computer hinzufügen? Wenn ja, wie?
Jaaaaa Wie? Wenn Du noch nie mit OUs gearbeitet hast, dürften Deine Computerkonten alle in der OU "Computers"
liegen. Von dort ziehst Du sie mit dem Tool "ActiveDirectory Benutzer und Computer" einfach per Drag & Drop in Deine
OU, auf die Du Dein GPO wirken läßt. Nur auf die Computer, deren Konten sich in der OU (oder in hierarchisch darunter
angeordneten OUs) befinden, wirkt die Richtlinie!
> Zitat von @coltseavers:
> ----
> hmm, also ich habe einfach eine "neue OU" unter der Domäne angelegt (einfach nur den Namen festgelegt), und
darin
> dann die Verknüpfung zum GRO abgelegt.
> Welche Computer betroffen sind, steht nur im GRO - nicht in der OU, falls Du das meinst.
Jo, dann ist es kein Wunder, daß das GPO nicht zieht ;)
> Kann/Muss ich die OU denn noch weiter konfigurieren
Nein, außer halt das GPO darin verknüpfen, aber das hast Du ja schon gemacht.
> - ihr Computer hinzufügen? Wenn ja, wie?
Jaaaaa
Wie? Wenn Du noch nie mit OUs gearbeitet hast, dürften Deine Computerkonten alle in der OU "Computers"liegen. Von dort ziehst Du sie mit dem Tool "ActiveDirectory Benutzer und Computer" einfach per Drag & Drop in Deine
OU, auf die Du Dein GPO wirken läßt. Nur auf die Computer, deren Konten sich in der OU (oder in hierarchisch darunter
angeordneten OUs) befinden, wirkt die Richtlinie!
Nooooooo, das ist ein SBS...der mag das garnicht wenn man AD-Objekte wild in andere OUs verschiebt...
Zitat von @Onitnarat:
Nooooooo, das ist ein SBS...der mag das garnicht wenn man AD-Objekte wild in andere OUs verschiebt...
Nooooooo, das ist ein SBS...der mag das garnicht wenn man AD-Objekte wild in andere OUs verschiebt...
Oh sorry ... ich wußte nicht, daß der sich da anders verhält, als sein großer Bruder. Ich habe bisher immer nur mit "normalen" Serverversionen zu tun gehabt.
Aber wie kann man dann auf einem SBS Computerkonten in eine andere OU bringen? Denn das muß Mr. Seavers ja, damit seine Richtlinien wirken, denn auf den Standardcontainer "computers" kann man kein GPO anwenden (oder geht das wiederum beim SBS?).
Alternativ könnte man die GPOs natürlich direkt auf der Domänenebene (unter die DefaultDomainPolicy) verknüpfen ... aber eleganter ist eine OU allemal.
@Onitnarat:
Danke für den Hinweis.
Aber dann sei doch bitte noch so lieb und erkläre mir,
wie / wo ich das GRO einrichten muss, damit es greift.
Eine OU brauche ich auch nicht unbedingt dafür.
Muss die Verknüpfung dann einfach unter Computers erfolgen?
Danke für den Hinweis.
Aber dann sei doch bitte noch so lieb und erkläre mir,
wie / wo ich das GRO einrichten muss, damit es greift.
Eine OU brauche ich auch nicht unbedingt dafür.
Muss die Verknüpfung dann einfach unter Computers erfolgen?
Zitat von @coltseavers:
Aber dann sei doch bitte noch so lieb und erkläre mir,
wie / wo ich das GRO einrichten muss, damit es greift.
Muss die Verknüpfung dann einfach unter Computers erfolgen?
Aber dann sei doch bitte noch so lieb und erkläre mir,
wie / wo ich das GRO einrichten muss, damit es greift.
Muss die Verknüpfung dann einfach unter Computers erfolgen?
Wenn das unter SBS geht, dann wäre das die Lösung. Ob es geht, mußt Du ausprobieren, ich habe keinen SBS, um es nachvollziehen zu können. Mit dem normalen Server 2008 Standard geht es nicht.
Wenn Du auf "Computers" kein GPO verknüpfen kannst, mußt Du es direkt auf der Domänenebene tun. Also in der Baumstruktur des "GroupPolicyManagement" Gesamtstruktur XY -> Domänen -> Domäne XY. Dort findest Du bereits die DefaultDomainPolicy verknüpft und kannst weitere GPOs hinzufügen. Jedenfalls ist das beim "großen" Server so, wenn es beim SBS so nicht geht, dann bitte ich Onitnarat, noch mal Einspruch zu erheben ...
Hallo,
ok, dann lege ich das erstmal direkt in der Domäne ab.
Aber irgendwie muss ich ja auch auf nem SBS mit OUs arbeiten können, denn ich kann sie ja schließlich auch anlegen.
Ist aber auch immer wieder ärgerlich, dass beim SBS alles ein wenig anders ist, dies aber nirgends vernünftig dokumentiert und mit nem einfachen Beispiel erklärt wird.
Besonders Letzteres vermisse ich oft im Technet von M$.
Werde ja schließlich nicht der einzige Admin sein, der auf nem SBS ein GRO nur für bestimmte Computer einrichten möchte.
ok, dann lege ich das erstmal direkt in der Domäne ab.
Aber irgendwie muss ich ja auch auf nem SBS mit OUs arbeiten können, denn ich kann sie ja schließlich auch anlegen.
Ist aber auch immer wieder ärgerlich, dass beim SBS alles ein wenig anders ist, dies aber nirgends vernünftig dokumentiert und mit nem einfachen Beispiel erklärt wird.
Besonders Letzteres vermisse ich oft im Technet von M$.
Werde ja schließlich nicht der einzige Admin sein, der auf nem SBS ein GRO nur für bestimmte Computer einrichten möchte.
Hallo zusammen,
jetzt nochmal für Dummies (zur Erinnerung: es geht um einen Small Business Server 2008):
1)
Wenn ich ein GRO direkt mit der Domäne verknüpfe, es aktiviere und erzwinge, werden alle Benutzer und Computer angesprochen, die sich in der Domäne befinden und auf die das GRO zutrifft - korrekt?
2)
Wenn ich direkt unter der Domäne eine Organisationseinheit "alle Abteilungen" erstelle, und die Verknüpfung statt direkt mit der Domäne nun mit der Organisationseinheit vornehme, werden nach wie die gleichen Benutzer und Computer angesprochen, wie unter 1) zuvor auch - korrekt?
3)
Wenn ich jetzt in der Organisationseinheit "alle Abteilungen" eine Unter-Organisationseinheit "Vertrieb" erstelle, wie kann ich dann erreichen, dass die dort gemachten GRO-Verknüpfungen sich wirklich nur auf Computer und User aus der Vertriebs-Abteilung auswirken? Wo kann ich also einstellen, welche Computer und User zu einer Organisationseinheit gehören?
Diesen Punkt bitte besonders ausführlich und passend für einen SBS erklären, weil genau diese Stelle verstehe ich momentan noch nicht.
Mir fehlt quasi eine Liste, aus der ich die Computer und User der Domäne auswählen kann und z.B. sagen kann User "Müller" gehört zu OU "Vertrieb".
Vielen Dank vorab!
jetzt nochmal für Dummies (zur Erinnerung: es geht um einen Small Business Server 2008):
1)
Wenn ich ein GRO direkt mit der Domäne verknüpfe, es aktiviere und erzwinge, werden alle Benutzer und Computer angesprochen, die sich in der Domäne befinden und auf die das GRO zutrifft - korrekt?
2)
Wenn ich direkt unter der Domäne eine Organisationseinheit "alle Abteilungen" erstelle, und die Verknüpfung statt direkt mit der Domäne nun mit der Organisationseinheit vornehme, werden nach wie die gleichen Benutzer und Computer angesprochen, wie unter 1) zuvor auch - korrekt?
3)
Wenn ich jetzt in der Organisationseinheit "alle Abteilungen" eine Unter-Organisationseinheit "Vertrieb" erstelle, wie kann ich dann erreichen, dass die dort gemachten GRO-Verknüpfungen sich wirklich nur auf Computer und User aus der Vertriebs-Abteilung auswirken? Wo kann ich also einstellen, welche Computer und User zu einer Organisationseinheit gehören?
Diesen Punkt bitte besonders ausführlich und passend für einen SBS erklären, weil genau diese Stelle verstehe ich momentan noch nicht.
Mir fehlt quasi eine Liste, aus der ich die Computer und User der Domäne auswählen kann und z.B. sagen kann User "Müller" gehört zu OU "Vertrieb".
Vielen Dank vorab!
Zitat von @coltseavers:
1)
Wenn ich ein GRO direkt mit der Domäne verknüpfe, es aktiviere und erzwinge, werden alle Benutzer und Computer angesprochen, die sich in der Domäne befinden und auf die das GRO zutrifft - korrekt?
1)
Wenn ich ein GRO direkt mit der Domäne verknüpfe, es aktiviere und erzwinge, werden alle Benutzer und Computer angesprochen, die sich in der Domäne befinden und auf die das GRO zutrifft - korrekt?
Korrekt!
2)
Wenn ich direkt unter der Domäne eine Organisationseinheit "alle Abteilungen" erstelle, und die Verknüpfung statt direkt mit der Domäne nun mit der Organisationseinheit vornehme, werden nach wie die gleichen Benutzer und Computer angesprochen, wie unter 1) zuvor auch - korrekt?
Wenn ich direkt unter der Domäne eine Organisationseinheit "alle Abteilungen" erstelle, und die Verknüpfung statt direkt mit der Domäne nun mit der Organisationseinheit vornehme, werden nach wie die gleichen Benutzer und Computer angesprochen, wie unter 1) zuvor auch - korrekt?
Nein, sondern nur die Benutzer und Computer, deren Konten sich in der OU "Alle Abteilungen" befinden. Das gilt auch für Benutzer und Computer, die sich in einer OU befinden, die sich ihrerseits wieder in der OU "Alle Abteilungen" befindet. Aber nicht beispielsweise für die Benutzerkonten in "Users" oder die Computerkonten in "Computers".
3)
Wenn ich jetzt in der Organisationseinheit "alle Abteilungen" eine Unter-Organisationseinheit "Vertrieb" erstelle, wie kann ich dann erreichen, dass die dort gemachten GRO-Verknüpfungen sich wirklich nur auf Computer und User aus der Vertriebs-Abteilung auswirken?
Wenn ich jetzt in der Organisationseinheit "alle Abteilungen" eine Unter-Organisationseinheit "Vertrieb" erstelle, wie kann ich dann erreichen, dass die dort gemachten GRO-Verknüpfungen sich wirklich nur auf Computer und User aus der Vertriebs-Abteilung auswirken?
Indem die Benutzerkonten der Vertriebsmitarbeiter und die Computerkonten der dort verwendeten Rechner sich in der OU "Vertrieb" oder einer darin befindlichen OU befinden.
Wo kann ich also einstellen, welche Computer und User zu einer Organisationseinheit gehören?
Diesen Punkt bitte besonders ausführlich und passend für einen SBS erklären, weil genau diese Stelle verstehe ich momentan noch nicht.
Diesen Punkt bitte besonders ausführlich und passend für einen SBS erklären, weil genau diese Stelle verstehe ich momentan noch nicht.
Da muß ich halt passen, da mir kein SBS zur Verfügung steht.
Hi.
Du solltest zuerst einmal wissen, welche Richtlinien für das Windows Update zuständig sind. Führe dazu auf einem Client rsop.msc aus, dann siehst du den Namen der Gruppenrichtlinie bzw. Richtlinien.
Mit diesen Infos sollte es dir möglich sein eine neue angepasste Gruppenrichtlinie zu erstellen und mit der angelegten OU zu verknüpfen.
LG Günther
Du solltest zuerst einmal wissen, welche Richtlinien für das Windows Update zuständig sind. Führe dazu auf einem Client rsop.msc aus, dann siehst du den Namen der Gruppenrichtlinie bzw. Richtlinien.
Mit diesen Infos sollte es dir möglich sein eine neue angepasste Gruppenrichtlinie zu erstellen und mit der angelegten OU zu verknüpfen.
LG Günther
@günther
Die Richtlinie, die ich herausgesucht habe, habe ich doch ganz am Anfanfg erwähnt. Wenn ich sie erzwinge, sollte es doch gehen, oder?
Wer kann mir bitte Punkt 3 meiner Frage beantworten?
Ich hab keine Ahnung, wie ich Benutzer oder Computer einer OU zuordnen kann.
Die Computer und User sind einzeln in der Gruppenrichtlinienverwaltung nirgends aufgelistet, noch kann ich erkennen, wie ich sie einer OU zuordnen könnte. Ich kann eine OU lediglich erstellen, aber sonst kann ich dort ja fast nichts einstellen/editieren?!
Die Richtlinie, die ich herausgesucht habe, habe ich doch ganz am Anfanfg erwähnt. Wenn ich sie erzwinge, sollte es doch gehen, oder?
Wer kann mir bitte Punkt 3 meiner Frage beantworten?
Ich hab keine Ahnung, wie ich Benutzer oder Computer einer OU zuordnen kann.
Die Computer und User sind einzeln in der Gruppenrichtlinienverwaltung nirgends aufgelistet, noch kann ich erkennen, wie ich sie einer OU zuordnen könnte. Ich kann eine OU lediglich erstellen, aber sonst kann ich dort ja fast nichts einstellen/editieren?!
Zitat von @coltseavers:
Ich hab keine Ahnung, wie ich Benutzer oder Computer einer OU zuordnen kann.
Die Computer und User sind einzeln in der Gruppenrichtlinienverwaltung nirgends aufgelistet, noch kann ich erkennen, wie ich sie einer OU zuordnen könnte.
Ich hab keine Ahnung, wie ich Benutzer oder Computer einer OU zuordnen kann.
Die Computer und User sind einzeln in der Gruppenrichtlinienverwaltung nirgends aufgelistet, noch kann ich erkennen, wie ich sie einer OU zuordnen könnte.
Das geht auch nicht über die Gruppenrichtlinienverwaltung, sondern über "Active Directory Benutzer und Computer". Zumindest macht man das damit beim "großen" Server. Vielleicht kann sich Onitnarat ja noch mal melden. Der hat ja geschrieben, daß man das beim SBS nicht kann bzw. der SBS das nicht mag. Dann sollte er auch wissen, wie es beim SBS stattdessen geht.
Zitat von @SarekHL:
> Zitat von @coltseavers:
> ----
> Ich hab keine Ahnung, wie ich Benutzer oder Computer einer OU zuordnen kann.
> Die Computer und User sind einzeln in der Gruppenrichtlinienverwaltung nirgends aufgelistet, noch kann ich erkennen, wie ich
sie einer OU zuordnen könnte.
Das geht auch nicht über die Gruppenrichtlinienverwaltung, sondern über "Active Directory Benutzer und
Computer".
> Zitat von @coltseavers:
> ----
> Ich hab keine Ahnung, wie ich Benutzer oder Computer einer OU zuordnen kann.
> Die Computer und User sind einzeln in der Gruppenrichtlinienverwaltung nirgends aufgelistet, noch kann ich erkennen, wie ich
sie einer OU zuordnen könnte.
Das geht auch nicht über die Gruppenrichtlinienverwaltung, sondern über "Active Directory Benutzer und
Computer".
Ahhhh!
Da fällt der Groschen doch so langsam! Und plötzlich ergibt alles einen Sinn.
(Nur komisch, dass man dann in der Gruppenrichtlinienverwaltung OUs einrichten kann - wäre ja viel logischer, wenn diese einfach aus dem AD 1:1 übernommen würden, oder?)
Egal - dann werd ich das in den nächsten Tagen / Wochen einfach mal vorsichtig ausprobieren, und gffs nochmal posten.
VIELEN DANK soweit!
Gruß,
Colt Seavers
Zitat von @coltseavers:
Da fällt der Groschen doch so langsam! Und plötzlich ergibt alles einen Sinn.
Da fällt der Groschen doch so langsam! Und plötzlich ergibt alles einen Sinn.
So ganz ist er offenbar doch noch nicht gefallen ;)
(Nur komisch, dass man dann in der Gruppenrichtlinienverwaltung OUs einrichten kann - wäre ja viel logischer, wenn diese einfach aus dem AD 1:1 übernommen würden, oder?)
"Das AD" ist eine Datenbank auf Deinem Server. Und dann gibt es da verschiedene Konfigurationswerkzeuge, um darauf zuzugreifen. Eines davon ist die Gruppenrichtlinienverwaltung, ein anderes ist "Active Directory Benutzer und Computer" und es gibt noch diverse andere.
Also greifen sowohl die Gruppenrichtlinenverwaltung als auch die Benutzer- und Computerverwaltung auf Dein AD zu. Da sie aber jeweils für verschiedene Aufgaben gedacht sind, kann eben nicht jedes dieser Tools alles. Computerkonten in OUs verschieben gehört zur Benutzer- und Computerverwaltung, Gruppenrichtlinine anlegen und Verknüpfen gehört zur Gruppenrichtlinienverwaltung.
Und daß man mit der Gruppenrichtlinienverwaltung auch OUs anlegen kann ist konsequent, da GPOs immer nur auf OUs angewendet werden können. Wenn also jemand ein GPO anlegt, macht es Sinn, daß er auch gleich die OU anlegen kann, auf die das GPO wirken soll. Aber natürlich findest Du die OUs, die Du mit der Gruppenrichtlinienverwaltung angelegt hast auch in Deiner Benutzer- und Computerverwaltung wieder, wenn Du die das nächste Mal öffnest.
Zitat von @SarekHL:
> Zitat von @coltseavers:
> ----
> Da fällt der Groschen doch so langsam! Und plötzlich ergibt alles einen Sinn.
So ganz ist er offenbar doch noch nicht gefallen ;)
> Zitat von @coltseavers:
> ----
> Da fällt der Groschen doch so langsam! Und plötzlich ergibt alles einen Sinn.
So ganz ist er offenbar doch noch nicht gefallen ;)
Doch doch - alles klar
> (Nur komisch, dass man dann in der Gruppenrichtlinienverwaltung OUs einrichten kann - wäre ja viel logischer, wenn diese
einfach aus dem AD 1:1 übernommen würden, oder?)
"Das AD" ist eine Datenbank auf Deinem Server. Und dann gibt es da verschiedene Konfigurationswerkzeuge, um darauf
zuzugreifen. Eines davon ist die Gruppenrichtlinienverwaltung, ein anderes ist "Active Directory Benutzer und Computer"
und es gibt noch diverse andere.
Also greifen sowohl die Gruppenrichtlinenverwaltung als auch die Benutzer- und Computerverwaltung auf Dein AD zu. Da sie aber
jeweils für verschiedene Aufgaben gedacht sind, kann eben nicht jedes dieser Tools alles. Computerkonten in OUs verschieben
gehört zur Benutzer- und Computerverwaltung, Gruppenrichtlinine anlegen und Verknüpfen gehört zur
Gruppenrichtlinienverwaltung.
ist mir alles klar - aber dennoch "vielen Dank!" dafür, dasich hier nur wenige User die Mühe machen mal etwas ausführlich und nachvollziebar zu erklären.
Und daß man mit der Gruppenrichtlinienverwaltung auch OUs anlegen kann ist konsequent, da GPOs immer nur auf OUs angewendet
werden können.
Absolut sicher? Ich kann ein GRO doch auch direkt in die Domäne legen - zumindest hab ich das jetzt erstmal gemacht, damit das GRO auch sicher greift.werden können.
Wenn also jemand ein GPO anlegt, macht es Sinn, daß er auch gleich die OU anlegen kann, auf die das GPO
wirken soll. Aber natürlich findest Du die OUs, die Du mit der Gruppenrichtlinienverwaltung angelegt hast auch in Deiner
Benutzer- und Computerverwaltung wieder, wenn Du die das nächste Mal öffnest.
wirken soll. Aber natürlich findest Du die OUs, die Du mit der Gruppenrichtlinienverwaltung angelegt hast auch in Deiner
Benutzer- und Computerverwaltung wieder, wenn Du die das nächste Mal öffnest.
Genau hier sehe ich keine Logik drin: Ich kann ja schlecht in der Gruppenrichtlinienverwaltung (GRV) eine OU anlegen und damit dann was anstellen, OHNE dass ich anschliessend erst noch im AD entsprechende Computer- und User-Zuweisungen in die OU vornehme, korrekt? Genau das war ja auch der Grund, warum ich nicht weitergekommen bin.
Was nützt mir eine OU in der GRv, wenn sie im AD nicht existiert und zugeordnet ist?
Also wäre folgende Arbeitsreihenfolge doch viel logischer:
Erst im AD die User und Computer in OUs einteilen, dann in die GRV gehen, welche die OUs 1:1 übernimmt, um dann die gewünschten GRO mit den einzelnen OUs zu verknüpfen. (Zumindest in meinem Kopf macht diese Arbeitsreihenfolge deutlich mehr Sinn).
Dann spart man sich das Anlegen von OU in der GRV komplett, weil nur durch das Anlegen habe ich ja eh nichts erreicht.
Aber gut - ich glaube wir meinen fachlich inzwischen das gleiche. Wo jetzt welche Funktion zu finden sein sollte sieht vermutlich jeder Admin etwas anders.
Bleibt nur noch die Frage, wo in diesem Zusammenhang die Unterschiede zwischen SBS und "Vollprodukt" sind.
Aber kann mir kaum vorstellen, dass solch grundlegende Dinge unterschiedlich gelöst sind. Ausserdem kann ich OUs ja auch beim SBS anlegen. Was würde das für einen Sinn machen, wenn ich anschliessend keine Computer dahin verschieben kann...
Ich probiers mal mit nem Praktikanten-Rechner aus - und mache daran mein GRV-Praktikum!
Vielen Dank nochmal!
Zitat von @coltseavers:
Was nützt mir eine OU in der GRv, wenn sie im AD nicht existiert und zugeordnet ist?
Was nützt mir eine OU in der GRv, wenn sie im AD nicht existiert und zugeordnet ist?
Das ist der Punkt, den Du offenbar noch nicht verstanden hast. Wenn Du die OU über die Gruppenrichtlinienverwaltung anlegst, existiert sie im AD!
Aber richtig ist, daß man sie dann noch füllen muß. Das ist im "großen" Server auch gar kein Problem, da kann ich ein Computerkonto problemlos von einer OU in die andere schieben. Warum das im SBS nicht gehen soll, verstehe auch ich nicht - es wäre widersinnig.
Erst im AD die User und Computer in OUs einteilen, dann in die GRV gehen, welche die OUs 1:1 übernimmt,
Gewöhn Dir an, es richtig zu benennen, dann ist es auch leichter, die Zusammenhänge zu verstehen. Die Gruppenrichtlinienverwaltung übernimmt die OUs nicht aus dem AD, sondern sie greift auf das AD zu. Es ist ein- und dieselbe Datenbank, auf die sowohl das Tool "Benutzer und Computer" als auch das Tool "Gruppenrichtlinienverwaltung" lesen und schreibend zugreifen.
Dann spart man sich das Anlegen von OU in der GRV komplett, weil nur durch das Anlegen habe ich ja eh nichts erreicht.
Wenn ein einzelner Admin alles macht, dann wäre Deine Reihenfolge sicher richtig. Ich mache es persönlich auch so. Aber ich verwalte mein Netzwerk eben auch allein.
Bleibt nur noch die Frage, wo in diesem Zusammenhang die Unterschiede zwischen SBS und "Vollprodukt" sind.
Ich habe zwar keinen SBS zu betreuen, aber das würde mich auch sehr interessieren ...
Ich probiers mal mit nem Praktikanten-Rechner aus - und mache daran mein GRV-Praktikum!
Du machst ein Praktikum? Dann solltest Du Dir das eigentlich selbst erarbeiten ;)
