91863
Jul 30, 2013, updated at 16:59:14 (UTC)
4670
8
0
Server 2012 - Gruppen auf Gruppenrichtlinie ziehen nicht.
Hallo,
hat das schon wer auf Server 2012 gesehen. Auf Server 2003 , 2008 etc.. definiere ich eine GPO , weise die einer OU zu , oder setze die auf die Root der Gesamten AD und die lauft. Nun nehme ich bei Selected Filter anstatt "Authenticated Users" eine Gruppe , und nur die die die Gruppe haben , bekommen die GPO ausgeführt.
Nun mache ich das gleiche bei Server 2012 , habe eine OU mit Namen Verwaltung , darin ist eine Gruppe Verwaltung. Definiere nun eine GPO die Laufwerke zuweist. Weise der GPO die Gruppe Verwaltung zu . Aber es geht nicht. Macht man nun ein GPresult zeigt es aber die GPO an.
(Benutze ich einen User in der OU und Authenticated Users geht es. Habe auch GPO auf Root gesetzt, das die in der ganzen AD aktiv ist, zum testen. Aber Gruppen funktionieren nicht.)
Kennt das jemand ?
Gruss
Ralf
hat das schon wer auf Server 2012 gesehen. Auf Server 2003 , 2008 etc.. definiere ich eine GPO , weise die einer OU zu , oder setze die auf die Root der Gesamten AD und die lauft. Nun nehme ich bei Selected Filter anstatt "Authenticated Users" eine Gruppe , und nur die die die Gruppe haben , bekommen die GPO ausgeführt.
Nun mache ich das gleiche bei Server 2012 , habe eine OU mit Namen Verwaltung , darin ist eine Gruppe Verwaltung. Definiere nun eine GPO die Laufwerke zuweist. Weise der GPO die Gruppe Verwaltung zu . Aber es geht nicht. Macht man nun ein GPresult zeigt es aber die GPO an.
(Benutze ich einen User in der OU und Authenticated Users geht es. Habe auch GPO auf Root gesetzt, das die in der ganzen AD aktiv ist, zum testen. Aber Gruppen funktionieren nicht.)
Kennt das jemand ?
Gruss
Ralf
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 212907
Url: https://administrator.de/contentid/212907
Printed on: April 25, 2024 at 06:04 o'clock
8 Comments
Latest comment
Hallo Ralf,
ich habe dazu etwas interessantes gefunden:
Quelle: http://www.petri.co.il/forums/showthread.php?t=63289
Grüße,
Dani
ich habe dazu etwas interessantes gefunden:
That's not how GPO filtering works. GPO's don't process against security groups, they process against users and computers. Security Filtering allows you to "scope" the GPO so that it applies only to users who are members of the security group in your filter. You need to link the GPO to the OU where the user objects are and then the security filter applies the GPO to only members of that security group.
Grüße,
Dani
Hoi Dani ,
habe das mal gelesen auch TechNet. Ist ja das was ich mache ! Sehe nicht den Unterschied ganz.
1. create Security Group (Global)
Wurde erstellt und User hinzugefügt !
2. Add members to security Group
Wie oben erwähnt User drinnen.
3. Create OU
OU Verwaltung vorhanden
4. Create GPO
GPO Verwaltung wurde erstellt !
5. Assign GPO to OU
Wurde verknüpft !
6. Move Security Group into OU
Gruppe Verwaltung befindet sich auch in OU !
7. In Delegation Tab>Advanced > de-select "Apply Group Policy" to Authenticated Users (leave read permission
Autghenticated User habe ich entfernt ! Eventuell ist hier ein Fehler !
8. Add security Group in Delegation >Advanced >Apply Group Policy and read permissions.
Im Securioty Filter wurde Gruppe Verwaltung hinzugefügt !
9. Verify Security Group is in Scope
Nicht ganzu klar das hier !
Komme im Moment nicht an den Rechner , da er woanderst steht. Aber ich habe eben auf einem 2008er geschaut. Da ist dann die Gruppe einfach wie hier im Bild eingetragen !
Ist nicht die Verwaltung von der ich Rede !!
Und die Globale Security Group genau in der OU wo auch GPO ist
Genau auf Server 2012 alles gleich nur mit Verwaltung als Name ! Auf anderen Systemen 100 fach gemacht ! Und hier geht es nicht ! Vermute das es was mit 2012 zu tun hat !
Gruss
Ralf
Ein Satz heisst : That's not how GPO filtering works. GPO's don't process against security groups, they process against users and computers. Security Filtering allows you to "scope" the GPO so that it applies only to users who are members of the security group in your filter. You need to link the GPO to the OU where the user objects are and then the security filter applies the GPO to only members of that security group.
Das würde heissen es müssten sich in der GPO auch die User Account befinden unterhalt der GPO ! Aber wenn ich Verwaltung GPO auf Root setzte, so das ganz AD betroffen ist, warum geht es dann nicht ?
habe das mal gelesen auch TechNet. Ist ja das was ich mache ! Sehe nicht den Unterschied ganz.
1. create Security Group (Global)
Wurde erstellt und User hinzugefügt !
2. Add members to security Group
Wie oben erwähnt User drinnen.
3. Create OU
OU Verwaltung vorhanden
4. Create GPO
GPO Verwaltung wurde erstellt !
5. Assign GPO to OU
Wurde verknüpft !
6. Move Security Group into OU
Gruppe Verwaltung befindet sich auch in OU !
7. In Delegation Tab>Advanced > de-select "Apply Group Policy" to Authenticated Users (leave read permission
Autghenticated User habe ich entfernt ! Eventuell ist hier ein Fehler !
8. Add security Group in Delegation >Advanced >Apply Group Policy and read permissions.
Im Securioty Filter wurde Gruppe Verwaltung hinzugefügt !
9. Verify Security Group is in Scope
Nicht ganzu klar das hier !
Komme im Moment nicht an den Rechner , da er woanderst steht. Aber ich habe eben auf einem 2008er geschaut. Da ist dann die Gruppe einfach wie hier im Bild eingetragen !
Ist nicht die Verwaltung von der ich Rede !!
Und die Globale Security Group genau in der OU wo auch GPO ist
Genau auf Server 2012 alles gleich nur mit Verwaltung als Name ! Auf anderen Systemen 100 fach gemacht ! Und hier geht es nicht ! Vermute das es was mit 2012 zu tun hat !
Gruss
Ralf
Ein Satz heisst : That's not how GPO filtering works. GPO's don't process against security groups, they process against users and computers. Security Filtering allows you to "scope" the GPO so that it applies only to users who are members of the security group in your filter. You need to link the GPO to the OU where the user objects are and then the security filter applies the GPO to only members of that security group.
Das würde heissen es müssten sich in der GPO auch die User Account befinden unterhalt der GPO ! Aber wenn ich Verwaltung GPO auf Root setzte, so das ganz AD betroffen ist, warum geht es dann nicht ?
You need to link the GPO to the OU where the user objects are and then the security filter applies the GPO to only members of that security group.
Sind die Benutzer in der OU?
Grüße
Sind die Benutzer in der OU?
Grüße
Hoi.
ich hatte heute mal getestet. Da war Sicherheitsgruppe in OU , in der Globalen Gruppe war Admin drinnen. Admin auch separat in OU dann ging es. Admin zurück verschoben , dann ging es nicht mehr. Er benötigt wohl die User + Gruppe . Aber warum geht es dann nicht , wenn GPO auf der Root steht !
Die Benutzer können aber wie es aussieht in der OU noch unterhalb einer OU sein. So ist das in den Printscreens auf dem anderen System
Gruss
Ralf
ich hatte heute mal getestet. Da war Sicherheitsgruppe in OU , in der Globalen Gruppe war Admin drinnen. Admin auch separat in OU dann ging es. Admin zurück verschoben , dann ging es nicht mehr. Er benötigt wohl die User + Gruppe . Aber warum geht es dann nicht , wenn GPO auf der Root steht !
Die Benutzer können aber wie es aussieht in der OU noch unterhalb einer OU sein. So ist das in den Printscreens auf dem anderen System
Gruss
Ralf
Moin Ralf,
heißt das nun es funktioniert oder nach wie vor das gleiche Problem?
Grüße,
Dani
heißt das nun es funktioniert oder nach wie vor das gleiche Problem?
Grüße,
Dani
Hoi,
in dem Fall muss es eigentlich funktionieren. Ich teste es später nochmals. Gut wäre , wenn die GPO`s auch auf der Root stehen könnten für gesamte Domäne.
Müsste eigentlich gehen. Hatte ja gestern den Fall , da war Gruppe Verwaltung und Administrator (Mitglied Gruppe Verwaltung ) in der gleichen Ou , dann ging es mal ! Werde Feedback geben am Mittag !
Bisher hatte ich immer Active Directory`s die einfach strukturiert waren OU = Firma und darunter die OU`s wie User , Computer etc... Darum ging es immer mit Gruppen !
Gruss
Ralf
in dem Fall muss es eigentlich funktionieren. Ich teste es später nochmals. Gut wäre , wenn die GPO`s auch auf der Root stehen könnten für gesamte Domäne.
Müsste eigentlich gehen. Hatte ja gestern den Fall , da war Gruppe Verwaltung und Administrator (Mitglied Gruppe Verwaltung ) in der gleichen Ou , dann ging es mal ! Werde Feedback geben am Mittag !
Bisher hatte ich immer Active Directory`s die einfach strukturiert waren OU = Firma und darunter die OU`s wie User , Computer etc... Darum ging es immer mit Gruppen !
Gruss
Ralf
Hoi ,
es geht nun. Was wohl noch ein Problem war. Ein Kollege hatte innerhalb der Policy für Netzlaufwerke noch "Item Targeting" aktiviert und hier die Gruppe Verwaltung gewählt ! Ich hatte ja zum testen gestern den User Administrator in die Gruppe Verwaltung getan. Dann ging es erst nicht.
Da der User in der Standarderstellten OU "user" ist. Hier sind keine Policies aktiv. Als ich ihn in die OU verschob Verwalötung ging es. Da es ja heisst:
Ein Satz heisst : That's not how GPO filtering works. GPO's don't process against security groups, they process against users and computers. Security Filtering allows you to "scope" the GPO so that it applies only to users who are members of the security group in your filter. You need to link the GPO to the OU where the user objects are and then the security filter applies the GPO to only members of that security Group
Nun habe ich mal die GPO auf die Root gesetzt, das im ganzen AD Sie aktiv ist. Den User Administrator in eine ganz andere OU getan "Pfege" und die Gruppe Verwaltung in die "Verwaltung" und es geht !
Es muss in dem Fall nicht immer der User genau in der OU sein , wo auch die Gruppe ist. Wichtig ist, das die GPO die wohl findet ! Sonst müsste ich immer die User genau im jeweiligen Bereich erstellen.
Gruss
Ralf
es geht nun. Was wohl noch ein Problem war. Ein Kollege hatte innerhalb der Policy für Netzlaufwerke noch "Item Targeting" aktiviert und hier die Gruppe Verwaltung gewählt ! Ich hatte ja zum testen gestern den User Administrator in die Gruppe Verwaltung getan. Dann ging es erst nicht.
Da der User in der Standarderstellten OU "user" ist. Hier sind keine Policies aktiv. Als ich ihn in die OU verschob Verwalötung ging es. Da es ja heisst:
Ein Satz heisst : That's not how GPO filtering works. GPO's don't process against security groups, they process against users and computers. Security Filtering allows you to "scope" the GPO so that it applies only to users who are members of the security group in your filter. You need to link the GPO to the OU where the user objects are and then the security filter applies the GPO to only members of that security Group
Nun habe ich mal die GPO auf die Root gesetzt, das im ganzen AD Sie aktiv ist. Den User Administrator in eine ganz andere OU getan "Pfege" und die Gruppe Verwaltung in die "Verwaltung" und es geht !
Es muss in dem Fall nicht immer der User genau in der OU sein , wo auch die Gruppe ist. Wichtig ist, das die GPO die wohl findet ! Sonst müsste ich immer die User genau im jeweiligen Bereich erstellen.
Gruss
Ralf
Kurz gesagt heisst das:
Die GPO muss in dem Bereich aktiv sein, das User auch gefunden werden, um dann die Gruppe als Filter nutzen zu können.
Gruss
Ralf
Die GPO muss in dem Bereich aktiv sein, das User auch gefunden werden, um dann die Gruppe als Filter nutzen zu können.
Gruss
Ralf
