Discussion:
Grundsätzliches Verständnisproblem bei GPO
(zu alt für eine Antwort)
Michael
2010-04-30 07:05:39 UTC
Permalink
Ich denke ich habe eine grundsätzliches Verständnisproblem bei GPO

GPO = GROUP Policy Object .. Hat also doch was mit Gruppen zu tun wie der
Name schon sagt.
Warum muss ich sowas also eigentlich immer mit einer OU Verlinken in die ich
dann z.b einen Computer aus einer andern OU schieben muss damits
funktioniert?
Warum kann ich nicht einfach eine Gruppe machen die in meiner verlinken OU
liegt die dann als als Member den besagten Computer hat damit die GPO
gezogen wird für diesen Computer gezogen wird?

Warum die Frage überhaupt:

Ich will gezielt steuern User- oder Computerabhängig wer welche GPO bekommt.
Wie mache ich das also am besten ?
Evtl dadurch das ich die GPO erstmal allen in einer OU zum kommen lass und
dann Per Sicherheitsfilter beim Gruppenrichtlinienobject eintrage wer es nur
bekommt? Ist das die übliche Praxis?

Beispiel Computer A soll Drucker B per GPO bekommen , oder User A soll
Drucker B per GPO bekommen
Winfried Sonntag [MVP]
2010-04-30 07:25:02 UTC
Permalink
Post by Michael
GPO = GROUP Policy Object .. Hat also doch was mit Gruppen zu tun wie der
Name schon sagt.
Warum muss ich sowas also eigentlich immer mit einer OU Verlinken in die ich
dann z.b einen Computer aus einer andern OU schieben muss damits
funktioniert?
Weil Gruppenrichtlinien nicht auf Gruppen wirken. ;)
Post by Michael
Warum kann ich nicht einfach eine Gruppe machen die in meiner verlinken OU
liegt die dann als als Member den besagten Computer hat damit die GPO
gezogen wird für diesen Computer gezogen wird?
Weil Gruppenrichtlinien nicht auf Gruppen wirken. ;)
Post by Michael
Ich will gezielt steuern User- oder Computerabhängig wer welche GPO bekommt.
Wie mache ich das also am besten ?
Ich würde es per Sicherheitsfilterung machen.
Post by Michael
Evtl dadurch das ich die GPO erstmal allen in einer OU zum kommen lass und
dann Per Sicherheitsfilter beim Gruppenrichtlinienobject eintrage wer es nur
bekommt? Ist das die übliche Praxis?
Ich hab das bisher so bei mir gemacht.
Post by Michael
Beispiel Computer A soll Drucker B per GPO bekommen , oder User A soll
Drucker B per GPO bekommen
Dafür verwende ich immer noch ein kleines feines Batch Script.
http://www.gruppenrichtlinien.de/HowTo/Anmelde_Scripts.htm

Servus
Winfried
--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
GPO's: http://www.gruppenrichtlinien.de
Gruppenrichtlinien Mailingliste "gpupdate":
http://frickelsoft.net/cms/index.php?page=mailingliste
Michael
2010-04-30 11:52:48 UTC
Permalink
Hallo,
Post by Winfried Sonntag [MVP]
Post by Michael
Evtl dadurch das ich die GPO erstmal allen in einer OU zum kommen lass und
dann Per Sicherheitsfilter beim Gruppenrichtlinienobject eintrage wer es nur
bekommt? Ist das die übliche Praxis?
Ich hab das bisher so bei mir gemacht.
Bei mir funktinoniert das garnicht .. egal ob ich direkt einen User angebe
oder eine Group die den User beinhaltet
Die GPO wird nur gezogen wenn ich dort authentifizierte User als gruppe
stehn hab. Dann ist der Drucker da.
Was is da nun falsch?
Post by Winfried Sonntag [MVP]
Post by Michael
GPO = GROUP Policy Object .. Hat also doch was mit Gruppen zu tun wie der
Name schon sagt.
Warum muss ich sowas also eigentlich immer mit einer OU Verlinken in die ich
dann z.b einen Computer aus einer andern OU schieben muss damits
funktioniert?
Weil Gruppenrichtlinien nicht auf Gruppen wirken. ;)
Post by Michael
Warum kann ich nicht einfach eine Gruppe machen die in meiner verlinken OU
liegt die dann als als Member den besagten Computer hat damit die GPO
gezogen wird für diesen Computer gezogen wird?
Weil Gruppenrichtlinien nicht auf Gruppen wirken. ;)
Post by Michael
Ich will gezielt steuern User- oder Computerabhängig wer welche GPO bekommt.
Wie mache ich das also am besten ?
Ich würde es per Sicherheitsfilterung machen.
Post by Michael
Evtl dadurch das ich die GPO erstmal allen in einer OU zum kommen lass und
dann Per Sicherheitsfilter beim Gruppenrichtlinienobject eintrage wer es nur
bekommt? Ist das die übliche Praxis?
Ich hab das bisher so bei mir gemacht.
Post by Michael
Beispiel Computer A soll Drucker B per GPO bekommen , oder User A soll
Drucker B per GPO bekommen
Dafür verwende ich immer noch ein kleines feines Batch Script.
http://www.gruppenrichtlinien.de/HowTo/Anmelde_Scripts.htm
Servus
Winfried
--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
GPO's: http://www.gruppenrichtlinien.de
http://frickelsoft.net/cms/index.php?page=mailingliste
Winfried Sonntag [MVP]
2010-04-30 12:49:26 UTC
Permalink
Post by Michael
Post by Winfried Sonntag [MVP]
Post by Michael
Evtl dadurch das ich die GPO erstmal allen in einer OU zum kommen lass und
dann Per Sicherheitsfilter beim Gruppenrichtlinienobject eintrage wer es nur
bekommt? Ist das die übliche Praxis?
Ich hab das bisher so bei mir gemacht.
Bei mir funktinoniert das garnicht .. egal ob ich direkt einen User angebe
oder eine Group die den User beinhaltet
Die GPO wird nur gezogen wenn ich dort authentifizierte User als gruppe
stehn hab. Dann ist der Drucker da.
OUstandort
OUBenutzer
MeinBenutzer
MeineBenutzerGruppe (Der Benutzer MeinBenutzer ist Mitglied.)
OUComputer

Nun verlinkst Du die GPO auf die OU OUBenutzer. Du kannst natürlich auch
die GPO gleich auf die OU OUStandort verlinken. In der
Sicherheitsfilterung trägst Du die Gruppe MeineBenutzerGruppe ein. die
Benutzer- oder Computerobjekte müssen natürlich im Verwaltungsbereich
der GPO liegen. Die Gruppe muß nicht dort liegen. Wenn es eine
Computer-GPO ist, dann muß es genauso mit den Computerobjekten gemacht
werden.
Post by Michael
Was is da nun falsch?
Weiß ich nicht, vermutlich machst Du etwas falsch. Bei mir und bei
Millionen anderer funktionierts. ;) Sieh im Eventlog auf den Clients
nach und benutz auf dem Client RSOP.MSC. Damit siehst Du genau welche
GPOs mit welchen Einstellungen auf diesen Client/Benutzer wirken.

Servus
Winfried
--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
GPO's: http://www.gruppenrichtlinien.de
Gruppenrichtlinien Mailingliste "gpupdate":
http://frickelsoft.net/cms/index.php?page=mailingliste
Mark Heitbrink [MVP]
2010-04-30 12:29:11 UTC
Permalink
Hi,
Post by Michael
Die GPO wird nur gezogen wenn ich dort authentifizierte User als gruppe
stehn hab. Dann ist der Drucker da. Was is da nun falsch?
Keine Ahnung, ich weiss ja nicht mal was du tust.

Also:
"mahl" mal deine OU Struktur und GPO links auf, dann wird dir geholfen.

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate
Michael
2010-04-30 07:30:03 UTC
Permalink
UBS hab grad die FAQ's bei Gruppenrichtlinien.de entdeckt ..
Ich glaub da hilft mir die eine oder andere weiter .. ;-)

Dank und Gruss
Post by Michael
Ich denke ich habe eine grundsätzliches Verständnisproblem bei GPO
GPO = GROUP Policy Object .. Hat also doch was mit Gruppen zu tun wie der
Name schon sagt.
Warum muss ich sowas also eigentlich immer mit einer OU Verlinken in die
ich dann z.b einen Computer aus einer andern OU schieben muss damits
funktioniert?
Warum kann ich nicht einfach eine Gruppe machen die in meiner verlinken OU
liegt die dann als als Member den besagten Computer hat damit die GPO
gezogen wird für diesen Computer gezogen wird?
Ich will gezielt steuern User- oder Computerabhängig wer welche GPO
bekommt. Wie mache ich das also am besten ?
Evtl dadurch das ich die GPO erstmal allen in einer OU zum kommen lass und
dann Per Sicherheitsfilter beim Gruppenrichtlinienobject eintrage wer es
nur bekommt? Ist das die übliche Praxis?
Beispiel Computer A soll Drucker B per GPO bekommen , oder User A soll
Drucker B per GPO bekommen
Norbert Fehlauer [MVP]
2010-05-03 06:47:38 UTC
Permalink
"Michael" <***@invalid.com> schrieb
Moins,
Post by Michael
UBS hab grad die FAQ's bei Gruppenrichtlinien.de entdeckt ..
Ich glaub da hilft mir die eine oder andere weiter .. ;-)
Jupp Nr. 14 z.B. ;)

Bye
Norbert

Mark Heitbrink [MVP]
2010-04-30 12:27:39 UTC
Permalink
Hi,
GPO = GROUP Policy Object .. Hat also doch was mit Gruppen zu tun wie
der Name schon sagt.
Eher Nein, Gruppen dienen als Filter, können aber keine Richtlinien
übernehmen. Das können nur die Objekte: Computer und Benutzer

Die "gruppe" in "Group Policy" ist eher die OU in der eine
Gruppierung von Objekten steht.
Warum muss ich sowas also eigentlich immer mit einer OU Verlinken in die
ich dann z.b einen Computer aus einer andern OU schieben muss damits
funktioniert?
Weil es um den CN des Users geht, der steht in einer OU, die Objekte
aber in cn=systen,cN=policies
Warum kann ich nicht einfach eine Gruppe machen die in meiner verlinken
OU liegt die dann als als Member den besagten Computer hat damit die GPO
gezogen wird für diesen Computer gezogen wird?
Weil Gruppen keine Richtlinien übernehmen können, weil man dann
keinerlei Reihenfolge festlegen könnte. Anhand welches Kriteriums
sollten 2 Richtlinien nacheinanderlaufen, wenn der User in 2 Gruppen
Steckt?

Über die OU, deren Struktur und er Verlinkungsreihenfolge der GPOs
ist das defintiv festegelegt und es gibt kein Vertun.
Ich will gezielt steuern User- oder Computerabhängig wer welche GPO
bekommt. Wie mache ich das also am besten ?
OU = Meine Benutzer -> alle Benutzer
OU = Meine Computer -> alle Computer

http://www.gruppenrichtlinien.de/HowTo/Erste_Schritte_zum_erstellen_einer_Gruppenrichtlinie.htm

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate
Lesen Sie weiter auf narkive:
Loading...