Jump to content

GPOs in der Domäne - Einige Fragen; mit bitte um Erleuchtung


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Die XP-Rechner gibt's, weil ich mich leider noch nicht zerteilen und alles gleichzeitig machen kann. Der momentane Stress schlägt mir teils eh schon genug auf's Gemüt. Ich will das nicht zu sehr in die Breite ziehen.

 

Das waren ausschließlich XP-Rechner. Die Win7-Rechner haben den Schritt auf die "Default Domain Policy" anstandslos geschluckt. Für die waren ähnliche Richtlinien gesetzt.

Link zu diesem Kommentar

...Klingt bisher alles sehr wirr... Kenne ich so nicht, hab ich noch nie erlebt, keine Ahnung, was da genau schief ging. Aber ich lese aus den bisherigen Beiträgen grundlegende Schwächen im Vorgehen:

 

a) GPOs immer auf dem OS bearbeiten, für das sie gelten sollen (Ausnahme: Ich weiß genau, was ich tue...)

b) GPOs immer per WMI-Filter oder Sicherheitsgruppe auf das OS zielen, für das sie gelten sollen - und idealerweise IMMER kritische Einstellungen (wie Firewall) in OS-spezifische GPOs packen (Ausnahe siehe oben)

c) gpresult /h ist unser Freund

d) Individuelle Einstellungen gehören NIEMALS in die DDP, und alles, was nicht "Account Policy" ist, gehört nicht auf Domänenebene verknüpft

 

Fragen? Fragen!

Link zu diesem Kommentar

...Klingt bisher alles sehr wirr... Kenne ich so nicht, hab ich noch nie erlebt, keine Ahnung, was da genau schief ging. Aber ich lese aus den bisherigen Beiträgen grundlegende Schwächen im Vorgehen:

 

 

 

 
Es ist immer (finde ich) schwierig für einen Außenstehenden sich in so ein System reinzudenken. Ich sehe es selbst an anderer Stelle, wenn ich mal probiere jmd. online im KFZ-Bereich zu helfen. Man kann sich auch mal täuschen, weil man die genauen Gegebenheiten nicht kennt. Aber ich bin froh über eure Hilfe. Gestern war ich wirklich etwas aus dem Häuschen wegen der Sache. Kann deswegen sein, dass ich etwas wirr gewesen bin.

 

 

Zitat daabm - 17 Nov 2014 - 21:12:snapback.png

a) GPOs immer auf dem OS bearbeiten, für das sie gelten sollen (Ausnahme: Ich weiß genau, was ich tue...)

B) GPOs immer per WMI-Filter oder Sicherheitsgruppe auf das OS zielen, für das sie gelten sollen - und idealerweise IMMER kritische Einstellungen (wie Firewall) in OS-spezifische GPOs packen (Ausnahe siehe oben)

 

 

 

Mittlerweile bin ich aber mit dem Problem etwas weiter gekommen. Das Problem liegt offenbar an den Clients selbst. Die laufen nicht mehr so ganz sauber. (Un)sinnigerweise hatten einige XP-Clients heute die neuen Richtlinien ohne weiteres Zutun übernommen. Aber halt nicht alle der verbliebenen. Für mich stellt sich trotzdem die Frage, warum sie es getan haben. Ein Rücksetzen der Gruppenrichtlinen auf den Stand nach der Installation war bei denen nicht drin. Die Richtlinien wurden bei den "guten" Clients so verarbeitet, wie ich es in meiner Test-VM simuliert hatte.

 

 

c) gpresult /h ist unser Freund

d) Individuelle Einstellungen gehören NIEMALS in die DDP, und alles, was nicht "Account Policy" ist, gehört nicht auf Domänenebene verknüpft

 

Fragen? Fragen!

 

Eigentlich habe ich meine Vorgehensweise zur Strukturierung der GPOs schon etwas in Frage gestellt gehabt. Aber so ganz falsch scheine ich wohl nicht zu liegen, wenn ich sie OS-bezogen anwende.
 
Mit den gegebenen Werkzeugen hab ich gearbeitet. Sonst wäre ich nicht so weit gekommen.
 
Teils will ich mich glaube ich auch noch einlesen müssen.
 
Aber woher kommt diese Struktur? (Ich hoffe, es ist ok das Bild zu verlinken.)
 
Testumgebung01.png
 
Geht man dabei von einer Umgebung mit einem Betriebssystem aus? Wie werden da Unterschiede behandelt? Oder soll das Bild einfach nur Platzhalter sein?
bearbeitet von willy-goergen
Link zu diesem Kommentar

Betriebssyteme unterscheidest Du nicht im AD, sondern mit WMI-Filtern. Schließlich kann sich ein User ja an Computern mit unterschiedlichem OS anmelden, und ein Computer kann sein OS wechseln:

 

select Name from Win32_OperatingSystem where BuildNumber like "9%"

wäre z.B. ein Filter für Win8(.1) und Server 2012.

 

Die Struktur in dem Bild finde ich gut, würde ich genauso machen. Bzw hab ich für's Buch auch genauso gemacht :D Und wenn man das mit der OS-Trennung bzw. "Nicht-Trennung" im Griff hat, macht man ja auch übergreifende GPOs, die an Funktionen hängen - und das geht mit dieser Struktur sehr gut.

 

Woher kommt das Bild?

Link zu diesem Kommentar

Hallo

Ich wollte auch mal meinen Senf da zu tun, wir sind ein mittelständiges Unternehmen mit ca. 15 Standorten Welt weit. Wir haben eine Windows 2008R2 Domäne. In jedem Standort steht ein DC.

Die Administration wird über DE Zentral gesteuert, von der User Verwaltung bis zur Gruppenrichtlinien Steuerung.

Die Software Installation läuft rein über die GPO Software Verteilung.  In jeden Standort gibt es einen Identischen Software Pool der jeden Abend automatisch abgeglichen wird.

Auf den DC läuft dazu ein WDS, so dass die Clints über Netzwerk Boot mit einem von uns zugeschnittenen Windows 7 versorgt werden könne, anschließend werden die Clients in die Domäne aufgenommen und ziehen sich nach dem Neustart alle GPs und alle Software. So ein PC ist dann in ca. 15 – 20 min einsatzbereit.

Ich denke das Konzept so wie wir das aufgebaut haben ist schon genial und einfach. Der Aufwand ist überschaubar.

Die Userverwaltung ist einfach aber effektiv, vieles wird über Gruppen Verwaltet incl. Der Drucker Zuweisung, Zugriffsrechte, usw. eine Verschachtelung de Gruppen wird nicht gewünscht, da man sonst schnell den Überblick verliert.

In jeden Standort steht ein Linux Gateway für das VPN und Internet mit festen Routen für die DCs, so replizieren sich die DCs immer nur mit den Master in DE alle 60min.

 

Was das verteilen der Software über GP angeht, muss ich sagen haben wir keine Probleme das klappt alles super. Die msi bauen wir selber wie z.b für Firefox , Thunderbrid ( mit allen Sprachpaketen und addons die wir brauchen) VLC-Player, und vieles mehr. Wir müssen ja auch auf die Landessprachen achten und anpassen.

 

Das nur mal so zur Info was ich los werden wollte.

Habe im Anhang mal unsere AD Struktur bei gefügt.

Könnt euch ja mal darüber auslassen. Fragen sind auch erlaubt.

Sascha

          1.pdf2.pdf

Link zu diesem Kommentar

Ich wollte auch mal meinen Senf da zu tun, wir sind ein mittelständiges Unternehmen mit ca. 15 Standorten Welt weit.

Du meinst mittelständisch, oder? ;)

 

 

Die Software Installation läuft rein über die GPO Software Verteilung.  In jeden Standort gibt es einen Identischen Software Pool der jeden Abend automatisch abgeglichen wird.

Wenn du die Verteilung der Pakete über den WSUS regeln würdest, hättest du keine Pool den du selber abgleichen mußt, und hättest zusätzlich den Vorteil, dass du weißt ob ein Client die Software installiert hat oder nicht.

 

Ich denke das Konzept so wie wir das aufgebaut haben ist schon genial und einfach. Der Aufwand ist überschaubar.

Viele Wege führen nach Rom, und die Erfahrung zeigt, man kann immer noch optimieren. ;)

 

In jeden Standort steht ein Linux Gateway für das VPN und Internet mit festen Routen für die DCs, so replizieren sich die DCs immer nur mit den Master in DE alle 60min.

Warum alle 60min?

 

Was das verteilen der Software über GP angeht, muss ich sagen haben wir keine Probleme das klappt alles super.

Naja siehe oben.

 

Bye

Norbert

 

PS: Wenn du über deine Umgebung diskutieren magst, solltest du dich vielleicht nicht an einen Thread eines anderen Users hängen, sondern deinen eigenen eröffnen.

Link zu diesem Kommentar

Guten Morgen

 

Wollt eigentlich nur ein Beispiel liefern, wie man es machen könnte. Wollte damit nicht sagen das ich die goldene Lösung oder was auch immer gefunden habe.

Dachte nur es könnte vielleicht helfen.

Ok wenn ich meinen Beitrag hier falsch eingestellt habe dann tut es mir leid, das war sicher nicht meine Absicht. Hier angeben zu wollen oder wie auch immer das verstanden worden ist.

Das war sicher auch nicht mein Ziel.

Es sollte einfach nur ein Beispiel oder Anregung sein wie man es vielleicht machen könnte. Sollte jetzt nicht heißen dass ich die eierlegende Wollmilchsau gefunden habe, ganz sicher nicht.

War nur gut gemeint.

 

Sascha

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...