Zum Inhalt wechseln


Foto

GPO mit Sicherheitsgruppe


  • Bitte melde dich an um zu Antworten
8 Antworten in diesem Thema

#1 minikN

minikN

    Newbie

  • 4 Beiträge

 

Geschrieben 09. August 2017 - 13:08

Hallo,

 

ich arbeite seit einigen Tagen mit einer bestehenden AD. Da das Unternehmen mit der AD bisher nichts außer Benutzer erstellen gemacht hat, ist es meine Aufgabe die Funktionalität zu erweitern mit bspw. Druckerzuweisungen, Softwareverteilung ect.

Leider scheitere ich mit GPOs, welche auf bestimmte Sicherheitsgruppen angewandt werden soll. Ich hoffe ihr könnt mir weiterhelfen.

Ich habe zunächst angefangen eine OU-Struktur aufzubauen wie folgt:
 

1.jpg
 
Ich hoffe die Struktur ist selbsterklärend. Vielleicht nicht optimal, aber mir erschien eine solche Aufteilung als sinnvoll. In der OU "Administratoren" sind dann bspw. Benutzer mit Adminrechten. In der OU "201 (Eingang)" sind Clients, welche im Raum 201 stehen.

Ich habe nun erstmal angefangen Drucker, je nach Standort (Raum) and bestimmte Clients zu verteilen, welche im selben Raum sind.
 
Bsp.: In der OU "202 (Verwaltung)" sind 5 Clients angelegt. Zusätzlich gibt es eine Gruppe "202-Clients", in welcher alle Clients der OU Mitglieder sind. In der Gruppenrichtlinienverwaltung habe ich nun in der selben OU eine GPO angelegt, in welcher ich Drucker über "Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Bereitgestellte Drucker" bereitstelle. In der Sicherungsfilterung der GPO habe ich die Gruppe "202-Clients" hinzugefügt.

Das ganze funktioniert. Die Clients bekommen die richtigen Drucker automatisch zugeordnet.

Nun will ich etwas ähnliches mit Benutzerkonten realisieren, und daran scheitere ich. Der Hintergrund ist, dass manche Benutzer, unabhängig von der Workstation an der sie arbeiten, Zugriff auf bestimmte Drucker haben sollen. 
 
In der OU Benutzer/Abteilungen/Administratoren liegt mein Benutzerkonto. Nennen wir es "Michael". Michael ist Mitglied der Gruppe "GRP-Admin-Drucker1", welche in der selben OU liegt. Ich will nun per GPO der Gruppe "GRP-Admin-Drucker1" Zugriff auf einen besitmmten Drucker geben, ich erstelle also in der selben OU eine GPO.

Ich editiere die GPO und stelle unter "Benutzerkonfiguration -> Einstellungen -> Systemeinstellungen -> Drucker" die Druckerverbindung her. Im Dialogfenster unter "Gemeinsame Optionen" hake ich "Zielgruppenadressierung auf Elementebene" an und füge unter "Zielgruppenadressierung..." den Eintrag "Benutzer ist Mitglied der Sicherheitsgruppe "Domainname\GRP-Admin-Drucker1" (Benutzer in Gruppe) hinzu.
 
Kleiner Exkurs: Ich habe zunächst versucht die Drucker nicht über "Benutzerkonfiguration -> Einstellungen -> Systemeinstellungen -> Drucker" sondern "Benutzerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Bereitgestellte Drucker" und der Gruppe "GRP-Admin-Drucker1" in der Sicherheitsfilterung (Eben genau so wie bei den Clients) bereitzustellen. Das hat überhaupt nicht funktioniert (Drucker wurden nicht hinzugefügt). nach etwas Recherche habe ich mich dann für den gerade beschriebenen Weg über die Systemeinstellungen entschieden. 

Weiter: Stelle ich nun bei der Sicherheitsfilterung in der GPO die Gruppe "GRP-Admin-Drucker1" ein, und teste alles mit der Gruppenrichtlinienmodellierung sehe ich folgendes:

2.jpg

Hinter dem roten Feld verbirgt sich die GPO für die Clients, hinter dem schwarzen die für die Benutzer. Sorry ich habe es geschwärzt, da ich die eigentlichen Namen nicht ins Netz stellen will. Unter Details sehe ich (jeweils einmal für die Client- sowie für die Benutzer-GPO folgende Warnung:

3.jpg
 
Beide GPOs werden allerdings angewandt, ich finde sie unter "Angewandte Gruppenrichtlinienobjekte" innerhalb der Benutzer- bzw. der Computerdetails. Nun habe ich unter "Gruppenrichtlinienergebnisse" einen Test erstellt, in der sich Nutzer Michael an seiner Workstation anmeldet. Theoretisch müssten beide GPOs (Client und Nutzer) angewandt werden, und nun wirds ziemlich verrückt. Gehe in die Details der Abfrage sehe ich, dass die Client GPO ohne Fehler angewandt wurde. Bei Benutzerdetails hingegen sehe ich folgendes: 

anfaIV3.jpg
 
Die rot-hinterlegten GPO ist die Benutzerbasierte GPO für die Druckerbereitstellung. Ich hab keine Ahnung was die 3. GPO ist, es gibt nur die 1. Als Grund für die Ablehung steht jeweils "Zugriff nicht möglich". Wenn ich auf besagten Client mit dem Nutzer Michael "gpresult /h test.html" nach eine "gpupdate /force" durchführe, sehe ich in den Benutzerdetails die 3. GPO im Bild oben unter "Abgelehnte GPO" nicht, sondern nur die ersten zwei. Bei der GPO für die Druckerbereitstellung erhalte ich dann den Grund für die Ablehnung "Zugriff nicht möglich, leer oder deaktiviert" (Also auf dem Client mit gpresult). 
 

In den Details der GPO steht der Objektstatus auf "Aktiviert". 
Die Gruppe "GRP-Admin-Drucker1" hat im Delegierungs-Tab die Rechte GPO lesen und anwenden.

Ich weiß nicht wirklich weiter. Kann mir jemand von euch eventuell helfen?

 

Angehängte Dateien

  • Angehängte Datei  1.jpg   93,53K   0 Mal heruntergeladen
  • Angehängte Datei  2.jpg   169,61K   0 Mal heruntergeladen
  • Angehängte Datei  3.jpg   141,64K   0 Mal heruntergeladen


#2 NilsK

NilsK

    Expert Member

  • 12.334 Beiträge

 

Geschrieben 09. August 2017 - 13:15

Moin,

 

das mit den Druckern funktioniert leider längst nicht immer so, wie man es sich wünscht. Mark Heitbrink ist daher zu dem Schluss gekommen, dass man alle regelbasierten Ansätze lieber gleich bleiben lassen sollte. Ich finde, an seiner Argumentation ist was dran.

 

https://www.gruppenr...-bereitstellen/

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#3 NorbertFe

NorbertFe

    Expert Member

  • 30.605 Beiträge

 

Geschrieben 09. August 2017 - 13:58

Abgesehen davon ist die Verwendung von "bereitgestellte Drucker" auch noch die, die am bekl...testen wäre. ;)

Make something i***-proof and they will build a better i***.


#4 minikN

minikN

    Newbie

  • 4 Beiträge

 

Geschrieben 09. August 2017 - 14:31

Hallo Freunde,

 

danke für eure Antwort bisher.

 

Ich habe mal eben ein ähnliches Setup mit Laufwerkszuordnungen getestet, und ihr habt Recht, dort funktioniert es wesentlich verlässlicher (bzw. überhaupt).

Was mich so stört ist, dass es mal funktioniert, mal nicht. Momentan habe ich die GPO so konfiguriert, dass sie erstmal alle verbundenen Drucker löscht, und sie dann wieder hinzufügt (Vorrausgesetzt Benutzer ist in der jeweiligen Gruppe), angewandt wird die GPO auf alle Authentifizierten Benutzer.

Ausgangspunkt: Michael hat keine verbundenen Drucker. Ich füge Michael zur Gruppe hinzu und führe lokal gpupdate /Force aus und melde mich ab und wieder an -> Neuer Drucker wurde hinzugefügt. Super. Ich nehme Michael wieder aus der Gruppe raus und führe gpupdate /Force aus und melde mich ab und wieder an. Drucker ist immer noch da. Ich führe gpresult aus und sehe im Bericht, dass die besagte GPO tatsächlich ausgeführt wurde. In der GPO werden aber alle verbundenen Drucker gelöscht, und nur wieder verbunden, wenn Benutzer in Gruppe ist. Hä?

Ich blick nicht mehr durch. Die Druckerbereitstellung für die Clients scheint da besser zu funktionierten.



#5 daabm

daabm

    Expert Member

  • 2.106 Beiträge

 

Geschrieben 09. August 2017 - 18:04

Kauf Dir doch mal ein gutes Buch dazu :-))

 

Das mit dem Löschen/Hinzufügen ist suboptimal, weil es ewig dauern kann (dabei werden auch die Treiber neu installiert).

Und wenn Du MIchaels Gruppen änderst, sollte der sich neu anmelden, damit das auch in seinem Kerberos-TGT steht. Sonst ist er da nämlich immer noch drin/draußen.

 

Edit: Im GPResult siehst Du auch, welche Druckerelemente angewendet wurden. Und im GPP Debug Log siehst Du sogar, welche nicht und warum nicht.

https://blogs.techne...using-the-rsat/


Bearbeitet von daabm, 09. August 2017 - 18:06.

Greetings/Grüße, Martin

Mal ein gutes Buch über GPOs lesen? Oder ein kleines, aber feines Blog darüber?

Und wenn mir die IT mal auf die Nerven geht - coke bottle design refreshment (-:


#6 minikN

minikN

    Newbie

  • 4 Beiträge

 

Geschrieben 10. August 2017 - 10:52

Danke für eure Hilfe.

Ich habe mich im Endeffekt dazu entschieden es mit einem VB Skript zu lösen, welches die Drucker beim Anmelden hinzufügt bzw. beim Abmelden wieder entfernt. Vielleicht nicht optimal, aber funktioniert.

 

Danke.



#7 daabm

daabm

    Expert Member

  • 2.106 Beiträge

 

Geschrieben 10. August 2017 - 15:06   Lösung

Nee wenn Du skripten kannst, dann ist das immer die optimale Lösung :) Machen wir auch so - das ganze Druckergedöns per GPO ist viel zu wackelig, egal was man verwendet.


  • minikN gefällt das

Greetings/Grüße, Martin

Mal ein gutes Buch über GPOs lesen? Oder ein kleines, aber feines Blog darüber?

Und wenn mir die IT mal auf die Nerven geht - coke bottle design refreshment (-:


#8 minikN

minikN

    Newbie

  • 4 Beiträge

 

Geschrieben 11. August 2017 - 09:25

Nee wenn Du skripten kannst, dann ist das immer die optimale Lösung :) Machen wir auch so - das ganze Druckergedöns per GPO ist viel zu wackelig, egal was man verwendet.

 

Genau so sieht es aus. Wie es der Zufall will, habe ich (wahrscheinlich) herausgefunden, was das Problem war... nach dem ich schon auf Skripte umgestiegen war. Die GPOs wurden mit der Fehlermeldung "Zugriff nicht möglich" abgelehnt. Wie vorher schon beschrieben war der Benutzer Michael allerdings Mitglied der Sicherheitsgruppe. Ich habe herausgefunden, dass ich der Gruppe "Authentifizierte Benutzer" Leserechte für die GPO (allerdings nicht Rechte zum übernehmen) geben muss, da Michael ja auch in dieser Gruppe ist. Ich kann jetzt nicht genau sagen ob es daran lag (da ich shcon alles umgestellt hatte und es nicht nochmal probiere), aber ich glaube das hatte auf jeden Fall etwas damit zu tun.

Wie dem auch sei, ich danke euch für eure Hilfe!



#9 daabm

daabm

    Expert Member

  • 2.106 Beiträge

 

Geschrieben 11. August 2017 - 10:03

der Gruppe "Authentifizierte Benutzer" Leserechte für die GPO (allerdings nicht Rechte zum übernehmen) geben muss


Willkommen in MS16-072 :)


Greetings/Grüße, Martin

Mal ein gutes Buch über GPOs lesen? Oder ein kleines, aber feines Blog darüber?

Und wenn mir die IT mal auf die Nerven geht - coke bottle design refreshment (-: