Zum Inhalt wechseln


Foto

Benutzer-GPO greift nicht // Falsche Verknüpfung?


  • Bitte melde dich an um zu Antworten
14 Antworten in diesem Thema

#1 Kupfer89

Kupfer89

    Newbie

  • 35 Beiträge

 

Geschrieben 07. September 2017 - 08:55

Hallo zusammen,

 

ich glaube ich habe hier ein kleines Verständnisproblem  :confused:

 

Folgendes Beispiel:

 

Im AD gibt es eine OU "Terminal" in der alle Terminalserver enthalten sind.

In einer OU "Benutzer" sind weitere OUs mit dem Namen der jeweiligen Niederlassung, in denen wiederum die Benutzer enthalten sind.

Die OU "Terminal" und "Benutzer" sind auf einer Ebene, GPOs die also an die OU "Terminal" angehängt werden, greifen nicht bei der OU "Benutzer".

 

Soweit alles klar.

 

Jetzt sollen die Benutzer in den jeweiligen Niederlassungen ihre benötigten Drucker zugewiesen bekommen.

Dies wollte ich über eine GPO lösen und jeder Niederlassung in der OU "Benutzer", eine eigene GPO zur Verteilung erstellen und zuordnen.

Eingestellt wurde in der GPO alles unter "Benutzerkonfiguration".

 

Leider greifen die Einstellungen nur, wenn die GPO mit der OU "Terminal" verknüpft wird.

 

 

Sollte dies nicht auch funktionieren, wenn die Verknüpfung nur mit den Niederlassungs-Ous verknüpft wurde?

Ist doch schließlich eine GPO für die Benutzer und nicht die Computer?  :confused:

 

Wäre halt auch wesentlich übersichtlicher.

 

Vielen Dank für die Hilfe!

 

MfG

Kupfer89


Bearbeitet von Kupfer89, 07. September 2017 - 08:55.


#2 testperson

testperson

    Board Veteran

  • 4.582 Beiträge

 

Geschrieben 07. September 2017 - 09:06

Hi,

 

ich vermute mal, eine GPO die mit "Terminal" verknüpft ist hat den "Loopbackverarbeitungsmodus" aktiv und es ist "Ersetzen" gewählt.

Generell ist Drucker per GPO eine Sache mit der man sich sehr schnell zu Tode administriert.

 

Etwas zum Lesen: https://www.gruppenr...-bereitstellen/

 

Gruß

Jan


Good morning, that's a nice TNETENNBA!

#3 Kupfer89

Kupfer89

    Newbie

  • 35 Beiträge

 

Geschrieben 07. September 2017 - 14:18

Richtig, der Loopbackverarbeitungsmodus ist aktiviert, allerdings auf Zusammenführen gestellt.

 

Ne Idee wie das funktionieren könnte, ohne nun groß an den anderen GPOs rumzuschrauben?



#4 testperson

testperson

    Board Veteran

  • 4.582 Beiträge

 

Geschrieben 07. September 2017 - 16:17

Mit "Zusammenführen" sollte es eigentlich so funktionieren. Prüfe mal mit "gpresult /h gpo.html && gpo.html" was da aus welchem GPO angewendet wird (und ob es nicht doch noch ein GPO mit "Ersetzen" gibt).

Da beim "Zusammenführen" deine GPOs 2x abgearbeitet werden, bin ich eh kein Freund von "Zusammenführen".

 

Du könntest komplett auf den Loopbackverarbeitungsmodus verzichten und entsprechend mit Sicherheitsfiltern arbeiten.


Good morning, that's a nice TNETENNBA!

#5 Sunny61

Sunny61

    Expert Member

  • 22.178 Beiträge

 

Geschrieben 08. September 2017 - 06:18

Die Authentifizierten Benutzer sind in den neuen GPOs auch mit Leserechten eingetragen? https://www.gruppenr...chday-14062016/


Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#6 Kupfer89

Kupfer89

    Newbie

  • 35 Beiträge

 

Geschrieben 08. September 2017 - 07:45

Prüfe mal mit "gpresult /h gpo.html && gpo.html" was da aus welchem GPO angewendet wird (und ob es nicht doch noch ein GPO mit "Ersetzen" gibt).

 

In dem erstellten Bericht wird meine mit der OU "Benutzer" verknüpfte GPO weder unter den angewendeten GPOs, noch unter den abgelehnten GPOs erwähnt.

Diese scheint als überhaupt nicht "vorhanden" zu sein  :confused:

 

Wenn ich die GPO hingegen direkt mit der Domäne verbinde, diese also wieder vererbt wird, dann klappt es auch wieder.

Also irgendwie bekommt der Client nicht mit, dass noch in der OU auf der selben Ebene nebenan, noch eine GPO liegt die für die Benutzer abgearbeitet werden muss.

 

 

 

Die Authentifizierten Benutzer sind in den neuen GPOs auch mit Leserechten eingetragen? https://www.gruppenr...chday-14062016/

 

Jau, das ist alles richtig eingestellt.

Wenn ich die GPO mit der OU "Terminal" verknüpfe, dann geht es ja.


Bearbeitet von Kupfer89, 08. September 2017 - 07:52.


#7 testperson

testperson

    Board Veteran

  • 4.582 Beiträge

 

Geschrieben 08. September 2017 - 07:49

In dem erstellten Bericht wird meine mit der OU "Benutzer" verknüpfte GPO weder unter den angewendeten GPOs, noch unter den abgelehnten GPOs erwähnt.

Diese scheint als überhaupt nicht "vorhanden" zu sein  :confused:

 

Steht denn in dem Bericht was vom Loopbackverarbeitungsmodus? Und ob da wirklich "Zusammenführen" ankommt oder vielleicht doch "Ersetzen"?

So wie du es schilderst, ist es halt genau das Verhalten von "Ersetzen".


Good morning, that's a nice TNETENNBA!

#8 Kupfer89

Kupfer89

    Newbie

  • 35 Beiträge

 

Geschrieben 08. September 2017 - 08:18

Ich habe nun den Bericht komplett durchforstet, aber nur eine Einstellung hierzu gefunden und diese steht auf "Zusammenführen".


Ich habe mal weiter probiert.

Wenn ich die GPO nun mit der OU "Benutzer" verknüpfe, dann funktioniert es auch.

Eine Ebene tiefer, also "Benutzer -> Niederlassung", wird die GPO nicht mehr verarbeitet.



#9 Sunny61

Sunny61

    Expert Member

  • 22.178 Beiträge

 

Geschrieben 08. September 2017 - 09:21

Gibt es in der OU Niederlassung denn überhaupt Benutzerobjekte, oder liegen dort nur Gruppen?


Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#10 Kupfer89

Kupfer89

    Newbie

  • 35 Beiträge

 

Geschrieben 08. September 2017 - 09:23

In den jeweiligen OUs der Niederlassungen, sind die Benutzerkonten abgelegt.



#11 testperson

testperson

    Board Veteran

  • 4.582 Beiträge

 

Geschrieben 08. September 2017 - 09:39

Kannst du evtl. einmal alle GPOs prüfen, ob da nicht in irgendeiner Loopback Ersetzen aktiv ist (Auch wenn letztendlich am Client Looback Merge ankommt)?

Ansonsten eine Test OU für einen Test User und eine Test OU für einen Test Terminalserver und dann nach und nach die GPOs linken und testen.


Good morning, that's a nice TNETENNBA!

#12 Kupfer89

Kupfer89

    Newbie

  • 35 Beiträge

 

Geschrieben 08. September 2017 - 13:05

Ok, mittlerweile läuft die Druckerverteilung - es werden also neue Drucker über die GPO beim Benutzer installiert.

Fragt mich nicht warum...ich habe nun hin und her gedoktert und nun läuft es zumindest bis hier  :)

 

Was aber noch nicht läuft und dass mit dem beschriebenen Phänomen: 

Die alten Druckerverbindungen werden vorher nicht gelöscht, obwohl das als ersten Ausführungsschritt festgelegt worden ist.

Weder "Alle löschen", noch ein explizit ausgewählter Drucker wird entfernt.


Bearbeitet von Kupfer89, 08. September 2017 - 13:06.


#13 testperson

testperson

    Board Veteran

  • 4.582 Beiträge

 

Geschrieben 08. September 2017 - 13:19

Ich verweise nochmal auf:

 

Generell ist Drucker per GPO eine Sache mit der man sich sehr schnell zu Tode administriert.

 

Etwas zum Lesen: https://www.gruppenr...-bereitstellen/


Good morning, that's a nice TNETENNBA!

#14 Kupfer89

Kupfer89

    Newbie

  • 35 Beiträge

 

Geschrieben 08. September 2017 - 13:29

Damit hast Du natürlich recht und wahrscheinlich wird es auch auf die Lösung im Artikel hinauslaufen, aber wissen warum es jetzt nicht so klappt wie gewünscht, möchte ich trotzdem  :D  :p



#15 daabm

daabm

    Expert Member

  • 2.111 Beiträge

 

Geschrieben 08. September 2017 - 17:58

gpresult /h report.html ist Dein Freund. Wenn Du skripten kannst, dann schmeiß die Druckerzuordnung per GPO einfach ersatzlos weg - da gibt es nichts, was zuverlässig funktioniert. BTW - hast Du die Drucker im Computer- oder User-Kontext zugewiesen? Ist "fast startup" aktiv? Dann booten die Rechner nicht wirklich, sondern gehen nur in Hibernation. Hast Du "Immer auf das Netzwerk warten" aktiv? Fragen über Fragen :-))


Greetings/Grüße, Martin

Mal ein gutes Buch über GPOs lesen? Oder ein kleines, aber feines Blog darüber?

Und wenn mir die IT mal auf die Nerven geht - coke bottle design refreshment (-: