minikN

Genau so sieht es aus. Wie es der Zufall will, habe ich (wahrscheinlich) herausgefunden, was das Problem war... nach dem ich schon auf Skripte umgestiegen war. Die GPOs wurden mit der Fehlermeldung "Zugriff nicht möglich" abgelehnt. Wie vorher schon beschrieben war der Benutzer Michael allerdings Mitglied der Sicherheitsgruppe. Ich habe herausgefunden, dass ich der Gruppe "Authentifizierte Benutzer" Leserechte für die GPO (allerdings nicht Rechte zum übernehmen) geben muss, da Michael ja auch in dieser Gruppe ist. Ich kann jetzt nicht genau sagen ob es daran lag (da ich shcon alles umgestellt hatte und es nicht nochmal probiere), aber ich glaube das hatte auf jeden Fall etwas damit zu tun. Wie dem auch sei, ich danke euch für eure Hilfe!

Danke für eure Hilfe. Ich habe mich im Endeffekt dazu entschieden es mit einem VB Skript zu lösen, welches die Drucker beim Anmelden hinzufügt bzw. beim Abmelden wieder entfernt. Vielleicht nicht optimal, aber funktioniert. Danke.

Hallo Freunde, danke für eure Antwort bisher. Ich habe mal eben ein ähnliches Setup mit Laufwerkszuordnungen getestet, und ihr habt Recht, dort funktioniert es wesentlich verlässlicher (bzw. überhaupt). Was mich so stört ist, dass es mal funktioniert, mal nicht. Momentan habe ich die GPO so konfiguriert, dass sie erstmal alle verbundenen Drucker löscht, und sie dann wieder hinzufügt (Vorrausgesetzt Benutzer ist in der jeweiligen Gruppe), angewandt wird die GPO auf alle Authentifizierten Benutzer. Ausgangspunkt: Michael hat keine verbundenen Drucker. Ich füge Michael zur Gruppe hinzu und führe lokal gpupdate /Force aus und melde mich ab und wieder an -> Neuer Drucker wurde hinzugefügt. Super. Ich nehme Michael wieder aus der Gruppe raus und führe gpupdate /Force aus und melde mich ab und wieder an. Drucker ist immer noch da. Ich führe gpresult aus und sehe im Bericht, dass die besagte GPO tatsächlich ausgeführt wurde. In der GPO werden aber alle verbundenen Drucker gelöscht, und nur wieder verbunden, wenn Benutzer in Gruppe ist. Hä? Ich blick nicht mehr durch. Die Druckerbereitstellung für die Clients scheint da besser zu funktionierten.

Hallo, ich arbeite seit einigen Tagen mit einer bestehenden AD. Da das Unternehmen mit der AD bisher nichts außer Benutzer erstellen gemacht hat, ist es meine Aufgabe die Funktionalität zu erweitern mit bspw. Druckerzuweisungen, Softwareverteilung ect. Leider scheitere ich mit GPOs, welche auf bestimmte Sicherheitsgruppen angewandt werden soll. Ich hoffe ihr könnt mir weiterhelfen. Ich habe zunächst angefangen eine OU-Struktur aufzubauen wie folgt: Ich hoffe die Struktur ist selbsterklärend. Vielleicht nicht optimal, aber mir erschien eine solche Aufteilung als sinnvoll. In der OU "Administratoren" sind dann bspw. Benutzer mit Adminrechten. In der OU "201 (Eingang)" sind Clients, welche im Raum 201 stehen. Ich habe nun erstmal angefangen Drucker, je nach Standort (Raum) and bestimmte Clients zu verteilen, welche im selben Raum sind. Bsp.: In der OU "202 (Verwaltung)" sind 5 Clients angelegt. Zusätzlich gibt es eine Gruppe "202-Clients", in welcher alle Clients der OU Mitglieder sind. In der Gruppenrichtlinienverwaltung habe ich nun in der selben OU eine GPO angelegt, in welcher ich Drucker über "Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Bereitgestellte Drucker" bereitstelle. In der Sicherungsfilterung der GPO habe ich die Gruppe "202-Clients" hinzugefügt. Das ganze funktioniert. Die Clients bekommen die richtigen Drucker automatisch zugeordnet. Nun will ich etwas ähnliches mit Benutzerkonten realisieren, und daran scheitere ich. Der Hintergrund ist, dass manche Benutzer, unabhängig von der Workstation an der sie arbeiten, Zugriff auf bestimmte Drucker haben sollen. In der OU Benutzer/Abteilungen/Administratoren liegt mein Benutzerkonto. Nennen wir es "Michael". Michael ist Mitglied der Gruppe "GRP-Admin-Drucker1", welche in der selben OU liegt. Ich will nun per GPO der Gruppe "GRP-Admin-Drucker1" Zugriff auf einen besitmmten Drucker geben, ich erstelle also in der selben OU eine GPO. Ich editiere die GPO und stelle unter "Benutzerkonfiguration -> Einstellungen -> Systemeinstellungen -> Drucker" die Druckerverbindung her. Im Dialogfenster unter "Gemeinsame Optionen" hake ich "Zielgruppenadressierung auf Elementebene" an und füge unter "Zielgruppenadressierung..." den Eintrag "Benutzer ist Mitglied der Sicherheitsgruppe "Domainname\GRP-Admin-Drucker1" (Benutzer in Gruppe) hinzu. Kleiner Exkurs: Ich habe zunächst versucht die Drucker nicht über "Benutzerkonfiguration -> Einstellungen -> Systemeinstellungen -> Drucker" sondern "Benutzerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Bereitgestellte Drucker" und der Gruppe "GRP-Admin-Drucker1" in der Sicherheitsfilterung (Eben genau so wie bei den Clients) bereitzustellen. Das hat überhaupt nicht funktioniert (Drucker wurden nicht hinzugefügt). nach etwas Recherche habe ich mich dann für den gerade beschriebenen Weg über die Systemeinstellungen entschieden. Weiter: Stelle ich nun bei der Sicherheitsfilterung in der GPO die Gruppe "GRP-Admin-Drucker1" ein, und teste alles mit der Gruppenrichtlinienmodellierung sehe ich folgendes: Hinter dem roten Feld verbirgt sich die GPO für die Clients, hinter dem schwarzen die für die Benutzer. Sorry ich habe es geschwärzt, da ich die eigentlichen Namen nicht ins Netz stellen will. Unter Details sehe ich (jeweils einmal für die Client- sowie für die Benutzer-GPO folgende Warnung: Beide GPOs werden allerdings angewandt, ich finde sie unter "Angewandte Gruppenrichtlinienobjekte" innerhalb der Benutzer- bzw. der Computerdetails. Nun habe ich unter "Gruppenrichtlinienergebnisse" einen Test erstellt, in der sich Nutzer Michael an seiner Workstation anmeldet. Theoretisch müssten beide GPOs (Client und Nutzer) angewandt werden, und nun wirds ziemlich verrückt. Gehe in die Details der Abfrage sehe ich, dass die Client GPO ohne Fehler angewandt wurde. Bei Benutzerdetails hingegen sehe ich folgendes: Die rot-hinterlegten GPO ist die Benutzerbasierte GPO für die Druckerbereitstellung. Ich hab keine Ahnung was die 3. GPO ist, es gibt nur die 1. Als Grund für die Ablehung steht jeweils "Zugriff nicht möglich". Wenn ich auf besagten Client mit dem Nutzer Michael "gpresult /h test.html" nach eine "gpupdate /force" durchführe, sehe ich in den Benutzerdetails die 3. GPO im Bild oben unter "Abgelehnte GPO" nicht, sondern nur die ersten zwei. Bei der GPO für die Druckerbereitstellung erhalte ich dann den Grund für die Ablehnung "Zugriff nicht möglich, leer oder deaktiviert" (Also auf dem Client mit gpresult). In den Details der GPO steht der Objektstatus auf "Aktiviert". Die Gruppe "GRP-Admin-Drucker1" hat im Delegierungs-Tab die Rechte GPO lesen und anwenden. Ich weiß nicht wirklich weiter. Kann mir jemand von euch eventuell helfen?