TheUnholyOne 10 Geschrieben 8. Februar 2012 Melden Teilen Geschrieben 8. Februar 2012 (bearbeitet) Hallo Community. Ich versuche gerade, rudimentäre Kenntnisse zu Gruppenrichtlinien zu vertiefen. Im speziellen versuche ich in einer Test-Umgebung eine übersichtliche Gliederung zu erhalten und habe dafür eine OU "Softwareverteilung" angelegt. In dieser OU gibt es eine Global Security Group (Software1), die die Test-PCs enthält. Eine Gruppenrichtlinie, die hier verbunden ist, soll diese Software1 auf den Computern installieren (Computer configuration -> Policies -> Software settings -> assigned applications; User Configuration: disabled), das Programm ist zugewiesen. Vorgehen wollte ich nach der 2. Möglichkeit hier. Die betroffenen Computer sind alle im Ordner "Computer", so dass man die GPO auch einfach hier verlinken könnte. wenn ich aber darunter oder extra weitere OUs für verschiedene Architekturen oder getrennt nach PC / Laptop erstellen, muss es ja nach der 2. Möglichkeit eingerichtet werden. Die Gruppenrichtlinie ist also verknüpft, der Scope beinhaltet nur die GLS "Software1". funktionieren tut es aber nicht. Nun suche ich unter W2k8 R2 (was ich noch nicht so gut kenne) in der Gruppenrichtlinienverwaltung die Option, mit der ich festlegen kann, dass die der OU zugewiesenen GPO-Settings auch für die beinhalteten Clients gilt. Ich dachte, das wären die Security Filtering-Optionen. Nur funktioniert dies nicht. GPO-Result zeigt am Client diese GPO nicht mal an (auch nicht als "nicht zutreffend" Wenn ich ein Computer-Konto in die OU verschiebe, geht's (wie erwartet). Kann mir jemand sagen, was ich da übersehen / falsch gemacht habe? Besten Dank vorab TuO bearbeitet 8. Februar 2012 von TheUnholyOne Korrektur: Global statt Domain Local Zitieren Link zu diesem Kommentar
NorbertFe 1.807 Geschrieben 8. Februar 2012 Melden Teilen Geschrieben 8. Februar 2012 Wenn ich ein Computer-Konto in die OU verschiebe, geht's (wie erwartet). Kann mir jemand sagen, was ich da übersehen / falsch gemacht habe? Ja, du bist der Meinung, dass eine Gruppenrichtlinie auf Gruppen wirkt. ;) Fakt ist, damit ein GPO wirken kann, muß sich das Objekt (Computerkonto oder Benutzerkonto) unterhalb des GPO befinden. Sicherheitsgruppen kannst du nur zur weiteren Filterung benutzen. Bye Norbert Zitieren Link zu diesem Kommentar
TheUnholyOne 10 Geschrieben 8. Februar 2012 Autor Melden Teilen Geschrieben 8. Februar 2012 Hi Norbert und Danke. So etwas habe ich bereits "befürchtet". Ich habe mir DIESE Anleitung durchgelesen. In Kurzform: 1. Neue OU erstellen 2. in der OU eine Gruppe (globale Sicherheitsgruppe) 3. neues GPO-Objekt an gewünschter Stelle erstellen/verknüpfen 4. Authentifizierte Benutzer aus Sicherheitsfilterung raus (wie auch bei gruppenrichtlinien.de empfohlen) 5. Gruppe aus 2. hier rein 6. GPO bearbeiten (Softwareinstallation) 7. Client, der das Softwarepaket erhalten soll, hinzufügen Vom Grundprinzip sollte die "Anleitung 2" bei gruppenrichtlinien.de auch so funktionieren. Die 2te Möglichkeit bieten Sicherheitsberechtigungen die sich für jede Gruppenrichtlinie separat konfigurieren lassen und man belässt die Benutzer/Computerkonten an der Stelle/in der OU wo sie schon sind. Änlich ist es hier beschrieben. Und auch wieder grundsätzlich einleuchtend: Für jede Software eine GPO und Sicherheitsgruppe, damit es übersichtlich bleibt. Fakt ist, damit ein GPO wirken kann, muß sich das Objekt (Computerkonto oder Benutzerkonto) unterhalb des GPO befinden. Das heisst also, ich kann dieses Vorhaben vergessen und mit den genannten Anleitungen ist etwas ganz anderes gemeint? Könntest Du -oder jemand anderes- mir bitte erklären, wie dann vorzugehen ist, wenn man mehreren Clients Software zuweisen möchte, die in unterschiedlichen OUs liegen? Und wie sieht es dann mit der Übersichtlichkeit aus? Ich kann mir vorstellen, dass bestimmt in der einen oder anderen Umgebung über 10 Programme ohne WSUS etc verteilt werden. Vielleicht kann mir jemand mit einem Beispiel aus der Praxis helfen. Mit besten Grüßen TuO Zitieren Link zu diesem Kommentar
NorbertFe 1.807 Geschrieben 8. Februar 2012 Melden Teilen Geschrieben 8. Februar 2012 Man verlinkt das GPO an die unterschiedliche OUs, in denen die Computer liegen, oder man Strukturiert um. Bye Norbert Zitieren Link zu diesem Kommentar
TheUnholyOne 10 Geschrieben 8. Februar 2012 Autor Melden Teilen Geschrieben 8. Februar 2012 (bearbeitet) Danke. Kann man dann umgekehrt: Computer von der GPO ausschließen? bearbeitet 8. Februar 2012 von TheUnholyOne Doch noch eine Frage dazu Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 9. Februar 2012 Melden Teilen Geschrieben 9. Februar 2012 Kann man dann umgekehrt: Computer von der GPO ausschließen? Ja, entweder Computer nicht in die Sicherheitsgruppe mit aufnehmen, oder in den Erweiterten Einstellungen den Computer extra eintragen und die GPO nicht übernehmen lassen. Zitieren Link zu diesem Kommentar
TheUnholyOne 10 Geschrieben 9. Februar 2012 Autor Melden Teilen Geschrieben 9. Februar 2012 OK, das werde ich als nächstes ansehen und versuchen. Jetzt gerade habe ich versucht, das umzusetzen, was Norbert im ersten Beitrag geschrieben hat: GPOs gelten nicht für Gruppen. Das konnte ich gerade feststellen, indem ich mein Testszenario umgestrickt habe: neue OU "Computer-GPO", darin enthalten die Test-PCs und eine Sicherheitsgruppe "Alle_PCs" mit allen Test-PCs. Die GPO ist auf Computer-GPO verknüpft und gilt für "Alle_PCs". Es ist also richtig, dass das nicht funktioniert? Eine andere Test-GPO gilt für "Authenticated Users" und ist ebenfalls in Computer-GPO verlinkt. Hier wird die Software installiert. Nun steht HIER Grundsätzlich arbeite ich an dieser Stelle ohne die Sicherheitsgruppe: „Authentifizierte Benutzer“ Heisst das dann, es müssten ALLE Computer manuell in die Liste "Security Filtering" eingefügt werden? @ Sunny61 Da wäre ich dann bei Deinem Hinweis, einzelne Computer auszuschließen. Wie würde ich das dann machen? Wenn ich auf der OU -> Delegation -> Add -> ComputerKto gehe, kann ich nur sagen, ob dieser PC auf den Container und untergeordnete Rechte hat und nur auf den aktuellen? Ich danke Euch für die Hilfe! TuO Zitieren Link zu diesem Kommentar
NorbertFe 1.807 Geschrieben 9. Februar 2012 Melden Teilen Geschrieben 9. Februar 2012 Das konnte ich gerade feststellen, indem ich mein Testszenario umgestrickt habe: neue OU "Computer-GPO", darin enthalten die Test-PCs und eine Sicherheitsgruppe "Alle_PCs" mit allen Test-PCs. Die GPO ist auf Computer-GPO verknüpft und gilt für "Alle_PCs". Es ist also richtig, dass das nicht funktioniert? Wo die Gruppen stehen ist den GPOs sowas von egal. FAQ-GPO Eventuell doch nochmal die Grundlagen anschauen. ;) Eine andere Test-GPO gilt für "Authenticated Users" und ist ebenfalls in Computer-GPO verlinkt. Hier wird die Software installiert. Irgendwie logisch, oder? Bye Norbert Zitieren Link zu diesem Kommentar
TheUnholyOne 10 Geschrieben 9. Februar 2012 Autor Melden Teilen Geschrieben 9. Februar 2012 Ja, ich denke auch. Werde mir jetzt mal die Grundlagen durcharbeiten. Aber vielleicht eine Frage noch vorher: HIER schrieb der Thread-Opener, dass er eine AD-Gruppe mit 2 Test-PCs hinzugefügt hat und es klappte (sein eigentliches Problem habe ich ja nicht, da ich die SW garnicht verteilt bekomme). Wo ich das verlinke ist doch wohl egal, solange die Computer diese GPO erhalten. Also direkt in der OU oder vererbt. Kann mir jemand sagen, woran es liegen könnte, dass es dort DOCH mit einer AD-Gruppe in der Sicherheitsfilterung geht und hier nicht? Das würde mich sicherlich schon weiterbringen (und natürlich das Lesen der Grundlagen). Danke und Gruß TuO Zitieren Link zu diesem Kommentar
NorbertFe 1.807 Geschrieben 9. Februar 2012 Melden Teilen Geschrieben 9. Februar 2012 Wo ich das verlinke ist doch wohl egal, solange die Computer diese GPO erhalten. Korrekt. Also direkt in der OU oder vererbt. Auch korrekt. Kann mir jemand sagen, woran es liegen könnte, dass es dort DOCH mit einer AD-Gruppe in der Sicherheitsfilterung geht und hier nicht? Du wirfst die Computerkonten in die Sicherheitsgruppe und gestattest der Sicherheitsgruppe die Übernahme des GPO. Wenn das nicht funktioniert, dann beschreibe deine Konstruktion genauer. Bye Norbert Zitieren Link zu diesem Kommentar
TheUnholyOne 10 Geschrieben 9. Februar 2012 Autor Melden Teilen Geschrieben 9. Februar 2012 Du wirfst die Computerkonten in die Sicherheitsgruppe und gestattest der Sicherheitsgruppe die Übernahme des GPO Langsam wird's klarer ^^ das steht auch in den FAQ (und Du hast wohl auch ganz zu Anfang geschrieben. Aber ok. Besser spät, als nie. Aaaaalso: Bei gruppenrichtlinien.de (Nr.35) steht es ja auch so. Das Problem, welches ich jetzt habe (und vorher auch schon hatte): Ich finde die Option "Gruppenrichtlinien Übernehmen" nicht. Habe gerade die erweiterten Sicherheitseinstellungen für eine AD-Gruppe offen und suche nach "read policy" oder "read group policy". Zum einen ist es bei gpo.de auf W2K3 bezogen, zum anderen scheinbar nicht auf den Einsatz mit dem Gruppenrichtlinien-Editor. Hier wäre es doch die Sicherheitsfilterung auf dem Reiter "Bereich"? Es steht da ja auch, dass diese GPO nur auf die folgenden Gruppen, User und Computer zutrifft. Muss ich an anderer Stelle der Sicherheitsgruppe auch noch den Zugriff auf die GPO gestatten? Wenn ja, wo denn? Oder gilt das evtl. nur für DLS und nicht für GLS? Besten Danke nochmals TuO Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 9. Februar 2012 Melden Teilen Geschrieben 9. Februar 2012 GPMC starten > GPO auswählen so dass auf der rechten Seite die Reiter Bereich, Details, Einstellungen und Delegierung erscheinen. Reiter Delegierung anklicken, ganz unten Rechts auf Erweitert klicken. Der Rest ist selbsterklärend. ;) Zitieren Link zu diesem Kommentar
TheUnholyOne 10 Geschrieben 13. Februar 2012 Autor Melden Teilen Geschrieben 13. Februar 2012 Danke Sunny61. Das hab ich die ganze Zeit übersehen. Habe am WE längere Zeit mit den GPOs experimentiert und mir nochmals die Dokus reingezogen. Nun funktioniert es so, wie es halt funktioniert und ich weiß, was ich zu tun habe, wenn ich was anders haben möchte. Besten Dank an alle Helfenden! TuO Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.