GPO Problem

[al3x 11]

Guten Morgen,

 

ich steh irgendwie grad aufm Schlauch. Folgendes Szenario:

 

Es existiert eine sep. OU für die WSUS-Updates, darin ist eine Sicherheitsgruppe mit allen relevanten Client-Computerkonten.

 

Domain

--- DomainController

--- Abteilung 1

----------- Rechner A

----------- Rechner B

----------- User X

--- Abteilung 2

----------- Rechner C

----------- User Y

 

--- WSUS-Clients

------------Gruppe-WSUS (Rechner A,B,C...)

 

Für diese OU (WSUS-Clients) gibt es eine policy (nur Computerkonfiguration), die die Einstellungen für den WSUS beinhaltet.

Die Sicherheitsgruppe ist per Sicherheitsfilterung mit dieser policy verknüpft. Authentifizierte Benutzer ist entfernt.

 

Wende ich gpresult oder die Gruppenrichtlinienergebnisse an, zeigt sich, dass die policy bei den Rechnern aus WSUS-Clients nicht greift!

 

Was hab ich übersehen?

 

[testperson 1.859]

Hi,

 

befindet sich in der OU WSUS-Clients nur die Gruppe oder auch Computer Konten? Sollte sich nur die Gruppe in der OU befinden, dann ist das so richtig, was er da anzeigt ;)

 

Gruß

Jan

[Sunny61 833]

Gruppenrichtlinien wirken nicht auf Gruppen, sondern nur auf eine Gruppe von Objekten. ;)

 

EDIT: Hier die passenden Artikel zum einlesen:

http://www.gruppenrichtlinien.de/artikel/erstellen-einer-gruppenrichtlinie/

http://www.gruppenrichtlinien.de/artikel/filtern-von-gruppenrichtlinien-anhand-von-benutzergruppen-wmi-und-zielgruppenadressierung/

bearbeitet 14. Juli 2015 von Sunny61

[al3x 11]

Hi,

 

befindet sich in der OU WSUS-Clients nur die Gruppe oder auch Computer Konten? Sollte sich nur die Gruppe in der OU befinden, dann ist das so richtig, was er da anzeigt ;)

 

Gruß

Jan

Ja, in der OU befindet sich eine Gruppe, deren Mitglieder alle relevanten Rechner sind!

[testperson 1.859]

Also befindet sich in der OU seblst kein Computer Objekt..

Siehe: http://www.mcseboard.de/topic/204015-gpo-problem/?do=findComment&comment=1274056

bearbeitet 14. Juli 2015 von testperson

[Sunny61 833]

Ja, in der OU befindet sich eine Gruppe, deren Mitglieder alle relevanten Rechner sind!

Lies die verlinkten Artikel sehr aufmerksam durch, dann sollte es klar sein.

 

Nochmal: Gruppenrichtlinien wirken nicht auf Gruppen, sondern nur auf Objekte.

[Forseti2003 14]

Setz die GPO WSUS ganz nach oben unterhalb Deiner Domäne (da liegt auch meist die Default DomainPolicy).

Damit wirkt die GPO auf alles, was unterhalb oder auf gleicher Höhe liegt.

 

Mittels Gruppe filterst Du ja nur, wer dann darauf zugreifen, aber nicht, wer die GPO sehen kann.

Danach sollten die Clients die GPO WSUS sehen können und, sofern mittels Gruppe oder WMI-Filter gesetzt auch anwenden können.

 

Je nachdem auch noch ein gpupdate /force setzen. Dann wird das schneller umgesetzt.

[NorbertFe 2.283]

Mit dem Argument erschlägst du jedes sinnvolle Design. ;) Ich würde sagen, er kann das tun, wenn er verstanden hat, warum es manchmal notwendig ist aber meist besser auf OU ebene zu verlinken.

[Sunny61 833]

Je nachdem auch noch ein gpupdate /force setzen. Dann wird das schneller umgesetzt.

Es *muss* auch ohne /force umgesetzt werden, allerspätestens beim nächsten Neustart.

[NorbertFe 2.283]

Je nachdem auch noch ein gpupdate /force setzen. Dann wird das schneller umgesetzt.

Blödsinn, da wird überhaupt nichts "schneller umgesetzt". Jemand der /force mit der Begründung nutzt, hat's nicht verstanden. ;) ALle die es verstanden habe, verwenden das nur bei Bedarf.

 

Bye

Norbert

[al3x 11]

Setz die GPO WSUS ganz nach oben unterhalb Deiner Domäne (da liegt auch meist die Default DomainPolicy).

Damit wirkt die GPO auf alles, was unterhalb oder auf gleicher Höhe liegt.

 

Mittels Gruppe filterst Du ja nur, wer dann darauf zugreifen, aber nicht, wer die GPO sehen kann.

Danach sollten die Clients die GPO WSUS sehen können und, sofern mittels Gruppe oder WMI-Filter gesetzt auch anwenden können.

 

Je nachdem auch noch ein gpupdate /force setzen. Dann wird das schneller umgesetzt.

klar, dann funktioniert es, da alle Rechner ja in der Struktur "darunter" liegen.

Ich dachte man kann das auch über eine sep. OU regeln, da in der Gruppe ja dann Objekte - sprich Rechner- drin sind..?!

 

Alle Rechner in diese OU zu schieben, wollte ich vermeiden. Die Computerobjekte liegen jeweils in ihrer eigenen OU (von wo sie Event. auch andere Richtlinien ziehen).

[NorbertFe 2.283]

Nein, Gruppenrichtlinien wirken nicht auf "Gruppen". Egal was du dir dabei gedacht hast. ;) Also designe dein AD entsprechend deinen administrativen Anforderungen, dann ist das genauso einfach lösbar.

[al3x 11]

Hallo Norbert,

 

du würdest also eher eine OU mit Computern anlegen und nicht die Computer in die Abteilungen verschieben?

[Sunny61 833]

klar, dann funktioniert es, da alle Rechner ja in der Struktur "darunter" liegen.

Ich dachte man kann das auch über eine sep. OU regeln, da in der Gruppe ja dann Objekte - sprich Rechner- drin sind..?!

Gruppenrichtlinien wirken nicht auf Gruppen, sondern nur auf Objekte!

 

 

Alle Rechner in diese OU zu schieben, wollte ich vermeiden. Die Computerobjekte liegen jeweils in ihrer eigenen OU (von wo sie Event. auch andere Richtlinien ziehen).

OUs zusammenlegen und die Filter können ja dann Sicherheitsgruppen der Abteilungen sein.

[NorbertFe 2.283]

Hallo Norbert,

 

du würdest also eher eine OU mit Computern anlegen und nicht die Computer in die Abteilungen verschieben?

Was ist denn die Anforderung? Danach sollte sich das Design richten.