Jump to content
Dieses Thema

GPO Problem

al3x

Von al3x
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

al3x Rising Star

al3x   11

Geschrieben
Geschrieben

Guten Morgen,

 

ich steh irgendwie grad aufm Schlauch. Folgendes Szenario:

 

Es existiert eine sep. OU für die WSUS-Updates, darin ist eine Sicherheitsgruppe mit allen relevanten Client-Computerkonten.

 

Domain

--- DomainController

--- Abteilung 1

----------- Rechner A

----------- Rechner B

----------- User X

--- Abteilung 2

----------- Rechner C

----------- User Y

 

--- WSUS-Clients

------------Gruppe-WSUS (Rechner A,B,C...)

 

Für diese OU (WSUS-Clients) gibt es eine policy (nur Computerkonfiguration), die die Einstellungen für den WSUS beinhaltet.

Die Sicherheitsgruppe ist per Sicherheitsfilterung mit dieser policy verknüpft. Authentifizierte Benutzer ist entfernt.

 

Wende ich gpresult oder die Gruppenrichtlinienergebnisse an, zeigt sich, dass die policy bei den Rechnern aus WSUS-Clients nicht greift!

 

Was hab ich übersehen?

 

Sunny61 Grand Master

Sunny61   830

Geschrieben
Geschrieben (bearbeitet)

Gruppenrichtlinien wirken nicht auf Gruppen, sondern nur auf eine Gruppe von Objekten. ;)

 

EDIT: Hier die passenden Artikel zum einlesen:

http://www.gruppenrichtlinien.de/artikel/erstellen-einer-gruppenrichtlinie/

http://www.gruppenrichtlinien.de/artikel/filtern-von-gruppenrichtlinien-anhand-von-benutzergruppen-wmi-und-zielgruppenadressierung/

bearbeitet von Sunny61
al3x Rising Star

al3x   11

Geschrieben
  • Autor
Geschrieben
  Am 14.7.2015 um 06:13 schrieb testperson:

Hi,

 

befindet sich in der OU WSUS-Clients nur die Gruppe oder auch Computer Konten? Sollte sich nur die Gruppe in der OU befinden, dann ist das so richtig, was er da anzeigt ;)

 

Gruß

Jan

Ja, in der OU befindet sich eine Gruppe, deren Mitglieder alle relevanten Rechner sind!

Sunny61 Grand Master

Sunny61   830

Geschrieben
Geschrieben
  Am 14.7.2015 um 09:53 schrieb al3x:

Ja, in der OU befindet sich eine Gruppe, deren Mitglieder alle relevanten Rechner sind!

Lies die verlinkten Artikel sehr aufmerksam durch, dann sollte es klar sein.

 

Nochmal: Gruppenrichtlinien wirken nicht auf Gruppen, sondern nur auf Objekte.

Forseti2003 Rising Star

Forseti2003   14

Geschrieben
Geschrieben

Setz die GPO WSUS ganz nach oben unterhalb Deiner Domäne (da liegt auch meist die Default DomainPolicy).

Damit wirkt die GPO auf alles, was unterhalb oder auf gleicher Höhe liegt.

 

Mittels Gruppe filterst Du ja nur, wer dann darauf zugreifen, aber nicht, wer die GPO sehen kann.

Danach sollten die Clients die GPO WSUS sehen können und, sofern mittels Gruppe oder WMI-Filter gesetzt auch anwenden können.

 

Je nachdem auch noch ein gpupdate /force setzen. Dann wird das schneller umgesetzt.

NorbertFe Grand Master

NorbertFe   2.266

Geschrieben
Geschrieben
  Am 14.7.2015 um 10:12 schrieb Forseti2003:

Je nachdem auch noch ein gpupdate /force setzen. Dann wird das schneller umgesetzt.

Blödsinn, da wird überhaupt nichts "schneller umgesetzt". Jemand der /force mit der Begründung nutzt, hat's nicht verstanden. ;) ALle die es verstanden habe, verwenden das nur bei Bedarf.

 

Bye

Norbert

al3x Rising Star

al3x   11

Geschrieben
  • Autor
Geschrieben
  Am 14.7.2015 um 10:12 schrieb Forseti2003:

Setz die GPO WSUS ganz nach oben unterhalb Deiner Domäne (da liegt auch meist die Default DomainPolicy).

Damit wirkt die GPO auf alles, was unterhalb oder auf gleicher Höhe liegt.

 

Mittels Gruppe filterst Du ja nur, wer dann darauf zugreifen, aber nicht, wer die GPO sehen kann.

Danach sollten die Clients die GPO WSUS sehen können und, sofern mittels Gruppe oder WMI-Filter gesetzt auch anwenden können.

 

Je nachdem auch noch ein gpupdate /force setzen. Dann wird das schneller umgesetzt.

klar, dann funktioniert es, da alle Rechner ja in der Struktur "darunter" liegen.

Ich dachte man kann das auch über eine sep. OU regeln, da in der Gruppe ja dann Objekte - sprich Rechner- drin sind..?!

 

Alle Rechner in diese OU zu schieben, wollte ich vermeiden. Die Computerobjekte liegen jeweils in ihrer eigenen OU (von wo sie Event. auch andere Richtlinien ziehen).

Sunny61 Grand Master

Sunny61   830

Geschrieben
Geschrieben
  Am 14.7.2015 um 13:51 schrieb al3x:

klar, dann funktioniert es, da alle Rechner ja in der Struktur "darunter" liegen.

Ich dachte man kann das auch über eine sep. OU regeln, da in der Gruppe ja dann Objekte - sprich Rechner- drin sind..?!

Gruppenrichtlinien wirken nicht auf Gruppen, sondern nur auf Objekte!

 

 

  Am 14.7.2015 um 13:51 schrieb al3x:

Alle Rechner in diese OU zu schieben, wollte ich vermeiden. Die Computerobjekte liegen jeweils in ihrer eigenen OU (von wo sie Event. auch andere Richtlinien ziehen).

OUs zusammenlegen und die Filter können ja dann Sicherheitsgruppen der Abteilungen sein.

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...