Jump to content

GPO mit Sicherheitsgruppe


Direkt zur Lösung Gelöst von daabm,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich arbeite seit einigen Tagen mit einer bestehenden AD. Da das Unternehmen mit der AD bisher nichts außer Benutzer erstellen gemacht hat, ist es meine Aufgabe die Funktionalität zu erweitern mit bspw. Druckerzuweisungen, Softwareverteilung ect.

Leider scheitere ich mit GPOs, welche auf bestimmte Sicherheitsgruppen angewandt werden soll. Ich hoffe ihr könnt mir weiterhelfen.

Ich habe zunächst angefangen eine OU-Struktur aufzubauen wie folgt:
 

post-73317-0-28282500-1502280842_thumb.jpg
 
Ich hoffe die Struktur ist selbsterklärend. Vielleicht nicht optimal, aber mir erschien eine solche Aufteilung als sinnvoll. In der OU "Administratoren" sind dann bspw. Benutzer mit Adminrechten. In der OU "201 (Eingang)" sind Clients, welche im Raum 201 stehen.

Ich habe nun erstmal angefangen Drucker, je nach Standort (Raum) and bestimmte Clients zu verteilen, welche im selben Raum sind.
 
Bsp.: In der OU "202 (Verwaltung)" sind 5 Clients angelegt. Zusätzlich gibt es eine Gruppe "202-Clients", in welcher alle Clients der OU Mitglieder sind. In der Gruppenrichtlinienverwaltung habe ich nun in der selben OU eine GPO angelegt, in welcher ich Drucker über "Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Bereitgestellte Drucker" bereitstelle. In der Sicherungsfilterung der GPO habe ich die Gruppe "202-Clients" hinzugefügt.

Das ganze funktioniert. Die Clients bekommen die richtigen Drucker automatisch zugeordnet.

Nun will ich etwas ähnliches mit Benutzerkonten realisieren, und daran scheitere ich. Der Hintergrund ist, dass manche Benutzer, unabhängig von der Workstation an der sie arbeiten, Zugriff auf bestimmte Drucker haben sollen. 
 
In der OU Benutzer/Abteilungen/Administratoren liegt mein Benutzerkonto. Nennen wir es "Michael". Michael ist Mitglied der Gruppe "GRP-Admin-Drucker1", welche in der selben OU liegt. Ich will nun per GPO der Gruppe "GRP-Admin-Drucker1" Zugriff auf einen besitmmten Drucker geben, ich erstelle also in der selben OU eine GPO.

Ich editiere die GPO und stelle unter "Benutzerkonfiguration -> Einstellungen -> Systemeinstellungen -> Drucker" die Druckerverbindung her. Im Dialogfenster unter "Gemeinsame Optionen" hake ich "Zielgruppenadressierung auf Elementebene" an und füge unter "Zielgruppenadressierung..." den Eintrag "Benutzer ist Mitglied der Sicherheitsgruppe "Domainname\GRP-Admin-Drucker1" (Benutzer in Gruppe) hinzu.
 
Kleiner Exkurs: Ich habe zunächst versucht die Drucker nicht über "Benutzerkonfiguration -> Einstellungen -> Systemeinstellungen -> Drucker" sondern "Benutzerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Bereitgestellte Drucker" und der Gruppe "GRP-Admin-Drucker1" in der Sicherheitsfilterung (Eben genau so wie bei den Clients) bereitzustellen. Das hat überhaupt nicht funktioniert (Drucker wurden nicht hinzugefügt). nach etwas Recherche habe ich mich dann für den gerade beschriebenen Weg über die Systemeinstellungen entschieden. 

Weiter: Stelle ich nun bei der Sicherheitsfilterung in der GPO die Gruppe "GRP-Admin-Drucker1" ein, und teste alles mit der Gruppenrichtlinienmodellierung sehe ich folgendes:

post-73317-0-41677300-1502282135_thumb.jpg

Hinter dem roten Feld verbirgt sich die GPO für die Clients, hinter dem schwarzen die für die Benutzer. Sorry ich habe es geschwärzt, da ich die eigentlichen Namen nicht ins Netz stellen will. Unter Details sehe ich (jeweils einmal für die Client- sowie für die Benutzer-GPO folgende Warnung:

post-73317-0-95204100-1502282303_thumb.jpg
 
Beide GPOs werden allerdings angewandt, ich finde sie unter "Angewandte Gruppenrichtlinienobjekte" innerhalb der Benutzer- bzw. der Computerdetails. Nun habe ich unter "Gruppenrichtlinienergebnisse" einen Test erstellt, in der sich Nutzer Michael an seiner Workstation anmeldet. Theoretisch müssten beide GPOs (Client und Nutzer) angewandt werden, und nun wirds ziemlich verrückt. Gehe in die Details der Abfrage sehe ich, dass die Client GPO ohne Fehler angewandt wurde. Bei Benutzerdetails hingegen sehe ich folgendes: 

anfaIV3.jpg
 
Die rot-hinterlegten GPO ist die Benutzerbasierte GPO für die Druckerbereitstellung. Ich hab keine Ahnung was die 3. GPO ist, es gibt nur die 1. Als Grund für die Ablehung steht jeweils "Zugriff nicht möglich". Wenn ich auf besagten Client mit dem Nutzer Michael "gpresult /h test.html" nach eine "gpupdate /force" durchführe, sehe ich in den Benutzerdetails die 3. GPO im Bild oben unter "Abgelehnte GPO" nicht, sondern nur die ersten zwei. Bei der GPO für die Druckerbereitstellung erhalte ich dann den Grund für die Ablehnung "Zugriff nicht möglich, leer oder deaktiviert" (Also auf dem Client mit gpresult). 
 

In den Details der GPO steht der Objektstatus auf "Aktiviert". 
Die Gruppe "GRP-Admin-Drucker1" hat im Delegierungs-Tab die Rechte GPO lesen und anwenden.

Ich weiß nicht wirklich weiter. Kann mir jemand von euch eventuell helfen?

 

post-73317-0-28282500-1502280842_thumb.jpg

post-73317-0-41677300-1502282135_thumb.jpg

post-73317-0-95204100-1502282303_thumb.jpg

Link zu diesem Kommentar

Moin,

 

das mit den Druckern funktioniert leider längst nicht immer so, wie man es sich wünscht. Mark Heitbrink ist daher zu dem Schluss gekommen, dass man alle regelbasierten Ansätze lieber gleich bleiben lassen sollte. Ich finde, an seiner Argumentation ist was dran.

 

https://www.gruppenrichtlinien.de/artikel/drucker-verteilen-und-bereitstellen/

 

Gruß, Nils

Link zu diesem Kommentar

Hallo Freunde,

 

danke für eure Antwort bisher.

 

Ich habe mal eben ein ähnliches Setup mit Laufwerkszuordnungen getestet, und ihr habt Recht, dort funktioniert es wesentlich verlässlicher (bzw. überhaupt).

Was mich so stört ist, dass es mal funktioniert, mal nicht. Momentan habe ich die GPO so konfiguriert, dass sie erstmal alle verbundenen Drucker löscht, und sie dann wieder hinzufügt (Vorrausgesetzt Benutzer ist in der jeweiligen Gruppe), angewandt wird die GPO auf alle Authentifizierten Benutzer.

Ausgangspunkt: Michael hat keine verbundenen Drucker. Ich füge Michael zur Gruppe hinzu und führe lokal gpupdate /Force aus und melde mich ab und wieder an -> Neuer Drucker wurde hinzugefügt. Super. Ich nehme Michael wieder aus der Gruppe raus und führe gpupdate /Force aus und melde mich ab und wieder an. Drucker ist immer noch da. Ich führe gpresult aus und sehe im Bericht, dass die besagte GPO tatsächlich ausgeführt wurde. In der GPO werden aber alle verbundenen Drucker gelöscht, und nur wieder verbunden, wenn Benutzer in Gruppe ist. Hä?

Ich blick nicht mehr durch. Die Druckerbereitstellung für die Clients scheint da besser zu funktionierten.

Link zu diesem Kommentar

Kauf Dir doch mal ein gutes Buch dazu :-))

 

Das mit dem Löschen/Hinzufügen ist suboptimal, weil es ewig dauern kann (dabei werden auch die Treiber neu installiert).

Und wenn Du MIchaels Gruppen änderst, sollte der sich neu anmelden, damit das auch in seinem Kerberos-TGT steht. Sonst ist er da nämlich immer noch drin/draußen.

 

Edit: Im GPResult siehst Du auch, welche Druckerelemente angewendet wurden. Und im GPP Debug Log siehst Du sogar, welche nicht und warum nicht.

https://blogs.technet.microsoft.com/askds/2008/07/18/enabling-group-policy-preferences-debug-logging-using-the-rsat/

bearbeitet von daabm
Link zu diesem Kommentar

Nee wenn Du skripten kannst, dann ist das immer die optimale Lösung :) Machen wir auch so - das ganze Druckergedöns per GPO ist viel zu wackelig, egal was man verwendet.

 

Genau so sieht es aus. Wie es der Zufall will, habe ich (wahrscheinlich) herausgefunden, was das Problem war... nach dem ich schon auf Skripte umgestiegen war. Die GPOs wurden mit der Fehlermeldung "Zugriff nicht möglich" abgelehnt. Wie vorher schon beschrieben war der Benutzer Michael allerdings Mitglied der Sicherheitsgruppe. Ich habe herausgefunden, dass ich der Gruppe "Authentifizierte Benutzer" Leserechte für die GPO (allerdings nicht Rechte zum übernehmen) geben muss, da Michael ja auch in dieser Gruppe ist. Ich kann jetzt nicht genau sagen ob es daran lag (da ich shcon alles umgestellt hatte und es nicht nochmal probiere), aber ich glaube das hatte auf jeden Fall etwas damit zu tun.

 

Wie dem auch sei, ich danke euch für eure Hilfe!

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...