Jump to content
Kupfer89

Benutzer-GPO greift nicht // Falsche Verknüpfung?

Empfohlene Beiträge

Hallo zusammen,

 

ich glaube ich habe hier ein kleines Verständnisproblem  :confused:

 

Folgendes Beispiel:

 

Im AD gibt es eine OU "Terminal" in der alle Terminalserver enthalten sind.

In einer OU "Benutzer" sind weitere OUs mit dem Namen der jeweiligen Niederlassung, in denen wiederum die Benutzer enthalten sind.

Die OU "Terminal" und "Benutzer" sind auf einer Ebene, GPOs die also an die OU "Terminal" angehängt werden, greifen nicht bei der OU "Benutzer".

 

Soweit alles klar.

 

Jetzt sollen die Benutzer in den jeweiligen Niederlassungen ihre benötigten Drucker zugewiesen bekommen.

Dies wollte ich über eine GPO lösen und jeder Niederlassung in der OU "Benutzer", eine eigene GPO zur Verteilung erstellen und zuordnen.

Eingestellt wurde in der GPO alles unter "Benutzerkonfiguration".

 

Leider greifen die Einstellungen nur, wenn die GPO mit der OU "Terminal" verknüpft wird.

 

 

Sollte dies nicht auch funktionieren, wenn die Verknüpfung nur mit den Niederlassungs-Ous verknüpft wurde?

Ist doch schließlich eine GPO für die Benutzer und nicht die Computer?  :confused:

 

Wäre halt auch wesentlich übersichtlicher.

 

Vielen Dank für die Hilfe!

 

MfG

Kupfer89

bearbeitet von Kupfer89

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hi,

 

ich vermute mal, eine GPO die mit "Terminal" verknüpft ist hat den "Loopbackverarbeitungsmodus" aktiv und es ist "Ersetzen" gewählt.

Generell ist Drucker per GPO eine Sache mit der man sich sehr schnell zu Tode administriert.

 

Etwas zum Lesen: https://www.gruppenrichtlinien.de/artikel/drucker-verteilen-und-bereitstellen/

 

Gruß

Jan

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Mit "Zusammenführen" sollte es eigentlich so funktionieren. Prüfe mal mit "gpresult /h gpo.html && gpo.html" was da aus welchem GPO angewendet wird (und ob es nicht doch noch ein GPO mit "Ersetzen" gibt).

Da beim "Zusammenführen" deine GPOs 2x abgearbeitet werden, bin ich eh kein Freund von "Zusammenführen".

 

Du könntest komplett auf den Loopbackverarbeitungsmodus verzichten und entsprechend mit Sicherheitsfiltern arbeiten.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Prüfe mal mit "gpresult /h gpo.html && gpo.html" was da aus welchem GPO angewendet wird (und ob es nicht doch noch ein GPO mit "Ersetzen" gibt).

 

In dem erstellten Bericht wird meine mit der OU "Benutzer" verknüpfte GPO weder unter den angewendeten GPOs, noch unter den abgelehnten GPOs erwähnt.

Diese scheint als überhaupt nicht "vorhanden" zu sein  :confused:

 

Wenn ich die GPO hingegen direkt mit der Domäne verbinde, diese also wieder vererbt wird, dann klappt es auch wieder.

Also irgendwie bekommt der Client nicht mit, dass noch in der OU auf der selben Ebene nebenan, noch eine GPO liegt die für die Benutzer abgearbeitet werden muss.

 

 

 

Die Authentifizierten Benutzer sind in den neuen GPOs auch mit Leserechten eingetragen? https://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/

 

Jau, das ist alles richtig eingestellt.

Wenn ich die GPO mit der OU "Terminal" verknüpfe, dann geht es ja.

bearbeitet von Kupfer89

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

In dem erstellten Bericht wird meine mit der OU "Benutzer" verknüpfte GPO weder unter den angewendeten GPOs, noch unter den abgelehnten GPOs erwähnt.

Diese scheint als überhaupt nicht "vorhanden" zu sein  :confused:

 

Steht denn in dem Bericht was vom Loopbackverarbeitungsmodus? Und ob da wirklich "Zusammenführen" ankommt oder vielleicht doch "Ersetzen"?

So wie du es schilderst, ist es halt genau das Verhalten von "Ersetzen".

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich habe nun den Bericht komplett durchforstet, aber nur eine Einstellung hierzu gefunden und diese steht auf "Zusammenführen".


Ich habe mal weiter probiert.

Wenn ich die GPO nun mit der OU "Benutzer" verknüpfe, dann funktioniert es auch.

Eine Ebene tiefer, also "Benutzer -> Niederlassung", wird die GPO nicht mehr verarbeitet.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Kannst du evtl. einmal alle GPOs prüfen, ob da nicht in irgendeiner Loopback Ersetzen aktiv ist (Auch wenn letztendlich am Client Looback Merge ankommt)?

Ansonsten eine Test OU für einen Test User und eine Test OU für einen Test Terminalserver und dann nach und nach die GPOs linken und testen.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ok, mittlerweile läuft die Druckerverteilung - es werden also neue Drucker über die GPO beim Benutzer installiert.

Fragt mich nicht warum...ich habe nun hin und her gedoktert und nun läuft es zumindest bis hier  :)

 

Was aber noch nicht läuft und dass mit dem beschriebenen Phänomen: 

Die alten Druckerverbindungen werden vorher nicht gelöscht, obwohl das als ersten Ausführungsschritt festgelegt worden ist.

Weder "Alle löschen", noch ein explizit ausgewählter Drucker wird entfernt.

bearbeitet von Kupfer89

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Damit hast Du natürlich recht und wahrscheinlich wird es auch auf die Lösung im Artikel hinauslaufen, aber wissen warum es jetzt nicht so klappt wie gewünscht, möchte ich trotzdem  :D  :p

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

gpresult /h report.html ist Dein Freund. Wenn Du skripten kannst, dann schmeiß die Druckerzuordnung per GPO einfach ersatzlos weg - da gibt es nichts, was zuverlässig funktioniert. BTW - hast Du die Drucker im Computer- oder User-Kontext zugewiesen? Ist "fast startup" aktiv? Dann booten die Rechner nicht wirklich, sondern gehen nur in Hibernation. Hast Du "Immer auf das Netzwerk warten" aktiv? Fragen über Fragen :-))

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

×