Jump to content

GPO auf Computergruppe greift auf allen PC, nicht nur der Gruppe


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

ein Gruss in die Runde, ich habe mich hier neu registriert, weil ich ein seltsames Problem habe und ich keinen Ansatz finden konnte.

Wir arbeiten schon seit langem mit GPOs und das klappt im Wesentlichen auch gut, jetzt aber zum Problem:

Ich habe eine globale Sicherheitsgruppe GG-NTBACKUP angelegt, in der sich Computer befinden. Diese GPO verteilt eine geplante Aufgabe, dass diese PC abends ein 'wbadmin start backup...' ausführen. Die GG-NTBACKUP liest und übernimmt die GPO, aber leider auch an alle PC, die NICHT in der Gruppe sind. Ausserdem wird die Zeit auf 20h gesetzt, geplant ist sie aber für 19h. In der Delegierung habe ich die Authentifizierten Benutzer weggelassen und die GG-NTBACKUP ist die einzige, die die Gruppenrichtlinie übernehmen soll, alle anderen Gruppen an der Stelle dürfen nur lesen, mit allen anderen sind die Standardgruppen wie z.B. Domänenadmins gemeint, die automatisch mit angelegt werden. Einen WMI-Filter habe ich nicht definiert.

Das Ganze funktioniert nur wie gewollt, wenn ich anstelle der GG-NTBACKUP die einzelnen PC angebe, die Uhrzeit ist zwar weiterhin falsch, aber OK, das verwundert zwar, ist aber zu beherrschen.

 

Was zum Geier mache ich hier falsch?

 

Dankeschön und Gruss, Tom

Link zu diesem Kommentar

Ja, das GPO wird angewendet, weil du die Computer-Konten direkt berechtigt hast. Du hattest dich jedoch gewundert, warum das nicht funktioniert, wenn du nur die Gruppe GG-NTBACKUP berechtigst.

 

Wenn du die Computer-Konten in die Gruppe GG-NTBACKUP aufnimmst, musst du _zwingend_ durchbooten, damit die Computer auch mitbekommen, dass Sie Mitglied der Gruppe sind.

Link zu diesem Kommentar

Ach, bei einem gpresult /r sehe ich, dass ein bestimmter PC, meiner, Mitgleid der Sicherheitsgruppe GG-NTBACKUP ist, ich war davon ausgegangen, dass das so ausreicht. Der geplante Task erschien ja auch. Ein Reboot der entsprechenden PC ist hier schwer möglich, weil Entwickler da recht eigen sind, aber OK.

Nur verstehe ich nicht, warum sich zu viele PC angesprochen fühlten, durch welche Einstellungen mögen die sich angesprochen gefühlt haben?

 

 

 

Link zu diesem Kommentar

Hi Sunny,

ja, einfach platt in die Sicherheitsfilter rein. Ich hatte noch gelesen, dass man die 'Auth. Benutzer' zusätzlich in die Delegierung aufnehmen soll, diese aber nur lesen sollen, nicht übernehmen. Das Ergebnis blieb aber immer dasselbe. Jetzt arbeite ich, die unschöne Methode, mit den Einzelkonten der PC.

Der Plan ist ja alle 50 PC mit und mit in diese GG-NTBACKUP aufzunehmen, aber nach Aufnahme in diese Gruppe müsste der entsprechende PC ja rebootete werden, das kann es nicht sein.

 

Link zu diesem Kommentar
vor 29 Minuten schrieb TomSchmidt:

Hi Sunny,

ja, einfach platt in die Sicherheitsfilter rein. Ich hatte noch gelesen, dass man die 'Auth. Benutzer' zusätzlich in die Delegierung aufnehmen soll, diese aber nur lesen sollen, nicht übernehmen. Das Ergebnis blieb aber immer dasselbe. Jetzt arbeite ich, die unschöne Methode, mit den Einzelkonten der PC.

Der Plan ist ja alle 50 PC mit und mit in diese GG-NTBACKUP aufzunehmen, aber nach Aufnahme in diese Gruppe müsste der entsprechende PC ja rebootete werden, das kann es nicht sein.

 

 

Tja, ich boote nach so einer Aktion die PCs einmal neu durch, schon funktioniert alles. :) Wenn Du einen Benutzer in eine neue Gruppe aufnimmst, musst Du den doch auch ab- und wieder anmelden. Beim PC ist das ein Reboot.

 

Lies doch mal diesen Artikel: https://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/

vor 1 Minute schrieb TomSchmidt:

Hi Norbert,

wenn ich entscheide Abteilung X mit in das Backupschema aufzunehmen, müssten dort alle PC rebootet werden, das ist unschön. Darum kann es das nicht sein. Und wie gesagt, auch ohne Reboot kam die GPO an, nur bei zu vielen PC. Dieses 'Fehlverhalten' würde mich interessieren.

Wahrscheinlich dürfen doch alle auch das GPO übernehmen, und nicht nur Lesen.

Link zu diesem Kommentar
vor 6 Minuten schrieb TomSchmidt:

enn ich entscheide Abteilung X mit in das Backupschema aufzunehmen, müssten dort alle PC rebootet werden, das ist unschön.

Bei Verwendung einer Gruppe, in die das Computerkonto erst später aufgenommen wird, aber vollkommen logisch. Egal wie "unschön" du das findest. Ohne Reboot gehts, weil du entweder eine bereits vorhandene Gruppe wie Authentifizierte Nutzer oder Domänencomputer verwendet hast, in der jeder Computer automatisch enthalten ist, oder weil du wie oben geschrieben, die Konten einzeln berechtigt hast. Ich seh dein Problem grad nicht. :)

 

Bye

Norbert

Link zu diesem Kommentar

Hi,

@Sunny61, diesen Artikel habe ich gesehen und daher auch meine Anmerkung mit den Authentifizierten Benutzern. Unde nein, übernehmen dürfen sicher nur die Computerkonten bzw. vorher die GG-NTBACKUP.

 

@NorbertFe, das unschöne ist einfach die Übersicht, eine Gruppe, in die man einen PC rein wirft und nur diese Gruppe in der Sicherheitsfilterung steht ist übersichtlicher, als ein Rudel von ca. 50 PC, daher arbeite ich nach Möglichkeit immer mit Gruppen, nur dieses 'Phenomen' ist mir noch neu, meistens sind es ja Benutzergruppen, wo letztlich das Gleiche gilt, das ist richtig.

 

Aber es müsste ja gehen, wenn ich diese GG-NTBACKUP als leere Gruppe mit aufnehme und nach dem nächsten Patchday sie mit PC befülle. Denn nach dem Patchday müssen alle ja rebooten. Dann müsste ja Norbert's Anmerkung bzgl der bereits vorhandenen Gruppen greifen.

 

Jedenfalls DANKE! für eure Hilfe, Tom

Link zu diesem Kommentar
vor 45 Minuten schrieb TomSchmidt:

Aber es müsste ja gehen, wenn ich diese GG-NTBACKUP als leere Gruppe mit aufnehme und nach dem nächsten Patchday sie mit PC befülle. Denn nach dem Patchday müssen alle ja rebooten. Dann müsste ja Norbert's Anmerkung bzgl der bereits vorhandenen Gruppen greifen.

Du musst die Gruppe _vor_ dem nächsten Patchday befüllen _bevor_ die PCs durchbooten!

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...