Jump to content

GPOs 'greifen' erst nach 2x neustarten?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute,

ich habe hier ein kleines Problem:

Ich habe in meiner Testumgebung 2 GPOs erstellt wobei jede GPO für eine Abteilung steht und nur dann ausgeführt wird wenn sich ein User aus dieser Abteilung anmeldet.
Die User sind natürlich Mitglieder der Sicherheitsgruppe 'Abt_01' oder 'Abt_02'.
Ich habe, laut diversen Anleitungen, die GPOs so erstellt daß diese nur bei gegebener Berechtigung ausgeführt werden (z.B. Sicherheitsfilterung: 'Abt_01'-Sicherheitsgruppe der AD und in der Delegierung Authentifizierter Benutzer: nur lesen, 'Abt_01'-Sicherheitsgruppe: GPO ausführen und lesen).

Ich habe einen Testuser den ich mal der Gruppe 'Abt_01' und dann mal der Gruppe 'Abt_02' zuweise (nur entweder/oder) um zu sehen ob die GPOs greifen.
Jeder der GPO hat diverse Laufwerksmappings die die Abteilungsfreigaben Mappen.

Soweit so gut, bis hierhin klappt es auch wunderbar.

Ich habe also 'Testuser' in die Sicherheitsgruppe 'Abt_01' aufgenommen und am Testclient angemeldet. Die Laufwerke wurden wie gewünscht und wie erwartet gemappt.
Ich habe nun den 'Testuser' aus der Sicherheitsgruppe 'Abt_01' heraus genommen und in die 'Abt_02' aufgenommen und den Rechner neu gestartet.
Die Laufwerke waren mal nicht da, mal waren sie noch von der ersten Gruppe da (aber ohne Berechtigung darauf zuzugreifen), jedoch kein einziges mal von der Abt_02 auf Anhieb!
Erst nach einem nochmaligen Neustart war es dann so wie gewünscht, sprich: Testuser hat die Laufwerksmappings der Abt_02 erhalten (oder anders herum wenn ich von Abt_02 auf Abt_01 gewechselt bin)!

 

So, kann mir mal jemand erklären ob das normal ist oder, aufgrund der eigenen Erfahrung, sofort weiß wo was vergessen wurde oder der Gleichen?

 

Ich danke schon einmal im Voraus für eure Hilfe.

Link zu diesem Kommentar

Hi,

 

für Laufwerke würde ich nur ein GPO nehmen und dann dort per Zielgruppenadressierung die Laufwerke mappen lassen. Generell würde ich schauen, dass ich nur ein Laufwerk für alle bereitstelle und dort dann eben mittels NTFS Berechtigungen und Access Based Enumeration auf der Freigabe den Usern nur das anzeigen lassen, was sie auch was angeht.

 

Zu deinem Problem: Sind die Laufwerke auf "Erstellen", "Aktualisieren" oder "Ersetzen"?

 

Gruß

Jan

Link zu diesem Kommentar
  • 4 Wochen später...

Entschuldigt das es so lange gedauert hat. War ein ungünstiger Zeitpunkt meine Frage zu stellen da kurz darauf wir hier unser ERP-System migriert haben und ich erst jetzt wieder zu meinem Thema hier komme.

 

also, dann mache ich mal weiter:

Am 13.2.2019 um 17:56 schrieb testperson:

für Laufwerke würde ich nur ein GPO nehmen und dann dort per Zielgruppenadressierung die Laufwerke mappen lassen.

Wir haben hier mindestens 40 Gruppen bzw. Untergruppen bzw. Unteruntergruppen usw...

7 Abteilungen mit 1-2 Koordinatoren pro Abteilung mit jeweils mehreren Teamleitern mit jeweils mehreren Gruppenleitern und der dazugehörenden Gruppe.

(Abteilungsleiter (7)->Koordinator (1-2)->Teamleiter (1-n)->Gruppenleiter (1-n)->Gruppe)

Beispiel:

Abteilung Verkauf -> Unterabteilung Inland -> Unterabteilung Produktgruppe -> Unterabteilung Region

ODER

Abteilung Produktion -> Unterabteilung Koordinator X -> Unterabteilung Montage -> Unterabteilung Produktgruppe

 

Jeder Knotenpunkt hat seine eigenen Laufwerksfreigaben auf die gemappt wird.

Wenn ich das alles in eine GPO hineinstopfe, geht mir spätestens nach der Abbildung der 1 Abteilung (komplett bis zu den Gruppen herunter) aber so was von die Übersicht flöten!

Das scheint mir für mich nicht praktikabel zu sein.

 

Also habe ich für jeden 'Knotenpunkt' eine OU in der richtigen Hierarchie erstellt und in diesen GPOs die entsprechenden Laufwerkszuordnungen erstellt.

Es funktioniert auch bei meinem Test von 2 OUs (Gruppenleiter-OU / Gruppen-OU).

Was mich aber stutzig macht ist das gpresult /R mir ausgibt das beide GPOs ausgeführt werden. Kurz recherchiert und klar ist: auch hier wird nach der Hierarchie alles abgearbeitet.

Vom aktuellen Punkt bis ganz nach links....

 

So, Mist. Ich will natürlich das nur die GPO ausgeführt wird in welcher sich der angemeldete Benutzer befinden bzw. in welcher OU er zugeordnet wird (oder wenigstens die Abarbeitung der Hierarchie von links nach rechts). Sonst wird ja bei dem User aus der untersten OU (der Gruppe) auch die GPO seines Gruppenleiters, seiner Teamleiters, seines Koordinatoren und die des Abteilungsleiters ausgeführt!

Am besten wäre: jeder soll nur das bekommen was seiner OU zugewiesen wurde + Default Policy + Firmen- bzw. Standort-Policy (sofern vorhanden).

Das Einzige was mir gerade dazu einfällt ist: alle OUs 'Flach' anzulegen, also nebeneinander in der gleichen Ebene... das ist aber total unübersichtlich.

Vererbung deaktivieren ist keine gute Idee -> Default Domain Policy und andere GPOs in der gleichen Ebene werden dann auch nicht ausgeführt.

 

So, was macht ihr eigentlich so bei solchen Gegebenheiten?

Link zu diesem Kommentar
vor 16 Stunden schrieb Sunny61:

Eine Freigabe als LW mounten, den Rest per ABE aus- einblenden.

Verstehe ich das richtig:

Für alle einfach auf das Root-Verzeichnis mounten und der Domänenberechtigung überlassen was angezeigt wird und was nicht?

Dann muss sich jeder Heini erst durch 4 Unterordner durch klicken bis er zu einem gefüllten Ordner kommt?

 

 

Gibt es denn kein Konzept mit OU die in der entsprechenden Struktur der Firma abgebildet sind?

 

Zur Not könnte ich ja die Struktur einfach umdrehen: rechts die unterste Ebene und dann nach links zu den Vorgesetzten bis zum Abteilungsleiter abbilden?

Das der Vorgesetzte die ganzen GPOs von den Untergebenen 'abbekommt' ist dann nicht weiter schlimm da ja das Prinzip 'letzter zählt' verwendet wird. Die GPOs bzw. die Laufwerkszuordnungen werden einfach von der darauf folgenden GPO übersteuert...

Ist zwar auch nicht so doll aber immerhin ein wenig in die Richtung die ich mir wünschen würde...

 

bearbeitet von kaineanung
Link zu diesem Kommentar
25 minutes ago, kaineanung said:

Gibt es denn kein Konzept mit OU die in der entsprechenden Struktur der Firma abgebildet sind?

Die OU Struktur sollte nicht nach der Firma sondern nach der Administration erfolgen. Wenn ein Mitarbeiter die Abteilung wechselt will man diesen nicht in den OU's umziehen sondern die Gruppen anpassen.

Zu viele Ebenen klingt nach dem falschen Konzept. Bei meinen Kunden sind das max. 3 Ebenen bei den Umgebungen, die ich mit aufgebaut habe.

 

Evtl. hilft ja auch ein Tool wie 8Man dabei.

Link zu diesem Kommentar
vor 45 Minuten schrieb Nobbyaushb:

Man bildet die Firma nicht mit den OU ab - das geht früher oder später in die Hose, siehe Dukel

Das ist alles gut und schön. Sollte ich jemals die Firma wechseln werde ich mir vorher deren Ordnerstruktur anschauen bevor ich zusage... aber das hier ist nun mal so wie es ist.

Bisher wurde die Laufwerkszuordnung von einem Tool erledigt welches die Gruppenzugehörigkeit ausliest und entsprechend der in der INI-Datei hinterlegten Zuordnung mappt. Dies wird im Logon-Skript ausgeführt.

Ich will jetzt weg vom Logon-Skript und hoffe eine Lösung, die aber nicht das komplette Umwerfen unserer Ordnerstruktur beinhaltet, zu finden die das per GPO macht.

Voraussetzung ist aber das die Ordnerstruktur nicht angerührt wird.

vor einer Stunde schrieb Dukel:

u viele Ebenen klingt nach dem falschen Konzept. Bei meinen Kunden sind das max. 3 Ebenen bei den Umgebungen, die ich mit aufgebaut habe.

Ok, ich rudere hiermit ein wenig zurück. Bei uns sind es max. 4 Ebenen. also 1 Ebene mehr als bei dir. Das wird doch noch abgebildet werden können...

Koordinator Verkauf -> Teamleiter Verkauf -> Gruppenleiter Verkauf-> Gruppe Verkauf

 

@all

 

Noch jemand konstruktive Vorschläge? Ideen? Ansätze? Ich will wenigstens etwas modernen werden und weg von W2K3 hin zu W2K16 und weg von Logon-Skripte hin zu GPO.

Wenn das zur Folge hätte das die Ordnerstruktur geändert werden würde, würde mindestens das Logon-Skript mit dem Mappingtool weitergeführt werden. Darauf habe ich absolut null Bock und klammere mich an jeden Strohhalm welches mir die neuen DCs bieten... und wenn es die Abbildung der Firma in OUs sein sollte... oder wenn alle OUs flach liegen sollten (das ist meine letzte Lösung da doch auch etwas unübersichtlich...)

Link zu diesem Kommentar

Bei uns sind es ingesamt drei Ebenen. Nicht drei ebenen von Usern.

Firma/Bereich

        -> Users

        -> Groups

        -> Clients -> Desktops

        -> Clients -> Laptops

        -> Servers

...

 

Eine OU-Struktur (und auch Ordnerstruktur) muss nicht auf ewig da stehen. Diese kann man auch ändern!

Link zu diesem Kommentar
vor 4 Minuten schrieb Dukel:

Eine OU-Struktur (und auch Ordnerstruktur) muss nicht auf ewig da stehen. Diese kann man auch ändern!

Macht es nicht Sinn die Firma in der Ordnerstruktur abzubilden? Berechtigungen werden nach unten vererbt und der Chef steht oben an der Spitze (gleich nach der EDV..;)) und darunter die Teams, die Gruppen und dann die Users.

Jeder steigt in seine Ebene ein was die Berechtigung angeht und darf nach unten schauen. Andersherum natürlich nicht...

So sollte es doch auch sein oder nicht? Ich rede jetzt von der reinen Ordnerstruktur. OU ist dann eine andere Geschichte! Aber ich dachte das könnte ich auch so nutzen aber die GPOs machen mir da ein Strich durch die Rechnung...

 

Wie auch immer: ich werde in eminer Testumgebung weiter experimentieren. Dann eben die OUs flach halten...

 

Link zu diesem Kommentar

Wenn oben nur der Chef zugriff hat, wo greifen die Benutzer dann zu, wenn diese keine Berechtigungen haben?

 

Auch die Ordner / Sharestruktur würde ich nicht nach der Firma aufbauen, sondern nach den "Business Needs".

Es gibt die Möglichkeit, dass jede Abteilung einen Bereich bekommt oder es gibt generelle Bereiche und darunter wird es wild oder es gibt generelle Bereiche und darunter eine Ebene mit den Abteilungen oder... oder ... oder.

 

Hier ist auch sinnvoller die Berechtigungsstrukturen flach zu halten. 1-2 Ebenen in denen die Berechtigungen vergebene werden und darunter müssen die Bereiche sich Organisieren. Und bei den Berechtigungen auch nicht Teamweise sondern Rollenbasiert.

Das lässt sich mittels https://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/  (AGDLP) umsetzen.

Link zu diesem Kommentar

Ich bin da ganz bei kaineahnung.

Um eine Struktur so umzusetzen bräuchte man erst mal ein vernünftiges Berechtigungskonzept.
In vielen Firmen ist aber die Dateiablage ein gewachsenen System was man nicht so einfach ändern kann.

Wir versuchen seit mehr als 3 Jahren alle auf ein zentrale Laufwerk umzustellen. Es gibt aber immer noch einen Fachbereich der sich da schlicht verweigert.

Unsere OUs bilden auch die Firmenstruktur ab. Das war der kleinste gemeinsame Nenner aller Strukturen.
Die Berechtigungen liegen dann eh in Gruppen. Denen sind die OUs egal.

 

Unser Laufwerkskonstrukt ist dementsprechend kompliziert.

Zu den Ordnern: mit jeder Ebene addieren sich die Rechte. Der mit den meisten Rechten muss also tiefer im Verzeichnisbaum sein. Da ist NTFS einfach rückschrittlich. Ich hätte es nie gedacht dass ich mal etwas an Novell Netwate gut finden würde, aber das Rechtesystem war im Vergleich echt genial.

 

Link zu diesem Kommentar
vor 44 Minuten schrieb magheinz:

Unser Laufwerkskonstrukt ist dementsprechend kompliziert.

Zu den Ordnern: mit jeder Ebene addieren sich die Rechte. Der mit den meisten Rechten muss also tiefer im Verzeichnisbaum sein. Da ist NTFS einfach rückschrittlich. Ich hätte es nie gedacht dass ich mal etwas an Novell Netwate gut finden würde, aber das Rechtesystem war im Vergleich echt genial.

Sag ich ja schon immer. An der Stelle hätte Microsoft sich bei Novell einiges abschauen können.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...