tomspatz 10 Geschrieben 28. April Melden Geschrieben 28. April Moin Ich habe eine AD die soweit auch durchkonfiguriert ist. Nun gibt es zwei varianten von Clients. Die echten Desktops bzw. Notebooks. sowie auch einige die auf Hyper-V laufen. Ich hätte gerne eine GPO NUR für die Virtuellen Clients die das herunterfahren verhindert. Die Einstellung ist ja auch klar. Ich kriege es mit der Verteilung nicht hin. Mein Ansatz bislang: Unter AD Benutzer und Computer habe ich eine Sicherheitsgruppe "Virtuelle Clients" deren Mitglieder sind die entsprechenden Clients. In der GPO Verwaltung habe ich unterhalb der Default Domain Policy eine weitere "Herunterfahren GPO" Gruppenrichtlinienobjekt erstellt. Dort dann in der Sicherheitsfilterung die Sicherheitsgruppe "Virtuelle Clients" hinzugefügt. doch das greift leider nicht Ist mein Ansatz überhaupt so OK.? Habt Ihr andere Vorschläge. Vielen dank schon mal vorab Tom Zitieren
cj_berlin 1.425 Geschrieben 28. April Melden Geschrieben 28. April Moin, GPRESULT ist Dein Freund. Es kann für das Verhalten einige Gründe geben: Reihenfolge ist falsch, so dass die Standard-GPO immer gewinnt Die virtuellen Computer wurden nicht rebootet, nachdem sie zu der Gruppe hinzugefügt wurden, und es ist nicht genug Zeit (10h) vergangen Die andere GPO ist erzwungen oder noch irgendetwas. Wie gesagt, GPRESULT (auf dem Hyper-V-Client) ist Dein Freund. Zitieren
testperson 1.787 Geschrieben 28. April Melden Geschrieben 28. April Hi, vor 48 Minuten schrieb tomspatz: In der GPO Verwaltung habe ich unterhalb der Default Domain Policy eine weitere "Herunterfahren GPO" Gruppenrichtlinienobjekt erstellt. die Frage ist, ob es - sofern ich das richtig lese - sinnvoll ist, so eine GPO auf Domain Ebene zu verlinken. Wo liegen denn deine Computer Objekte und wäre es hier evtl. besser, die VMs in eine eigene OU zu packen? Bspw. eine OU "Meine Clients" und darunter dann eine OU "virtuelle Clients" und evtl. "Notebooks" sowie "Desktops" o.ä. Dann kannst du die Policies für alle deine Computer an "Meine Clients" linken und die restlichen GPOs dann halt an "virtuelle Clients", "Desktops", etc... Gruß Jan Zitieren
tomspatz 10 Geschrieben 29. April Autor Melden Geschrieben 29. April gprseult bringt mir zu mindestens Grund: abgelehnt Zugriff verweigert (Sicherheitsfilterung) die verschiedenen OU in der GPO Verwaltung oder unter AD? Sorry ich kann nicht ganz folgen Zitieren
testperson 1.787 Geschrieben 29. April Melden Geschrieben 29. April vor 14 Minuten schrieb tomspatz: die verschiedenen OU in der GPO Verwaltung oder unter AD? Das sollten unterm Strich die gleichen OUs sein. Zitieren
tomspatz 10 Geschrieben 29. April Autor Melden Geschrieben 29. April (bearbeitet) hmmmm OK also im Moment sieht es so aus: In der AD gibt es ja schon die OU Computers, dort sind ALLE Clients gelistet. Somit auch alle Domänencomputer Eine neue OU "Virtuelle Clients" und diese dann dorthin verschieben. So weit OK. Die Default Domain Policy würde dann immer noch die Virtuellen "erreichen" dann weiter ?? SORRY ich stehe total auf dem Schlauch bearbeitet 29. April von tomspatz Zitieren
daabm 1.396 Geschrieben 29. April Melden Geschrieben 29. April Es ist nicht "die" AD, sondern "das" AD. "Computers" ist keine OU, sondern ein Container. Wenn alle Clients da drin liegen, ist Euer AD ausbaufähig, aber das ist per Forum nicht zu leisten. Und Hardware-Eigenschaften filtert man nicht über Gruppenmitgliedschaften, sondern über WMI-Filter (Win32_Computersytem, Manufacturer oder BIOS). Ich hab irgendwann mal ein Buch darüber geschrieben, vielleicht würde Dir die erste Hälfte davon jetzt helfen Zitieren
Sunny61 824 Geschrieben 29. April Melden Geschrieben 29. April (bearbeitet) vor 5 Stunden schrieb tomspatz: In der AD gibt es ja schon die OU Computers, dort sind ALLE Clients gelistet. Somit auch alle Domänencomputer Eine neue OU "Virtuelle Clients" und diese dann dorthin verschieben. So weit OK. Das soll nur als Vorschlag dienen wie man evtl. das AD umbauen könnte: https://www.gruppenrichtlinien.de/artikel/erstellen-einer-gruppenrichtlinie Wenn ich das noch richtig abgespeichert habe, greift in den Container Computers und Users nur die Default Domain Policy. bearbeitet 29. April von Sunny61 Zitieren
cj_berlin 1.425 Geschrieben 30. April Melden Geschrieben 30. April vor 9 Stunden schrieb Sunny61: Wenn ich das noch richtig abgespeichert habe, greift in den Container Computers und Users nur die Default Domain Policy. Nein, alles, was auf Domain- und Site-Ebene verknüpft ist. Zitieren
Sunny61 824 Geschrieben Mittwoch um 08:48 Melden Geschrieben Mittwoch um 08:48 @cj_berlinDanke für die Korrektur. ;) Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.