Gpmc

[Rudman 10]

Hallo Leute,

 

ich steh mal wieder auf dem Schlauch.

Ich nutze schon eine ganze weile die GPMC und heute fällt mir auf, das der Container Computers fehlt.

Ich habe eine OU Grurilie Gruppen dort befinden die Gruppen die auf die GPo´s wirken.

Ich habe im OU´s die nach dem jeweiligen Standort benannt sind.

 

Die Gpo´s habe ich nur auf die OU Grurilie Gruppen verknüpft, und die jeweilige gruppe der GPO zugeordnet. In den Gruppen befinden sich die User aus den einzelnen Standort OU´s.

 

Heute habe ich eine GPo für meinen WSUS ( noch keine Erfahrung mit ding gemacht ) erstellt,

habe unter Computerkonfiguration Einstellungen die den WSUS betreffen gemacht.

Die Gpo habe ich wieder auf die OU Grurilie Gruppen verknüpft, und der Gruppe WSUS zugeordnet. In dieser Gruppe befinden sich die Computerkonten auf die die GPO wirken soll.

Macht es aber nicht. Wirkt das überhaupt auf Computerkonten, oder muss ich da wieder User eintragen.

So wie ich das aber verstehe, ist die Computerkonfiguration unabhängig vom User der sich dort anmeldet.

 

Vielen Dank für Ratschläge.

[Christoph35 10]

Die Container Users und Computers sind keine OUs, darum kann man an sie keine GPOs binden.

 

Christoph

[Rudman 10]

Klingt erstmal Plausibel, also sollte ich eine OU erstellen in die ich die Computerkonten verschiebe. Und die betreffenden Computer in die Gruppe WSUS mit aufnehme.

[PAT 10]

Grundsätzlich solltest Du nur mit den OUs arbeiten, alleine schon aus dem von Christoph35 genannten Grund.

[Rudman 10]

Also nochmal zum Verständnis.

Alle Computer liegen im Container Computers.

In einer OU Grurilie liegt ne Gruppe WSUS dieser Gruppe gehören 2 PC´s an.

Damit die GPo´s drauf wirken muss ich dir Pc´s erst in eine OU verschieben.

[Christoph35 10]

Auch wenn der Name etwas anderes suggeriert, werden Gruppenrichtlinien nicht an Gruppen gebunden, sondern an OUs, Domain und Sites und wirken auf Computer und Userkonten, nicht auf Gruppenkonten.

 

D.h. für dich, du erstellst eine OU, in die Du die Computerkonten verschiebst, und bindest die Richtlinie an diese OU.

 

Christoph

[IThome 10]

Das wäre dann die dezentrale Variante. Es klappt aber auch, wenn das GPO an eine zentrale Stelle gelinkt und dort mit Sicherheitsfilterung gearbeitet wird (wo dann Deine Gruppe zum Tragen kommt). Es gibt also mehrere Varianten, wie und wo Gruppenrichtlinien angewendet werden und es liegt an der Struktur, was am besten geeignet ist (ich würde in Deinem Fall auch mit OUs arbeiten, das mit der Sicherheitsfilterung war nur der Vollständigkeit halber) ...

[Christoph35 10]

Hast recht, ITHome. Aber ich persönlich finde die Arbeit mit Securityfiltering etwas umständlich und aufwändig.

 

Christoph

[Rudman 10]

Warum, das mit den gruppen klappt einwandfrei.

In der OU gibts noch mehr Gruppen, die viele User als Mitglieder haben. Die Gpo ist an die Gruppe gebunden mit lesen und gruppenrichtlinie übernehmen.

Z.B. in der Gpo Internetverbot verweise ich die Startseite auf einen kleinen Webserver in der nur ein Bild mit einem Verbostzeichen hinterlegt ist, dazu einen nicht existenten Proxy, so daß keine andere Seite angezeigt werden kann. Diese GPo wirk auf die Gruppe Internetverbot, von dieser Gruppe sind ca. 100 User Mitglieder, die Mitlgieder sind in vielen verschiedenen OU´s da diese nach Standorten sortiert bzw. angelegt sind.

Die GPO ist nur mit der OU Grurilie Gruppen verknüpft und nur die Gruppe hat das recht die Gruppenrichtlinie zu übernehmen. All diese User bekommen als Startseite das Verbotsschild angezeigt.

[IThome 10]

Hast recht, ITHome. Aber ich persönlich finde die Arbeit mit Securityfiltering etwas umständlich und aufwändig.

 

Christoph

Hi Christoph,

 

mir in der Regel auch, aber manchmal gehts nicht anders oder es ist in bestimmten Situationen auch einfach flexibler, WMI-Filterung z.B.

 

Gruss

 

Sven

[Christoph35 10]

Habe ja nicht gesagt, dass das mit der Security Filterung nicht gehen würde. Ich finde nur, dass es die Geschichte etwas komplizierter macht und weniger leicht zu überschauen ist.

 

Wo hast Du die Richtlinie mit dem Internetverbot gelinkt? An die Domain? Oder eine OU? Und wenn OU, dann sind da auch die User-Accounts drin, nicht wahr?

 

Christoph

[Rudman 10]

In dem Punkt Gruppenrichtlinienobjekte stehen meine GPOs.

Rechts daneben weiße ich via Sicherheitsfilterung die GRuppen zu. Diese stehen in einer gesonderten OU für Gruppenrichtlinien Gruppen.

Auch die Gruppe WSUS liegt in dieser OU, Mitglieder sind aber nur Computer, diese liegen alle noch im Container Computers. ( Weswegen das bestimmt auch nicht klappt )

Insgesammt hab ich hier ca. 20 OU´s die nach Standorten benannt sind. Darin sind die User die in diesem Standort arbeiten. Auf diese OU´s sind keine GPO´s verknüpft, da ich dies für unübersichtlich halte.

So haben ca. 5 von ca. 20 Usern pro "Standort OU" kein recht ins internet zu gehen.

ehe ich die verschiebe, sollten die doch eher einer Gruppe angehören auf die die GPo wirkt.

[Christoph35 10]

Also, wenn ich dich richtig verstanden habe, hast du eine OU, in der nur Gruppenkonten liegen.

 

An diese OU hast du die Richtlinie WSUS und die Internet-Richtlinie(n) gebunden.

Desweiteren hast Du Security Filtering auf die Gruppenrichtlinien angewandt.

 

Die Internetrichtlinien sind auch nicht an die OUs gebunden, in denen die Userkonten enthalten sind.

 

Bist Du Dir ganz sicher, dass die betreffenden User nicht ins Internet kommen?? :suspect:

 

Christoph

[Rudman 10]

Genau richtig verstanden.

Ja die User rufen des öfteren an, da die nur ein Verbotsschild sehen können.

 

So ich habe jetzt die beiden Testrechner in eine OU gelegt.

Zack gepresult sagt Computereinstellungen : Angewendetet Gruppenrichltinien WSUS TEST.

[IThome 10]

Dann bist Du aber der einzige, bei dem sowas funktioniert :D, Gruppenrichtlinien werden nicht auf Gruppen angewendet , wurden sie auch noch nie ...