c0smic 12 Geschrieben 29. August 2012 Melden Teilen Geschrieben 29. August 2012 Hallo liebe Experten, folgende Situation: In einer OU sind ca. 50 Clients, von denen nun temporär ca. 10 Rechner einen anderen Bildschirmschoner als der Rest bekommen soll. Hierfür habe ich eine Lokale Sicherheitsgruppe im AD erstellt, den entsprechenden Clients die Gruppe zugeordnet, sowie die GPO mit dem alternativen Bildschirmschoner entsprechend berechtigt so daß nur die AD-Gruppe mit den 10 Clients betroffen sein sollte. gpresult sagt auch, das die Richtlinie übernommen wurde, allerdings kommt bei den Clients trotzdem der Standardbildschirmschoner. Die GPO für den alternativen Bildschirmschoner habe ich in der Reihenfolge an die erste Stelle gesetzt, so daß nach meinem Verständnis dadurch alle nachfolgenden überschrieben werden? Wo ist mein Denkfehler? Vielen Dank im Voraus Zitieren Link zu diesem Kommentar
Stefan W 14 Geschrieben 29. August 2012 Melden Teilen Geschrieben 29. August 2012 Hi, Es wird von Oben nach unten abgearbeitet Abarbeitungsreihenfolge: Lokal Standort Domäne OU OU-Unter Wenn du nicht willst dass ein Wert wieder überschrieben wird, aktiviere den Punkt "erzwungen" lg Stefan Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 29. August 2012 Melden Teilen Geschrieben 29. August 2012 Bitte nicht einfach mit erzwungen arbeiten, wenn man nicht genau weiß was man tut. Zitieren Link zu diesem Kommentar
Stefan W 14 Geschrieben 29. August 2012 Melden Teilen Geschrieben 29. August 2012 Gruppenrichtlinien - Übersicht, FAQ und Tutorials Wobei das dortige beschriebe "kein Vorrang" - "no override" (Übersetzung lässt zu wünschen übrig) in neueren Versionen durch "Erzwungen" ersetzt wurde. Verwalten der Vererbung von Gruppenrichtlinien lg Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 29. August 2012 Melden Teilen Geschrieben 29. August 2012 Für den vorliegenden fall ist erzwungen in meinen Augen, wie fast immer, überflüssig, da man das auch anders gelöst bekommt, ohne die Logik zu unterbrechen. :) Zitieren Link zu diesem Kommentar
Stefan W 14 Geschrieben 29. August 2012 Melden Teilen Geschrieben 29. August 2012 Man könnte auch mit Filtern arbeiten, und die eine GPO für Gruppe A, die andere für Gruppe B auslegen. Man kann auch eine unter OU erstellen für die 10 Hansel, und dort eine neue GPO verknüpfen. Da es jedoch nur temporär ist, würde ich die Logik unterbrechen :) Möglichkeiten gibt es sicher einige ;) Zitieren Link zu diesem Kommentar
c0smic 12 Geschrieben 29. August 2012 Autor Melden Teilen Geschrieben 29. August 2012 Hi,Es wird von Oben nach unten abgearbeitet Abarbeitungsreihenfolge: Lokal Standort Domäne OU OU-Unter Wenn du nicht willst dass ein Wert wieder überschrieben wird, aktiviere den Punkt "erzwungen" lg Stefan Das heisst also, wenn ich meine GPO in die OU-Unter verknüpfe, dann nimmt er die und überschreibt die eine OU oben drüber verknüpfte Standardbildschirmschoner GPO? Oder ist es genau andersrum und Standort hat Vorrang vor OU-Unter? Momentan probiere ich es so, das ich meiner AD-Gruppe stur das Lesen der Standardbildschirmschoner GPO verbiete (über "Eigenschaften" -> "Sicherheit"). Mal die Synchronisierung abwarten und dann frage ich euch weiter :) Zitieren Link zu diesem Kommentar
Stefan W 14 Geschrieben 29. August 2012 Melden Teilen Geschrieben 29. August 2012 Beispiel1 Lokal - setzt Wert zu1 Standort - Wert "nicht definiert" Domäne - setzt Wert zu 0 OU - setzt Wert zu 0 OU-Unter - setzt Wert zu 1 Endeffekt - Wert ist 1 Beispiel 2 Lokal - setzt Wert zu1 Standort - Wert "nicht definiert" Domäne - setzt Wert zu 0 MIT ERZWUNGEN OU - setzt Wert zu 1 OU-Unter - setzt Wert zu 1 Wert = 0 lg Zitieren Link zu diesem Kommentar
c0smic 12 Geschrieben 29. August 2012 Autor Melden Teilen Geschrieben 29. August 2012 So... nach stundenlangem Testen bin ich so weit, das meine GPO übernommen wird. Allerdings nur, wenn ich dem Benutzer die AD-Gruppe zuordne? Sollte nicht die Loopback-Einstellung in der GPO dafür sorgen, das ich die Gruppe auch ohne weiteres einem Computer zuordnen kann? Mir ist ja völlig egal wer sich an den betroffenen Clients anmeldet, Hauptsache mein Bildschirmschoner läuft... Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 29. August 2012 Melden Teilen Geschrieben 29. August 2012 faq-o-matic.net » GPO-Loopback benötigt Leserechte für den Computer-Account – oder doch nicht? Bye Norbert Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 30. August 2012 Melden Teilen Geschrieben 30. August 2012 Moin, warum nicht in der OU zwei "Sub"-OUs anlegen, die Clients hinein verschieben und auf die Subs die Richtlinien der Bildschirmschon? Habe ich da etwas übersehen, überlesen? Zitieren Link zu diesem Kommentar
Stefan W 14 Geschrieben 30. August 2012 Melden Teilen Geschrieben 30. August 2012 warum nicht in der OU zwei "Sub"-OUs anlegen, die Clients hinein verschieben und auf die Subs die Richtlinien der Bildschirmschon? ich schätze mal, der Aufwand ist für die "temporäre" Lösung zu groß :) Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 30. August 2012 Melden Teilen Geschrieben 30. August 2012 ich schätze mal, der Aufwand ist für die "temporäre" Lösung zu groß :) So wie ich es gelesen, wurde es mit Filterung von Sicherheitsgrupen angestrebt, ich halte das für einen ungeeigneten Weg. Zitieren Link zu diesem Kommentar
Stefan W 14 Geschrieben 30. August 2012 Melden Teilen Geschrieben 30. August 2012 Wenn ich daran denke, dass es sich hier anscheinend um soetwas wie IKEA handelt (siehe Screenshot - Küchencenter) kann ich mir vorstellen, dass es sich um eine Abteilung mit eigener Sicherheitsgruppe handelt. Wenn dem der Fall ist, finde ich es nicht so schlimm. Zum anderen würde dann aber auch nichts gegen unter OUs sprechen. lg Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.