NorbertFe 2.065 Geschrieben 17. November 2014 Melden Teilen Geschrieben 17. November 2014 Wie hast du sie denn deaktiviert? Waren das alles windows xp? Warum gibts die überhaupt noch? Zitieren Link zu diesem Kommentar
willy-goergen 0 Geschrieben 17. November 2014 Autor Melden Teilen Geschrieben 17. November 2014 Die XP-Rechner gibt's, weil ich mich leider noch nicht zerteilen und alles gleichzeitig machen kann. Der momentane Stress schlägt mir teils eh schon genug auf's Gemüt. Ich will das nicht zu sehr in die Breite ziehen. Das waren ausschließlich XP-Rechner. Die Win7-Rechner haben den Schritt auf die "Default Domain Policy" anstandslos geschluckt. Für die waren ähnliche Richtlinien gesetzt. Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 17. November 2014 Melden Teilen Geschrieben 17. November 2014 Wenn du das in der default Domain Policy definiert hast, wie hast du die Server denn davon ausgenommen? Außerdem konfiguriert man in der default Domain Policy keine Einstellungen außer sie Passwortrichtlinie. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 17. November 2014 Melden Teilen Geschrieben 17. November 2014 ...Klingt bisher alles sehr wirr... Kenne ich so nicht, hab ich noch nie erlebt, keine Ahnung, was da genau schief ging. Aber ich lese aus den bisherigen Beiträgen grundlegende Schwächen im Vorgehen: a) GPOs immer auf dem OS bearbeiten, für das sie gelten sollen (Ausnahme: Ich weiß genau, was ich tue...) b) GPOs immer per WMI-Filter oder Sicherheitsgruppe auf das OS zielen, für das sie gelten sollen - und idealerweise IMMER kritische Einstellungen (wie Firewall) in OS-spezifische GPOs packen (Ausnahe siehe oben) c) gpresult /h ist unser Freund d) Individuelle Einstellungen gehören NIEMALS in die DDP, und alles, was nicht "Account Policy" ist, gehört nicht auf Domänenebene verknüpft Fragen? Fragen! Zitieren Link zu diesem Kommentar
willy-goergen 0 Geschrieben 18. November 2014 Autor Melden Teilen Geschrieben 18. November 2014 (bearbeitet) ...Klingt bisher alles sehr wirr... Kenne ich so nicht, hab ich noch nie erlebt, keine Ahnung, was da genau schief ging. Aber ich lese aus den bisherigen Beiträgen grundlegende Schwächen im Vorgehen: Es ist immer (finde ich) schwierig für einen Außenstehenden sich in so ein System reinzudenken. Ich sehe es selbst an anderer Stelle, wenn ich mal probiere jmd. online im KFZ-Bereich zu helfen. Man kann sich auch mal täuschen, weil man die genauen Gegebenheiten nicht kennt. Aber ich bin froh über eure Hilfe. Gestern war ich wirklich etwas aus dem Häuschen wegen der Sache. Kann deswegen sein, dass ich etwas wirr gewesen bin. Zitat daabm - 17 Nov 2014 - 21:12: a) GPOs immer auf dem OS bearbeiten, für das sie gelten sollen (Ausnahme: Ich weiß genau, was ich tue...) B) GPOs immer per WMI-Filter oder Sicherheitsgruppe auf das OS zielen, für das sie gelten sollen - und idealerweise IMMER kritische Einstellungen (wie Firewall) in OS-spezifische GPOs packen (Ausnahe siehe oben) Mittlerweile bin ich aber mit dem Problem etwas weiter gekommen. Das Problem liegt offenbar an den Clients selbst. Die laufen nicht mehr so ganz sauber. (Un)sinnigerweise hatten einige XP-Clients heute die neuen Richtlinien ohne weiteres Zutun übernommen. Aber halt nicht alle der verbliebenen. Für mich stellt sich trotzdem die Frage, warum sie es getan haben. Ein Rücksetzen der Gruppenrichtlinen auf den Stand nach der Installation war bei denen nicht drin. Die Richtlinien wurden bei den "guten" Clients so verarbeitet, wie ich es in meiner Test-VM simuliert hatte. c) gpresult /h ist unser Freund d) Individuelle Einstellungen gehören NIEMALS in die DDP, und alles, was nicht "Account Policy" ist, gehört nicht auf Domänenebene verknüpft Fragen? Fragen! Eigentlich habe ich meine Vorgehensweise zur Strukturierung der GPOs schon etwas in Frage gestellt gehabt. Aber so ganz falsch scheine ich wohl nicht zu liegen, wenn ich sie OS-bezogen anwende. Mit den gegebenen Werkzeugen hab ich gearbeitet. Sonst wäre ich nicht so weit gekommen. Teils will ich mich glaube ich auch noch einlesen müssen. Aber woher kommt diese Struktur? (Ich hoffe, es ist ok das Bild zu verlinken.) Geht man dabei von einer Umgebung mit einem Betriebssystem aus? Wie werden da Unterschiede behandelt? Oder soll das Bild einfach nur Platzhalter sein? bearbeitet 18. November 2014 von willy-goergen Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 18. November 2014 Melden Teilen Geschrieben 18. November 2014 Betriebssyteme unterscheidest Du nicht im AD, sondern mit WMI-Filtern. Schließlich kann sich ein User ja an Computern mit unterschiedlichem OS anmelden, und ein Computer kann sein OS wechseln: select Name from Win32_OperatingSystem where BuildNumber like "9%" wäre z.B. ein Filter für Win8(.1) und Server 2012. Die Struktur in dem Bild finde ich gut, würde ich genauso machen. Bzw hab ich für's Buch auch genauso gemacht :D Und wenn man das mit der OS-Trennung bzw. "Nicht-Trennung" im Griff hat, macht man ja auch übergreifende GPOs, die an Funktionen hängen - und das geht mit dieser Struktur sehr gut. Woher kommt das Bild? Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 18. November 2014 Melden Teilen Geschrieben 18. November 2014 Woher kommt das Bild? Sieht bei der Namensgebung nach gruppenrichtlinien.de aus. Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 18. November 2014 Melden Teilen Geschrieben 18. November 2014 http://www.gruppenrichtlinien.de/artikel/erstellen-einer-gruppenrichtlinie/zum vergleichen Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 18. November 2014 Melden Teilen Geschrieben 18. November 2014 Na, da hat der Mark ja alles richtig gemacht :D Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 18. November 2014 Melden Teilen Geschrieben 18. November 2014 Wer hätte das gedacht :D Zitieren Link zu diesem Kommentar
Saschat 10 Geschrieben 26. November 2014 Melden Teilen Geschrieben 26. November 2014 Hallo Ich wollte auch mal meinen Senf da zu tun, wir sind ein mittelständiges Unternehmen mit ca. 15 Standorten Welt weit. Wir haben eine Windows 2008R2 Domäne. In jedem Standort steht ein DC. Die Administration wird über DE Zentral gesteuert, von der User Verwaltung bis zur Gruppenrichtlinien Steuerung. Die Software Installation läuft rein über die GPO Software Verteilung. In jeden Standort gibt es einen Identischen Software Pool der jeden Abend automatisch abgeglichen wird. Auf den DC läuft dazu ein WDS, so dass die Clints über Netzwerk Boot mit einem von uns zugeschnittenen Windows 7 versorgt werden könne, anschließend werden die Clients in die Domäne aufgenommen und ziehen sich nach dem Neustart alle GPs und alle Software. So ein PC ist dann in ca. 15 – 20 min einsatzbereit. Ich denke das Konzept so wie wir das aufgebaut haben ist schon genial und einfach. Der Aufwand ist überschaubar. Die Userverwaltung ist einfach aber effektiv, vieles wird über Gruppen Verwaltet incl. Der Drucker Zuweisung, Zugriffsrechte, usw. eine Verschachtelung de Gruppen wird nicht gewünscht, da man sonst schnell den Überblick verliert. In jeden Standort steht ein Linux Gateway für das VPN und Internet mit festen Routen für die DCs, so replizieren sich die DCs immer nur mit den Master in DE alle 60min. Was das verteilen der Software über GP angeht, muss ich sagen haben wir keine Probleme das klappt alles super. Die msi bauen wir selber wie z.b für Firefox , Thunderbrid ( mit allen Sprachpaketen und addons die wir brauchen) VLC-Player, und vieles mehr. Wir müssen ja auch auf die Landessprachen achten und anpassen. Das nur mal so zur Info was ich los werden wollte. Habe im Anhang mal unsere AD Struktur bei gefügt. Könnt euch ja mal darüber auslassen. Fragen sind auch erlaubt. Sascha 1.pdf2.pdf Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 26. November 2014 Melden Teilen Geschrieben 26. November 2014 Ich wollte auch mal meinen Senf da zu tun, wir sind ein mittelständiges Unternehmen mit ca. 15 Standorten Welt weit. Du meinst mittelständisch, oder? ;) Die Software Installation läuft rein über die GPO Software Verteilung. In jeden Standort gibt es einen Identischen Software Pool der jeden Abend automatisch abgeglichen wird. Wenn du die Verteilung der Pakete über den WSUS regeln würdest, hättest du keine Pool den du selber abgleichen mußt, und hättest zusätzlich den Vorteil, dass du weißt ob ein Client die Software installiert hat oder nicht. Ich denke das Konzept so wie wir das aufgebaut haben ist schon genial und einfach. Der Aufwand ist überschaubar. Viele Wege führen nach Rom, und die Erfahrung zeigt, man kann immer noch optimieren. ;) In jeden Standort steht ein Linux Gateway für das VPN und Internet mit festen Routen für die DCs, so replizieren sich die DCs immer nur mit den Master in DE alle 60min. Warum alle 60min? Was das verteilen der Software über GP angeht, muss ich sagen haben wir keine Probleme das klappt alles super. Naja siehe oben. Bye Norbert PS: Wenn du über deine Umgebung diskutieren magst, solltest du dich vielleicht nicht an einen Thread eines anderen Users hängen, sondern deinen eigenen eröffnen. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 26. November 2014 Melden Teilen Geschrieben 26. November 2014 Ich glaube nicht, daß er darüber reden will - klingt mehr nach "ich habe den goldenen Weg gefunden, seid dankbar, daß ich ihn mit Euch teile" :D Ja, ich weiß, daß das sarkastisch klingt, aber so isses nun mal für mich... Zitieren Link zu diesem Kommentar
Saschat 10 Geschrieben 27. November 2014 Melden Teilen Geschrieben 27. November 2014 Guten Morgen Wollt eigentlich nur ein Beispiel liefern, wie man es machen könnte. Wollte damit nicht sagen das ich die goldene Lösung oder was auch immer gefunden habe. Dachte nur es könnte vielleicht helfen. Ok wenn ich meinen Beitrag hier falsch eingestellt habe dann tut es mir leid, das war sicher nicht meine Absicht. Hier angeben zu wollen oder wie auch immer das verstanden worden ist. Das war sicher auch nicht mein Ziel. Es sollte einfach nur ein Beispiel oder Anregung sein wie man es vielleicht machen könnte. Sollte jetzt nicht heißen dass ich die eierlegende Wollmilchsau gefunden habe, ganz sicher nicht. War nur gut gemeint. Sascha Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 27. November 2014 Melden Teilen Geschrieben 27. November 2014 Das waren meinerseits Anmerkungen und Hinweise. ;) Keine Vorwürfe. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.