Kupfer89 0 Geschrieben 7. September 2017 Melden Teilen Geschrieben 7. September 2017 (bearbeitet) Hallo zusammen, ich glaube ich habe hier ein kleines Verständnisproblem :confused: Folgendes Beispiel: Im AD gibt es eine OU "Terminal" in der alle Terminalserver enthalten sind. In einer OU "Benutzer" sind weitere OUs mit dem Namen der jeweiligen Niederlassung, in denen wiederum die Benutzer enthalten sind. Die OU "Terminal" und "Benutzer" sind auf einer Ebene, GPOs die also an die OU "Terminal" angehängt werden, greifen nicht bei der OU "Benutzer". Soweit alles klar. Jetzt sollen die Benutzer in den jeweiligen Niederlassungen ihre benötigten Drucker zugewiesen bekommen. Dies wollte ich über eine GPO lösen und jeder Niederlassung in der OU "Benutzer", eine eigene GPO zur Verteilung erstellen und zuordnen. Eingestellt wurde in der GPO alles unter "Benutzerkonfiguration". Leider greifen die Einstellungen nur, wenn die GPO mit der OU "Terminal" verknüpft wird. Sollte dies nicht auch funktionieren, wenn die Verknüpfung nur mit den Niederlassungs-Ous verknüpft wurde? Ist doch schließlich eine GPO für die Benutzer und nicht die Computer? :confused: Wäre halt auch wesentlich übersichtlicher. Vielen Dank für die Hilfe! MfG Kupfer89 bearbeitet 7. September 2017 von Kupfer89 Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 7. September 2017 Melden Teilen Geschrieben 7. September 2017 Hi, ich vermute mal, eine GPO die mit "Terminal" verknüpft ist hat den "Loopbackverarbeitungsmodus" aktiv und es ist "Ersetzen" gewählt. Generell ist Drucker per GPO eine Sache mit der man sich sehr schnell zu Tode administriert. Etwas zum Lesen: https://www.gruppenrichtlinien.de/artikel/drucker-verteilen-und-bereitstellen/ Gruß Jan Zitieren Link zu diesem Kommentar
Kupfer89 0 Geschrieben 7. September 2017 Autor Melden Teilen Geschrieben 7. September 2017 Richtig, der Loopbackverarbeitungsmodus ist aktiviert, allerdings auf Zusammenführen gestellt. Ne Idee wie das funktionieren könnte, ohne nun groß an den anderen GPOs rumzuschrauben? Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 7. September 2017 Melden Teilen Geschrieben 7. September 2017 Mit "Zusammenführen" sollte es eigentlich so funktionieren. Prüfe mal mit "gpresult /h gpo.html && gpo.html" was da aus welchem GPO angewendet wird (und ob es nicht doch noch ein GPO mit "Ersetzen" gibt). Da beim "Zusammenführen" deine GPOs 2x abgearbeitet werden, bin ich eh kein Freund von "Zusammenführen". Du könntest komplett auf den Loopbackverarbeitungsmodus verzichten und entsprechend mit Sicherheitsfiltern arbeiten. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 8. September 2017 Melden Teilen Geschrieben 8. September 2017 Die Authentifizierten Benutzer sind in den neuen GPOs auch mit Leserechten eingetragen? https://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/ Zitieren Link zu diesem Kommentar
Kupfer89 0 Geschrieben 8. September 2017 Autor Melden Teilen Geschrieben 8. September 2017 (bearbeitet) Prüfe mal mit "gpresult /h gpo.html && gpo.html" was da aus welchem GPO angewendet wird (und ob es nicht doch noch ein GPO mit "Ersetzen" gibt). In dem erstellten Bericht wird meine mit der OU "Benutzer" verknüpfte GPO weder unter den angewendeten GPOs, noch unter den abgelehnten GPOs erwähnt. Diese scheint als überhaupt nicht "vorhanden" zu sein :confused: Wenn ich die GPO hingegen direkt mit der Domäne verbinde, diese also wieder vererbt wird, dann klappt es auch wieder. Also irgendwie bekommt der Client nicht mit, dass noch in der OU auf der selben Ebene nebenan, noch eine GPO liegt die für die Benutzer abgearbeitet werden muss. Die Authentifizierten Benutzer sind in den neuen GPOs auch mit Leserechten eingetragen? https://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/ Jau, das ist alles richtig eingestellt. Wenn ich die GPO mit der OU "Terminal" verknüpfe, dann geht es ja. bearbeitet 8. September 2017 von Kupfer89 Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 8. September 2017 Melden Teilen Geschrieben 8. September 2017 In dem erstellten Bericht wird meine mit der OU "Benutzer" verknüpfte GPO weder unter den angewendeten GPOs, noch unter den abgelehnten GPOs erwähnt. Diese scheint als überhaupt nicht "vorhanden" zu sein :confused: Steht denn in dem Bericht was vom Loopbackverarbeitungsmodus? Und ob da wirklich "Zusammenführen" ankommt oder vielleicht doch "Ersetzen"? So wie du es schilderst, ist es halt genau das Verhalten von "Ersetzen". Zitieren Link zu diesem Kommentar
Kupfer89 0 Geschrieben 8. September 2017 Autor Melden Teilen Geschrieben 8. September 2017 Ich habe nun den Bericht komplett durchforstet, aber nur eine Einstellung hierzu gefunden und diese steht auf "Zusammenführen". Ich habe mal weiter probiert. Wenn ich die GPO nun mit der OU "Benutzer" verknüpfe, dann funktioniert es auch. Eine Ebene tiefer, also "Benutzer -> Niederlassung", wird die GPO nicht mehr verarbeitet. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 8. September 2017 Melden Teilen Geschrieben 8. September 2017 Gibt es in der OU Niederlassung denn überhaupt Benutzerobjekte, oder liegen dort nur Gruppen? Zitieren Link zu diesem Kommentar
Kupfer89 0 Geschrieben 8. September 2017 Autor Melden Teilen Geschrieben 8. September 2017 In den jeweiligen OUs der Niederlassungen, sind die Benutzerkonten abgelegt. Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 8. September 2017 Melden Teilen Geschrieben 8. September 2017 Kannst du evtl. einmal alle GPOs prüfen, ob da nicht in irgendeiner Loopback Ersetzen aktiv ist (Auch wenn letztendlich am Client Looback Merge ankommt)? Ansonsten eine Test OU für einen Test User und eine Test OU für einen Test Terminalserver und dann nach und nach die GPOs linken und testen. Zitieren Link zu diesem Kommentar
Kupfer89 0 Geschrieben 8. September 2017 Autor Melden Teilen Geschrieben 8. September 2017 (bearbeitet) Ok, mittlerweile läuft die Druckerverteilung - es werden also neue Drucker über die GPO beim Benutzer installiert. Fragt mich nicht warum...ich habe nun hin und her gedoktert und nun läuft es zumindest bis hier :) Was aber noch nicht läuft und dass mit dem beschriebenen Phänomen: Die alten Druckerverbindungen werden vorher nicht gelöscht, obwohl das als ersten Ausführungsschritt festgelegt worden ist. Weder "Alle löschen", noch ein explizit ausgewählter Drucker wird entfernt. bearbeitet 8. September 2017 von Kupfer89 Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 8. September 2017 Melden Teilen Geschrieben 8. September 2017 Ich verweise nochmal auf: Generell ist Drucker per GPO eine Sache mit der man sich sehr schnell zu Tode administriert. Etwas zum Lesen: https://www.gruppenrichtlinien.de/artikel/drucker-verteilen-und-bereitstellen/ Zitieren Link zu diesem Kommentar
Kupfer89 0 Geschrieben 8. September 2017 Autor Melden Teilen Geschrieben 8. September 2017 Damit hast Du natürlich recht und wahrscheinlich wird es auch auf die Lösung im Artikel hinauslaufen, aber wissen warum es jetzt nicht so klappt wie gewünscht, möchte ich trotzdem :D :p Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 8. September 2017 Melden Teilen Geschrieben 8. September 2017 gpresult /h report.html ist Dein Freund. Wenn Du skripten kannst, dann schmeiß die Druckerzuordnung per GPO einfach ersatzlos weg - da gibt es nichts, was zuverlässig funktioniert. BTW - hast Du die Drucker im Computer- oder User-Kontext zugewiesen? Ist "fast startup" aktiv? Dann booten die Rechner nicht wirklich, sondern gehen nur in Hibernation. Hast Du "Immer auf das Netzwerk warten" aktiv? Fragen über Fragen :-)) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.