GPOs 'greifen' erst nach 2x neustarten?

[kaineanung 14]

Jetzt einmal zurück zu meinem ursprünglichen Problem:

 

Ich habe nun einige GPOs die per Sicherheitseinstellung gefiltert und manche auch Zielgruppenadressierung nutzen.

Wenn ich nun einen Testuser zum Mitglied einer neuen Sicherheitsgruppe mache, muss ich den PC 2x Neu Starten und diesen User anmelden bevor ich die richtigen Laufwerksmappings bekomme.

 

Wenn ich gpupdate ausführe dann tut sich nichts (->die Laufwerkszuordnungen werden definitiv erst nach dem Neuanmelden ausgeführt) und mit dem Parameter /force ebenso.

 

Jemand eine Idee woran das liegen kann? Mit einem Neustart könnte ich ja leben, aber warum muss es 2x sein?

Durch Abmelden & Neu Anmelden funktioniert es auch nicht, auch nicht wenn ich es 2x mache. Es muss wohl das Neustarten sein, und zwar 2x...

 

Jemand eine Idee?

 

P.S. gpresult /R liefert auch erst nach dem 2. Neustart korrekte Sicherheitsgruppen-Mitgliedschaften. Wieso bekomtm der Client es erst nach dem 2. Neustart mit das sich die Sicherheitseinstellungen des Benutzers geändert hat?

[daabm 1.339]

Du weißt schon, wie das mit dem TGT funktioniert? Und mit der AD-Replikation, wenn Du mehrere Sites hast? Neustart ist definitiv nicht erforderlich, wenn sich nur Gruppen des Users ändern. Und EINE Neuanmeldung reicht. Oder "klist purge".

 

Und zum Thema GPP oder Logonskript: Ich kenn mich da wirklich gut aus - und ich würde niemals GPP für Drucker- oder Laufwerkmappings verwenden. Laufen beide synchron im Vordergrund und blockieren solange die Anmeldung - totaler Müll. Logonskript kannst async im Hintergrund laufen lassen, dann kann das brauchen solange es will.

[v-rtc 88]

Danke für den Tipp!

[kaineanung 14]

vor 10 Stunden schrieb daabm:

Logonskript kannst async im Hintergrund laufen lassen, dann kann das brauchen solange es will.

Und wie mache ich das? Kann ich die Logon.exe (Das ist unser Programm für das Mapping welches auf die Logon.ini zugreift und dort steht alles wie wir es brauchen) auch aus einer GPO ausführen? Kann das auch im Hintergrund passieren ohne das ich das sehe beim Login obwohl das Programm ja eigentlich ein kleines Statusfenster hat (dieses Fenster eben unterdrücken)?

 

 

An Alle:

Sollte es dennoch mit der GPO gemacht werden, habei ch folgendes Szenario einmal probeweise in meiner Testumgebung umgesetzt:

Momentan habe ich das Laufwerksmapping einer Firmen-Gruppe (Vertrieb) in 3 GPOs abgebildet die Flach liegen (ohne OUs und alle 'nebeneinander'):

1. Abteilung (nennen wir 'T2' für Team2)

2. Abteilungsleiter (Koordinatoren, Gruppenleiter -> nennen wir 'TL2' für Teamleiter 2 z.B. TL2K1m TL2K2, TL2G1 usw.)

3. Abteilungen (die einzelnen Gruppen in denen die Mitarbeiter aufgeteilt sind - nennen wir T2xx für die Gruppen T201, T202, T210, T220, T223 usw..))

 

So, die GPO T2 beinhaltet Laufwerksmappings für die Abteilungslaufwerke die bei allen Mitgliedern der Abteilung gleich sind (also auch runter bis zu den Gruppen) und zusätzlich die explizite Laufwerksmappigns des Abteilungsleiters (Zielgruppenadressierung).

Die GPO TL2 hat zusätzlich zur T2 die Laufwerksmappings der Koordinatoren/Gruppenleiter, da wird auch Zielgruppenadressierung angewandt.

Die GPO TL2xx hat zusätzlich zur T2 die Laufwerksmappings der Gruppen, hier wird für jede Gruppe ebenfalls die Zielgruppenadressierung angewandt.

 

Sicherheitsfilterung auf die Sicherheitsgruppen auf der AD:

T2 -> T2, alle TL2 und alle T2xx

TL2 -> alle TL2

TL2xx -> alle T2xx

 

1. Somit wird NICHTS ausgeführt wenn man sich nicht in einer dieser Gruppen befindet in der AD.

2. Befindet man sich im Vertrieb (T2, TL2 oder T2xx) wird GPO T2 ausgeführt und alle gemeinsamen Laufwerke für den Vertrieb gemappt. Der Abteilungsleiter hat noch ein Laufwerksmapping extra weleches eine Zielgruppenadressierung auf seine Sicherheitsgruppe (AD -> T2) hat.

3. Ist man ein Gruppenleiter oder Koordinator (TL2-Gruppe auf der AD) wird die TL2-GPO ebenfalls ausgeführt (Sicherheitsfilterung!). Dort dann jeweils für die unterschiedlichen Gruppen per Zielgruppenadressierung die entsprechenden Laufwerke gemappt.

4. Ist man ein Arbeiter und somit ein Gruppenmitglied der T2xx-Gruppen wird durch die Sicherheitsfilterung die GPO-T2xx ausgeführt zusätzlich zur GPO-T2. Dort wiederum durch die Zielgruppenadressierung die Laufwerksmappings der jeweiligen Gruppen.

 

Vertriebsleiter:

T2

Gruppenleiter / Koordinatoren:

T2 + TL2

Mitarbeiter:

T2 + T2xx

 

Sicherheitsfilterung fürs grobe Filtern, Zielgruppenadressierung für die einzelnen Gruppen.

Dadurch das man bei der Zielgruppenadressierung auch OR-Verknüpfungen verwenden kann, konnte ich dadurch einige Laufwerksmapping zusammenfassen.

Ich habe dennoch ca. 87 verschiedene Zielgruppenadresseirungen verteilt auf die 3 GPOs. Ist das zuviel?

 

[magheinz 110]

Der Trend geht zum Einheitslaufwerk. Alles was nicht im Zugriff ist filtert ABE aus.

Am Ende hat man dann zwei bis drei Laufwerke welche locker per GPP verbinden werden können. Da muss dann nix asynchron passieren.

Wer so viele Drucker hat, dass es bei der Abarbeitung der GPP Probleme gibt, der sollte eh über andere Lösungen nachdenken. Wir haben bei ca 300 Druckern mit Filterung keine Probleme. 

 

 

Ob 87 mappings zu viel sind kannst doch nur du wissen. Wenn du die besuchst kann es ja nicht zu viel sein. 

Ich hätte das halt alles in einem Laufwerk, aber gehen sollte das auch so. 

[kaineanung 14]

vor 14 Minuten schrieb magheinz:

Der Trend geht zum Einheitslaufwerk.

Ja, das war doch das mit dem 'jeder steigt im Root ein und darf sich zu seinem Ordner durchklicken', richtig?

Das werde ich so nie und nimmer durch bekommen bei uns in der Firma. Die Firma gibt es schon seit dem 19 Jh, Netzwerke eben seit es PCs und Netzwerke gibt und da ist alles ein wenig 'festgefahren' und alles lieb gewonnene bleibt.. Ich muss mit dem klar kommen was da ist udn die Ordnerstruktur auf dem Filesrver bildet die Firmenstruktur ab und jeder steigt in seiner Ebene ein.

 

Ich bin ja überhaupt froh daß wir den Win 2K3 als DC ablösen und wir endlich vorwärts kommen... das habe ich jetzt bestimmt 4 Jahre lang jedes Jahr bei den Investitionen gefordert...

 

Mein Ziel ist:

der User meldet sich an und wird nicht durch ein 3-Minütiges Logon-Batch-Script gegängelt wie bisher. Wenn sich ein User zu schnell anmeldet ist manchmal kein Mapping vorhanden da das Netzwerk noch nicht bereits war und das soll auch verbessert werden. usw.. alles soll schön im Hintergrund laufen ohne Kommandozeilen-Aufpop-SadoMaso (was wir bisher haben).

 

Also: GPO war das naheliegendste....

Wenn ich das Logon-Programm (ist eine EXE) asynchron und im Hintergrund ausführen kann: dann sagt mir nur ob auch per GPO (kann man ja auch scripte ausführen lassen) oder ebenfalls über den Logon-Pfad eines jeden Useres welches automatisch beim Login ausgeführt wird?

[Nobbyaushb 1.464]

OT: wir verwenden (teilweise) als Logon das kixtart - ist schnell und gut zu debuggen

http://kixtart.org/

 

[tesso 375]

kixtart ist cool. Habe ich bei Novell sehr viel benutzt.

[magheinz 110]

Fehlt da vielleicht einfach die "warten aufs Netzwerk" - GPO? 

[daabm 1.339]

Am 21.3.2019 um 13:04 schrieb kaineanung:

Mein Ziel ist:

der User meldet sich an und wird nicht durch ein 3-Minütiges Logon-Batch-Script gegängelt wie bisher. Wenn sich ein User zu schnell anmeldet ist manchmal kein Mapping vorhanden da das Netzwerk noch nicht bereits war und das soll auch verbessert werden. usw.. alles soll schön im Hintergrund laufen ohne Kommandozeilen-Aufpop-SadoMaso (was wir bisher haben).

 

Also: GPO war das naheliegendste....

Wenn ich das Logon-Programm (ist eine EXE) asynchron und im Hintergrund ausführen kann: dann sagt mir nur ob auch per GPO (kann man ja auch scripte ausführen lassen) oder ebenfalls über den Logon-Pfad eines jeden Useres welches automatisch beim Login ausgeführt wird?

1. https://gpsearch.azurewebsites.net/#1839 aktivieren

2. https://www.gruppenrichtlinien.de/de/artikel/ssd-zu-schnell-synchroner-startvorgang-nicht-moeglich/

3. https://gpsearch.azurewebsites.net/#1838 startet Deine logon.exe