tomspatz 10 Geschrieben Gestern um 16:22 Melden Geschrieben Gestern um 16:22 Moin Ich habe eine AD die soweit auch durchkonfiguriert ist. Nun gibt es zwei varianten von Clients. Die echten Desktops bzw. Notebooks. sowie auch einige die auf Hyper-V laufen. Ich hätte gerne eine GPO NUR für die Virtuellen Clients die das herunterfahren verhindert. Die Einstellung ist ja auch klar. Ich kriege es mit der Verteilung nicht hin. Mein Ansatz bislang: Unter AD Benutzer und Computer habe ich eine Sicherheitsgruppe "Virtuelle Clients" deren Mitglieder sind die entsprechenden Clients. In der GPO Verwaltung habe ich unterhalb der Default Domain Policy eine weitere "Herunterfahren GPO" Gruppenrichtlinienobjekt erstellt. Dort dann in der Sicherheitsfilterung die Sicherheitsgruppe "Virtuelle Clients" hinzugefügt. doch das greift leider nicht Ist mein Ansatz überhaupt so OK.? Habt Ihr andere Vorschläge. Vielen dank schon mal vorab Tom Zitieren
cj_berlin 1.419 Geschrieben Gestern um 16:37 Melden Geschrieben Gestern um 16:37 Moin, GPRESULT ist Dein Freund. Es kann für das Verhalten einige Gründe geben: Reihenfolge ist falsch, so dass die Standard-GPO immer gewinnt Die virtuellen Computer wurden nicht rebootet, nachdem sie zu der Gruppe hinzugefügt wurden, und es ist nicht genug Zeit (10h) vergangen Die andere GPO ist erzwungen oder noch irgendetwas. Wie gesagt, GPRESULT (auf dem Hyper-V-Client) ist Dein Freund. Zitieren
testperson 1.786 Geschrieben Gestern um 17:14 Melden Geschrieben Gestern um 17:14 Hi, vor 48 Minuten schrieb tomspatz: In der GPO Verwaltung habe ich unterhalb der Default Domain Policy eine weitere "Herunterfahren GPO" Gruppenrichtlinienobjekt erstellt. die Frage ist, ob es - sofern ich das richtig lese - sinnvoll ist, so eine GPO auf Domain Ebene zu verlinken. Wo liegen denn deine Computer Objekte und wäre es hier evtl. besser, die VMs in eine eigene OU zu packen? Bspw. eine OU "Meine Clients" und darunter dann eine OU "virtuelle Clients" und evtl. "Notebooks" sowie "Desktops" o.ä. Dann kannst du die Policies für alle deine Computer an "Meine Clients" linken und die restlichen GPOs dann halt an "virtuelle Clients", "Desktops", etc... Gruß Jan Zitieren
tomspatz 10 Geschrieben vor 4 Stunden Autor Melden Geschrieben vor 4 Stunden gprseult bringt mir zu mindestens Grund: abgelehnt Zugriff verweigert (Sicherheitsfilterung) die verschiedenen OU in der GPO Verwaltung oder unter AD? Sorry ich kann nicht ganz folgen Zitieren
testperson 1.786 Geschrieben vor 3 Stunden Melden Geschrieben vor 3 Stunden vor 14 Minuten schrieb tomspatz: die verschiedenen OU in der GPO Verwaltung oder unter AD? Das sollten unterm Strich die gleichen OUs sein. Zitieren
tomspatz 10 Geschrieben vor 3 Stunden Autor Melden Geschrieben vor 3 Stunden (bearbeitet) hmmmm OK also im Moment sieht es so aus: In der AD gibt es ja schon die OU Computers, dort sind ALLE Clients gelistet. Somit auch alle Domänencomputer Eine neue OU "Virtuelle Clients" und diese dann dorthin verschieben. So weit OK. Die Default Domain Policy würde dann immer noch die Virtuellen "erreichen" dann weiter ?? SORRY ich stehe total auf dem Schlauch bearbeitet vor 3 Stunden von tomspatz Zitieren
daabm 1.396 Geschrieben vor 3 Stunden Melden Geschrieben vor 3 Stunden Es ist nicht "die" AD, sondern "das" AD. "Computers" ist keine OU, sondern ein Container. Wenn alle Clients da drin liegen, ist Euer AD ausbaufähig, aber das ist per Forum nicht zu leisten. Und Hardware-Eigenschaften filtert man nicht über Gruppenmitgliedschaften, sondern über WMI-Filter (Win32_Computersytem, Manufacturer oder BIOS). Ich hab irgendwann mal ein Buch darüber geschrieben, vielleicht würde Dir die erste Hälfte davon jetzt helfen Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.