Jump to content

GPO wird nicht übernommen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi Leutz,

 

ich hab eine GPO definiert mit der Festlegung des Outlook-Archive-Pfades. Zusätzlich hab ich eine Gruppe in der OU "Users" mit dem Namen "OutlookArchive" angelegt, zu der ich spezielle Notebook-Accounts hinzugefügt habe.

 

Der GPO hab ich dann die Gruppe hinzugefügt.

 

"gpupdate /force" auf einem betreffenden Client und nachgesehen...keine Änderungen übernommen...

 

Warum das? Mach ich was falsch? :confused:

 

 

Gruß, xtra.

Link zu diesem Kommentar

Funzt... ist an der Domäne angemeldet. Netzwerkshare's sind erreichbar. Alles bestens eigentlich?!

 

PS: Eben aufgefallen. Hab noch ne 2. GPO definiert, in der ebenfalls die Einstellungen für AutoArchive gesetzt werden, aber für Workstation Benutzer, auch mit ner Gruppe in der OU "Computer" mit den Workstations als Mitglieder der Gruppe. Das muss damit zusammenhängen, denn Usergruppen funktionieren ja auch...

 

 

Gruß, xtra.

Link zu diesem Kommentar

Ich bin wieder da, die Security hat mich rausgeworfen.

 

Ich möchte nochmals auf die Namensauflösung zurückkommen. Du sagst, sie funktioniere! Mit nslookup am Client getestet?

 

Ich frage nur vorsichtshalber. Ohne funktionierende Namensauflöung keine funktionierende Gruppenrichtlinie. Ein weiterer Fehler könnte die späte Bereitstellung des Netzwerkes bei XP sein.

 

Die "OU" Users ist ja Bestandteil des "Domänenstamms". Darauf wirkt die DefaultDomainPolicy oder an gleicher Stelle eingesetzte Richlinien. Soweit richtig?

Innerhalb der DDP gibt es die Knoten Computerkonfiguration und Benutzerkonfiguration. Normalerweise wirkt die erste auf Computer-OUs, die zweite auf Benutzer-OUs.

So habe ich es verstanden und in der Praxis auch erfahren.

 

Etwas komplizierter wird es, falls eine GPO aus der Benutzerkonfigaration auf Rechner einer OU wirken soll.

 

Ich habe verschiedene Rechnerräume benannt nach Gebäude- und Raumnummern. 201, 203, 214, 411, ... Die Rechner stecken in Computer-OUs benannt nach Raumnummern. Der Knoten Computerkonfiguration wird wirksam, der Knoten Benutzerkonfiguration nicht. Nun soll aber für alle Benutzer, die sich in 214 anmelden, ein Startskript in der Benutzerkonfiguration ausgeführt werden.

Zum Zusammenführen der beiden Knoten gibt es den Loopbackverarbeitungsmodus mit der Option Zusammenführen.

Die GPO ist in Computerkonfiguration > Administrative Vorlagen > System > Gruppenrichtlinie > Loopbackverarbeitungsmodus ... .

 

Ich hoffe, mit meiner Schilderung treffe ich dein Problem.

 

Gruß

 

Edgar

Link zu diesem Kommentar

Ok, lefg.

 

Ich hoffe, du bist noch erreichbar. Ich hab da nämlich noch ein paar Fragen.

 

Bei uns stehen alle Computer in der OU "Computers". Wenn ich richtig verstanden hab, wirkt die GPO auf OU's bzw. umgekehrt. Logisch wäre 3 neue OU's anzulegen (WS, NB, NB mit aktivierter GPO) um die jeweiligen OU's getrennt voneinander zu konfigurieren?

 

Zurück zu den Grundlagen:

OU's erstellen und Computeraccounts in die verschiedenen OU's sortieren.

Verbleiben dabei die Computeraccounts noch in "Computers" und wird diese OU dann noch benötigt? (System?)

Muss ich nach dem verschieben noch irgendwas beachten? (Spürt man was am Domänen-Client?)

 

 

Gruß, xtra.

 

PS: Siehe meine Verbesserungen an meinem letzten Post!

Link zu diesem Kommentar

... ich werde natürlich einen Teufel tun und gestandenen Member zu widersprechen,

aber WinXP stellt das "Netzwerk" nicht verspätet bereit, sondern ist im Gegenteil

zu fix - daher gibt es auch die Möglichkeit des Reg-Hacks von XP auf das Netzwerk

zu warten. Check out ... WaitForNetwork in ur Reg. ;)

 

Dieses Symptom stellt sich allerdings nur dar, wenn die Server kurz vor den XP

Clients neu gestartet werden.

 

LG

Marco

 

P.S.:

So, werde mir meine Heringsfilets und mein Brot getz schmecken lassen. ;)

Link zu diesem Kommentar
Nun soll aber für alle Benutzer, die sich in 214 anmelden, ein Startskript in der Benutzerkonfiguration ausgeführt werden.

 

Dazu noch ne Frage, der Rest hat geklappt. Da macht das Arbeiten auch zu später Stunde Spaß -> Workaholic

 

Ich möchte genau das auch machen, wo liegt die Richtlinie dafür? Danach den Loopback-Mode an, richtig?

 

 

Gruß, xtra.

 

PS: Reihenfolge der auszuführenden GPO's ist von der 1. ab aufwärts (angezeigt abwärts) zu lesen, oder von der höchsten Nummer zur 1. GPO?

Link zu diesem Kommentar

Hi xtra,

 

ich hab eine GPO definiert mit der Festlegung des Outlook-Archive-Pfades. Zusätzlich hab ich eine Gruppe in der OU "Users" mit dem Namen "OutlookArchive" angelegt, zu der ich spezielle Notebook-Accounts hinzugefügt habe.

Der GPO hab ich dann die Gruppe hinzugefügt.

Gruß, xtra.

 

anbei ein bisserl was grundlegendes:

 

Gruppenrichtlinien wirken nicht auf Gruppen sonder auf Benutzer u. Computerobjekte innerhalb einer OU. Die Computerobjekte müssen in die entsprechende OU verschoben werden und dürfen nicht im Standardcontainer (=keine OU) "Computer" liegen bleiben.

 

Gruppenrichtlinien werden nach folgendem Schema verarbeitet:

1. Lokale-Richtlinie

2. Standort-Richtlinie

3. Domänen-Richtlinie

4. OU-Richtlinie (innerhalb der OU nach der Rangfolge, Nummer 1 hat die höchste Priorität, sie werden von unten nach oben verarbeitet)

 

Mache dich mit dem Konzept der Gruppenrichtlinien vertraut:

 

http://www.microsoft.com/events/series/grouppolicy.mspx

 

http://www.gruppenrichtlinien.de

 

http://www.mcseboard.de/community_cast.php

 

Plane + Designe dein AD um bestmögliche Verwaltungsmöglichkeiten per Policy zu ermöglichen. The_Brayn hat hier imho schon die richtigen Ansätze geliefert.

 

Beispiel AD:

werk1.firma.local - Default Domain Policy

OU_Computers - Allgemeine Computerrichtlinie

...OU_Memberserver - Memberserverrichtlinie

...OU_Notebooks ..

...OU_Workstations ...

OU_Users

...OU_Buchhaltung

...OU_Personalabteiltung

 

Natürlich kann man auch für jede Abteilung eine OU auf höherer Ebene erstellen und darunter dann wieder Benutzer u. Computer aufteilen .. kommt immer auf die Anforderungen u. die größe des Unternehmens an.

 

Zwecks deiner Loopback Frage schau mal hier:

http://support.microsoft.com/?id=231287

 

würde aber das ganze langsam angehen lassen und nichts überstürzen. Policies sollten gut geplant werden und am besten mittels einer Virtual Machine getestet werden.

 

LG Gadget

Link zu diesem Kommentar
Plane + Designe dein AD um bestmögliche Verwaltungsmöglichkeiten per Policy zu ermöglichen. The_Brayn hat hier imho schon die richtigen Ansätze geliefert.

 

Beispiel AD:

werk1.firma.local - Default Domain Policy

OU_Computers - Allgemeine Computerrichtlinie

...OU_Memberserver - Memberserverrichtlinie

...OU_Notebooks ..

...OU_Workstations ...

OU_Users

...OU_Buchhaltung

...OU_Personalabteiltung

 

Hi Gadget, danke für die vielen Info's, bis "community_cast" war ich informiert und kenne das Prinzip. Mein Problem war, dass wir bis jetzt keine OU's benötigt haben. Der Bereich für mich als noch ein wenig neu ist.

 

Eingerichtet hab ich's nach dem Post von lefg und the_brayn. Mittlerweile hab ich's auch zum Teil getestet. Der große Test folgt dann morgen. Ergebnisse poste ich hier nochmal.

 

 

Zwecks deiner Loopback Frage schau mal hier:

http://support.microsoft.com/?id=231287

 

Super, immer gleich nen Link in der Jackentasche :cool:

 

 

würde aber das ganze langsam angehen lassen und nichts überstürzen. Policies sollten gut geplant werden und am besten mittels einer Virtual Machine getestet werden.

 

Jawohl Sir! Nein, machen wir natürlich immer, bis auf die die schon getestet sind. ;)

 

Bleibt noch die Frage nach der Logon-Script-Richtlinie...

 

 

Gruß, xtra.

Link zu diesem Kommentar

Nabend!

 

Nur zur Info: Das Warten auf das Netzwerk muss man nicht unbedingt mit nem RegHack aktivieren. Das geht auch mittels lokaler Gruppenrichtlinie. "Bei Anmeldung immer auf Netzwerk warten". (Sinngemäß übersetzt) ;)

 

Das Ganze findet man unter der lokalen Gruppenrichtlinie / Computerkonfig / Administrative Vorlagen / Netzwerk / Anmeldung (hoff das war der richtige "Pfad")

 

Die lokalen Gruppenrichtlinien kann man mittels mmc aufrufen bzw. als Snap in einfügen.

Link zu diesem Kommentar

Hi xtra,

 

so und weitergehts

 

Muss ich nach dem verschieben noch irgendwas beachten? (Spürt man was am Domänen-Client?)

 

Spüren hm ... ich verlass mich da meistens nicht auf mein Bauchgefühl sondern verlasse mich auf die gängigen Tools. :D

 

rsop.msc (Resultant Set of Polices für XP/2k3 Systeme)

http://support.microsoft.com/default.aspx?scid=kb;en-us;312321

 

gpresult (unter xp/2k3 standardmäßig dabei .... unter 2k nachinstallierbar =>

http://support.microsoft.com/default.aspx?scid=kb;en-us;321709)

 

GPMC (Group Policy Management Console, funktioniert auf XP Clients auch in einer 2k AD Umgebung)

http://www.microsoft.com/windowsserver2003/gpmc/default.mspx

 

Bleibt noch die Frage nach der Logon-Script-Richtlinie...

 

Ich muss ehrlich zugeben mit Loopback-Gruppenrichtlinien habe ich auch noch nicht gearbeitet aber in der Theorie weis ich imho wie es gehen sollte... einfach mal testen:

 

OU für deinen Raum 214 anlegen alle Computer aus Raum 214 reinschieben:

GPO "Loopbackrichtlinie" erstellen folgende Konfig vornehmen:

 

Computerkonfiguration => Administrative Vorlagen => System => Gruppenrichtlinien => "Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie" auf Aktiviert (Modus ersetzen) stellen.

 

In der Loopbackrichtlinie keinerlei andere Einstellungen vornehmen und auf (Verknüpfungsreihenfolge) Rang 1 setzen!

 

Nun kannst du unter deiner OU für den Raum 214 eine Benutzergruppenrichtlinie erstellen:

 

Z.B. "Raum 214 Benutzteranmeldeskript-Richtlinie"

 

GPO öffnen und die Computereinstellungen deaktivieren (Rechte Maustaste in der geöffneten Policy auf den Richtliniennamen, dann auf Eigenschaften, Deaktivieren, Konfigurationseinstellungen des Computers deaktivieren):

 

Jetzt in die Benutzereinstellungen gehen und dein Anmeldeskript angeben (vorher Anmeldeskript ins Netlogon Verzeichnis kopieren)

 

Benutzerkonfiguration => Windows-Einstellungen => Skripts => Anmelden => Hinzügen => und beispielsweise folgenden Text angeben: %logonserver%\netlogon\R214-Logonscript.bat

 

Nun sollte das Anmeldeskript "R214-Logonscript.bat" nur durchlaufen wenn sich der Benutzer an nem Computer anmeldet der in Raum 214 steht (solange du die Computer in die richtigen OU`s sortiert hast) ...

 

Für die Verwaltung solcher komplexeren Dinge empfehle ich dir dringend eine XP Workstation mit installier GPMC (siehe weiter oben im Text) zu verwenden und dich mit dem Gruppenrichtlinienmodellierungsassitenten zu beschäftigen. =>

 

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/af452421-4839-40f2-8892-ccf670f5a27a.mspx

 

LG Gadget

 

 

 

LG Gadget

Link zu diesem Kommentar
rsop.msc (Resultant Set of Polices für XP/2k3 Systeme)

http://support.microsoft.com/default.aspx?scid=kb;en-us;312321

 

Danke Gadget, das kannte ich noch nicht, werd ich heute mal austesten. Die Loopback-Einstellung hat funktioniert und alles andere hat auch gefunzt.

 

 

GPO öffnen und die Computereinstellungen deaktivieren (Rechte Maustaste in der geöffneten Policy auf den Richtliniennamen, dann auf Eigenschaften, Deaktivieren, Konfigurationseinstellungen des Computers deaktivieren)

 

Ich bin ein notorischer Nachfrager, das musst du mir verzeihen. Meine Frage: Warum muss ich die Computereinstellungen deaktivieren?

 

 

Für die Verwaltung solcher komplexeren Dinge empfehle ich dir dringend eine XP Workstation mit installier GPMC (siehe weiter oben im Text) zu verwenden und dich mit dem Gruppenrichtlinienmodellierungsassitenten zu beschäftigen. =>

 

Schon in Benutzung... ;)

 

 

Gruß, xtra.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...