Jump to content

GPO wird nicht übernommen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Noch eine Frage zum Thema:

 

Ich hab ne Policy definiert, die zur Installation von Paketen dienen soll. Diese Policy soll für die gesamte Domäne gelten, ausserdem hab ich im Security Filtering eingestellt, dass nur ein Benutzer darauf Zugriff hat (Installations-User).

 

Loopback ist eingeschaltet, Pakete sind im Benutzerteil festgelegt.

 

Wenn ich das Filtering auf "Authentifizierte Benutzer" festlege funktionierts, ansonsten nicht.

 

Wo liegt der Fehler?

 

 

Gruß, xtra.

Link zu diesem Kommentar

Hallo,

 

man lernt doch immer wieder durch ein wenig aufpassen dazu.

 

Bisher habe ich den Benutzerkonoten in einer Computer-OU mittels Loopbackverarbeitungsmodus zu Laufen bekommen.

Etwas komplizierter wird es, falls eine GPO aus der Benutzerkonfigaration auf Rechner einer OU wirken soll.

.... Zum Zusammenführen der beiden Knoten gibt es den Loopbackverarbeitungsmodus mit der Option Zusammenführen.

Die GPO ist in Computerkonfiguration > Administrative Vorlagen > System > Gruppenrichtlinie > Loopbackverarbeitungsmodus ... .

Heute habe ich beim Lesen eines Beitrages erfahren: Deaktiviere den Computerknoten! Dann funktioniert der Benutzerknoten.

Bei den wenigen von mir bisher verwendeten Richtlinien pro OU oder Domäne, meinte ich den Überblick leicht behalten zu können. Das ist natürlich ein Irrtum. Falls man sich einem anderen Thema zuwendet, ist das nach ein paar Wochen oder Monaten weg. Das ist wie beim Programmieren, ohne ausreichende Dokumentation und Kommentiereung ist nach einiger Zeit auch für Programmierer und Entwickler der Durchblick verloren.

Ich habe deshalb begonnen für die OUs einzelne nach Themen benannte Richtlinien anzulegen. Dort wo der Benutzerknoten nicht benötigt wird, wird auch diese deaktiviert. Das soll bei der Anwendung von vielen Richlinien die Verarbeitungszeit verringern.

 

Gruß

 

Edgar

Link zu diesem Kommentar

@the_brayn

 

dann müßen aber beide Konten (User-/PC) auch unterhalb der GPO sein, ansonsten zieht der jeweils andere Teil der GPO eh nicht.

Gruß Guido

 

Nö, nö sry... wenn man die Loopbackrichtlinienverarbeitung einschaltet wie ich oben beschrieben habe ist die Anwendung von Benutzerrichtlinien auch Computerabhängig möglich.

 

=> http://support.microsoft.com/?id=231287

 

Man sollte dies aber nur tun wenn dies wirlich benötigt wird z.B. für einen Terminalserver

 

=> http://support.microsoft.com/default.aspx?scid=kb;en-us;260370

----------------------------------------------------------------------------------------------------

@lefg

 

Sry versteh gerade nicht so richtig was du meinst

 

Heute habe ich beim Lesen eines Beitrages erfahren: Deaktiviere den Computerknoten! Dann funktioniert der Benutzerknoten.

 

Ist eine empfohlene Taktik von MS zwecks Geschwindigkeit und Übersichtlichkeit... hat aber sonst imho keine Auswirkung.

 

Wird in den Best practices auch genannt:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/63eacd22-9551-41cf-a703-e702f3cb57d6.mspx

----------------------------------------------------------------------------------------------------

 

@xtra

 

Ich hab ne Policy definiert, die zur Installation von Paketen dienen soll. Diese Policy soll für die gesamte Domäne gelten, ausserdem hab ich im Security Filtering eingestellt, dass nur ein Benutzer darauf Zugriff hat (Installations-User).

 

Loopback ist eingeschaltet, Pakete sind im Benutzerteil festgelegt.

 

Wenn ich das Filtering auf "Authentifizierte Benutzer" festlege funktionierts, ansonsten nicht.

 

Erinnerst du dich was ich in nem vorherigen post gesagt habe ... schön langsam :D

 

Du Mischt da wirklich ziemlich, ziemlich viel durcheinander...

 

Den Überblick zu behalten wird da ziemlich schwierig.

 

Meinung von MS dazu:

Override user-based Group Policy with computer-based Group Policy only when necessary. (Loopback-Modus)

 

Wiso weist du denn die Software per Benutzerrichtlinie zu und nicht per Computerrichtlinie.?

 

Soll sich zu installierende Software wirklich benutzerabhängig unterscheiden?

 

Mehr zum Thema Softwaredistribution per Gruppenrichtlinie:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/5f065962-a6e3-422a-8db7-20a57f40f9f5.mspx

 

http://www.windowsnetworking.com/articles_tutorials/Group-Policy-Deploy-Applications.html

 

BTW: Die anderen Artikel von windowsnetworking.com sind auch sehr interessant... schau dir den auch mal an ... vielleicht kann dir die Designempfehlung helfen ... die Verwendung von Loopbackrichtlinien zu vermeiden. =>

 

http://www.windowsnetworking.com/articles_tutorials/Best-Practices-Designing-Group-Policy.html

 

LG Gadget

Link zu diesem Kommentar

Loopbackmodus ist in erster Linie für RDP gedacht, weil sonst die lokalen Konten

vom Terminalserver nicht richtig verarbeitet werden, so sagte mir ein MVP für GruRiLies. ;)

Ich habs aber nur überflogen, ich habe zwar nen Verdacht, aber keine Zeit den zu prüfen.

 

@Buzzer:

mit Winxp und Netz zu schnell, da hast du dich aber gehörig vertan, der Desktop ist fix da, nicht aber das Netz, deswegen auch die GPO.

 

Ach und die GPO's nicht an den lokalen Richtlinien der Clients einstellen, das gibt Müll.

Die Rechte müssen von der Dom kommen, will man die durchsetzen.

Mehr später.

HTH

Link zu diesem Kommentar

@Urmel

 

Loopbackmodus ist in erster Linie für RDP gedacht, weil sonst die lokalen Konten

vom Terminalserver nicht richtig verarbeitet werden, so sagte mir ein MVP für GruRiLies. ;)

Ich habs aber nur überflogen, ich habe zwar nen Verdacht, aber keine Zeit den zu prüfen.

 

Steht ja auch im KB den ich gepostet habe =>

 

Man sollte dies aber nur tun wenn dies wirlich benötigt wird z.B. für einen Terminalserver =>

http://support.microsoft.com/default.aspx?scid=kb;en-us;260370

 

LG Gadget

Link zu diesem Kommentar

Hallo,

 

Sry versteh gerade nicht so richtig was du meinst

Als ich mit den Gruppenrichtlinien zu arbeiten begann(ziemlich blauäugig) merkte ich, im Computerknoten wird ein Startskript ausgeführt, eines im Benutzerknoten nicht.

Da bekam ich mit, mit dem Aktivieren des Loopbackverarbeitungsmodus Zusammenfühern funktionierte auch das.

Diese Vorgehensweise habe ich dem TO weiter oben empfohlen. Inzwischen weiss ich(glaube ich :) ) etwas mehr.(Durch deaktivieren des Computerknotens wird der Benutzerkonten auch ohne Aktivierung von Loopback wirksam). Im vorherigen Post habe ich xtra auf eine meiner Meinung nach bessere Vorgehensweise aufmerksam machen wollen.

 

Gruß

 

Edgar

Link zu diesem Kommentar
jup MSI Paketverteilung + Loopback + ACL Filterung auf einmal ist schon fast a bisserl zuviel des guten.

 

Würden nur noch ein paar WMI-Filter gemischt mit "Vererbung deaktivieren" einstellungen fehlen.... :D

 

Morjen Gadget,

 

mittlerweile seh ich ein, du hattest Recht. Man kann's auch übertreiben. Ich hab jetzt die Struktur aller bei uns genutzten GPO's so geändert, dass jeweils nur ein Knoten (Computer, Benutzer) aktiviert ist und siehe da, alles funktioniert einwandfrei.

 

Dann möchte ich nochmal danken für den Tip mit dem "Resultant Set of Policy" im mmc. Einfach Spitze!

 

So, und nun noch ne kleine Dankesrede für alle Beteiligten:

 

Erstmal danke an lefg, hast mir sehr weitergeolfen. Der meiste Dank geht natürlich an Gadget, der mit seinen Links und seiner kompetenten Hilfe mein Wissen auf den neuesten Stand gebracht hat ;) Weiter so, so macht das Arbeiten mit dem Board und in der Firma Spaß.

Natürlich auch dank an alle anderen Beteiligten.

 

Brauchen wir jetzt eigentlich noch nen Community-Cast? Ist doch alles hier in diesem Thread erklärt... LOL

 

 

Gruß, xtra.

Link zu diesem Kommentar

Konstruktive Kritik von Gadget

Zitat von lefg

(Durch deaktivieren des Computerknotens wird der Benutzerkonten auch ohne Aktivierung von Loopback wirksam)

Zitatende

 

Du hast eine OU Struktur und auf unterster Ebene eine OU für Computerkonten auf der verlinkst du eine Policy und trägst Benutzereinstellungen ein ... nun deaktivierst du die "Computereinstellungen" in der Policy....

 

Bringt aber nix wenn Loopback nicht aktiviert ist....

 

Normaler weg

 

OU_Werk1

OU_Abteilung1

OU_Computer_Abteilung1 (Computereinstellungen für Abteilung1)

OU_Benutzer_Abteilung1 (Benutzereinstellungen für Abteilung 1)

Link zu diesem Kommentar

... wir leben auch von konstruktiver Kritik.

In dem Thread habe ich es so geschildert, wie ich es erlebt und erfahren habe.

 

Ich möche es dir mal darstellen, dann können wir diskutieren und eventuell im Thread eine Klarstellung durchführen.

 

Active Directory-Benutzer und -Computer(1fs-lubeca.wak.de)

-+lubeca.wak.de

--+R201

 

R201 ist eine "Computer-OU", benannt nach einem Schulungsraum. Dort eine eine Benutzer-OU unterzuodrnen ist nicht möglich, die Benutzer wechseln ständig.

Ursprünglich wurde für die User nur ein Loginskript(Batch, definiert im Benutzerkonto) ausgeführt. Ein Teil aus dem Skript(AntiVirusUpdate) wurde in denComputerknoten verlegt. Der Grund dafür war, das Update sollte unabhängig und vor der Benutzeranmeldung geschehen sein.

Dann wurde es notwendig, nach der Benutzeranmeldung und vor dem Loginskript, ein störendes Fenster zu schliessen. Das sollte im Benutzerknoten(Domäne) geschehen. Zum Testen wurde eine Batch mit Pause und sichtbarer Ausführung einbaut. Es funktionierte erst nach Aktivierung des Loopbackverarbeitungsmodus(Zusammenführen).

Dann wurde es notwendig in Abhängigkeit vom Raum den Standarddrucker nach der anmeldung festzulegen. Das geschah dann als Startskript(VBS) im Benutzerknoten der OU R201. Auch hierzu musste der Loopbackverarbeitungsmodus für die Gruppenrichtlinie aktiviert werden. Es kamen noch einige andere Sachen hinzu.

Dann habe ich neulich(vorgestern?) umstrukturiert, für jede "Sache" eine eigene Richlinie angelegt, den Loopbackverarbeitungsmodus deaktiviert. weiter wurde dort, wo anscheinend nur der Benutzerknoten benötigt wurde, der Comouterknoten deaktiviert. Das funktionierte(scheinbar) zu meiner zufriedenheit und ich schilderte die Sache in meinem Posting.

Gstern Abend merkte ich, es funktioniert nicht. Ich musste jeweils den Computerknoten aktivieren, dann klappte es wieder. Loopback erneut zu aktivieren war nicht notwendig.

 

So sieht die Sache derzeit aus meiner Sicht aus.

Link zu diesem Kommentar

Kommentar und Anregung von Gadget

Hast du die Einstellungen an einem Client gecheckt? (RSOP.msc)

 

Unter normal umständen würde dieses Szenario nicht funktionierten. Liegt wohl daran, dass die Loopback-Verarbeitung schonmal eingeschaltet war und die Clients sich die Einstellungen gemerkt haben.

 

Wichtig dabei ist ob du die Loopback-Einstellung in der Computerrrichtlinie auf deaktiviert gesetzt hast oder auf nicht konfiguriert. => is ein wichtiger Unterschied.

 

Du kannst es ja ganz einfach testen und ne neue OU dafür anlegen. Aufjedenfall ist es so... wenn du eine OU hast in der nur Computerkonten liegen und die Loopbackverarbeitung ist nicht eingeschaltet dann werden auf dieser OU-Ebene auch nur Computereinstellungen übernommen egal ob man die Computereinstellungen aktiviert oder deaktiviert. (so habs ich zumindest gelernt und kenne es aus der Praxis)

Link zu diesem Kommentar

ich bin der Anregung gefolgt

 

... habe eine neue OU und dafür eine Richtlinie angelegt.

 

Im Benutzerknoten wurde die Test.bat mit Pause eingebunden und die sichrbare Ausführung aktiviert.

Das Ergebnis war negativ, die Batch wurde nicht ausgeführt.

Dann wurde der Loopbackverarbeitungsmodus(Ersetzen) aktiviert. Das Ergebnis war positiv, die Batch wurde ausgeführt.

 

Ich danke für die Kritik und schlage vor, diese Diskussion dem Thread anzuhängen.

 

Bist du damit einverstanden?

Klar ...
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...