ThHerm 10 Geschrieben 10. Mai 2006 Melden Teilen Geschrieben 10. Mai 2006 Hallo, habe folgendes Problem: Mittels W2K Server verteile ich Software, was aussschließlich funktioniert, wenn User in der OU sind. Habe ich eine Gruppe in einer OU, wo die User, also die Gruppenmitglieder, in einer anderen OU liegen, funktoniert das nicht. Habe auch die Gruppe in den Sicherheitseinstellungen der GPO hinzugefügt, so dass die Gruppe die GPO lesen und übernehmen darf. Woran liegt das? Ziel ist es, den Usern unterschiedlich Software zur Verfügung zu stellen, wobei natürlich Schnittmengen auftreten. Jemand von Euch eine Idee? Oder komm ich da nur mit einem SMS (Lizenzkostenoverkill) weiter? Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 10. Mai 2006 Melden Teilen Geschrieben 10. Mai 2006 Hi ThHerm u. willkommen an Board :) , Ziel ist es, den Usern unterschiedlich Software zur Verfügung zu stellen, wobei natürlich Schnittmengen auftreten. das musst du in einer Baumstruktur darstellen Gruppenrichtlinien können grundsätzlich definitiv nur auf Objekte in einer dartunterliegenden OU wirken. Wenn du die Baumstruktur erstellt hast, kannst du dann mit der Sicherheitsgruppenfilterung anfangen. Wobei sich die Frage stellt, warum die ein Problem hast wenn alle User ein bestimmtes Softwarepaket erhalten.... Lizenzierung? Opensource Software wie z.B. PDFCreator, 7zip u. Pain.net weise ich z.B. immer allen Computern zu unabhängig davon wer´s wirklich braucht. LG Gadget Zitieren Link zu diesem Kommentar
ThHerm 10 Geschrieben 10. Mai 2006 Autor Melden Teilen Geschrieben 10. Mai 2006 Jau, wie unhöflich von mir... Hallo Board, bin jetzt auch dabei :D ! Ja, die Lizenzen sind das Problem. Habe eine z.B. eine Unternehmenslizenz für's MS Office, die sich prozentual auf Standard, Pro und Premium verteilt. OpenSource oder andere Freeware kann/darf ich nicht einsetzen. Habe eine Struktur von OUs, in der die Abteilungen abgebildet sind, alles brav nach dem AGDLP-Prinzip organisiert. Jetzt habe ich z.B. eine OU, in der alle das Office Std bekommen, aber einer benötigt zusätzlich Access. Verstehe ich es jetzt richtig, dass ich sozusagen auf Domain-Ebene die verschiedenen GPOs mit den Softwarezuweisungen erstelle und in den OUs dann in den Sicherheitseinstellungen der GPO es entweder erlaube oder verbiete, die GPO zu übernehmen? Wie mache ich es denn mit dem einzelnen Access-Nutzer? Das würde dann ja bedeuten, ich erstelle eine GPO Office Std, eine für Access, erlaube allen Usern die GPO Office zu übernehmen, verbiete aber allen, bis auf dem einen, die GPO Access zu übernehmen. Richtig? Kann ich dann alle anderen in einer Gruppe zusammenfassen und der Gruppe dann das Recht entziehen, die GPO Access zu übernehmen? Das die Gruppenrichtlinien nur auf Objekte innerhalb der OU wirken, ist ja klar, dewegen erstelle ich ja eine GruppeX innerhalb dieser OU. Nur die Mitglieder dieser OU sind halt in anderen OUs verteilt. Müsste ich diese Gruppenrichtline allen OUs bzw. der Domäne zuweisen, aber in den Sicherheitseinstellungen der OUs nur der GruppeX das Recht geben, die GPO zu übernehmen? Wird das dann entsprechend gefiltert? Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 10. Mai 2006 Melden Teilen Geschrieben 10. Mai 2006 Mahlzeit, Das die Gruppenrichtlinien nur auf Objekte innerhalb der OU wirken, ist ja klar, dewegen erstelle ich ja eine GruppeX innerhalb dieser OU. Nur die Mitglieder dieser OU sind halt in anderen OUs verteilt. Müsste ich diese Gruppenrichtline allen OUs bzw. der Domäne zuweisen, aber in den Sicherheitseinstellungen der OUs nur der GruppeX das Recht geben, die GPO zu übernehmen? ok du bist dem typischen Denkfehler bei GPO´s unterlaufen... daran gebe ich auch MSFT die schuld (****er Name)...Gruppenrichtlinien ham mit Gruppen im AD nix zu tun u. wirken nur auf BENUTZER ! in einer darunterliegenden OU. Wird das dann entsprechend gefiltert? Jup wird gefiltert Nur zur Sicherheit du sprichst schon von Benutzerrichtlinie (Benutzerkonfiguration\Softwareeinstellungen\Softwareinstallation) u. nicht von der Computerrichtlinie? Mein Vorschlag: Richte Applikationssicherheitsgruppen ein z.B. "Access_2003" u. setze den Filter in der Policy so, dass nur diese Gruppe das übernehmen recht angehakt hat... natürlich musst du den Haken bei "authentifizierte Benutzer" rausnehmen: EDIT: Achja fast hätte ichs vergessen, du solltest dir mal folgendes Produkt anschaun: http://www.gruppenrichtlinien.de/Software/5.Specops_Softdeploy.htm hat sich beim Review von Mark Heitbrink ganz gut gelesen, is evtl. ein bisserl einfach u. übersichtlicher zu Handhaben als nur mit den Standardoptionen zu arbeiten. LG Gadget Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.