xtragood 10 Geschrieben 6. Juli 2005 Melden Teilen Geschrieben 6. Juli 2005 Hi Leutz, ich hab eine GPO definiert mit der Festlegung des Outlook-Archive-Pfades. Zusätzlich hab ich eine Gruppe in der OU "Users" mit dem Namen "OutlookArchive" angelegt, zu der ich spezielle Notebook-Accounts hinzugefügt habe. Der GPO hab ich dann die Gruppe hinzugefügt. "gpupdate /force" auf einem betreffenden Client und nachgesehen...keine Änderungen übernommen... Warum das? Mach ich was falsch? Gruß, xtra. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 6. Juli 2005 Melden Teilen Geschrieben 6. Juli 2005 Hallo xtra, ich nehme an, die Namensauflösung funktioniert? Ich ziehe jetzt mal um, melde mich in ein paar Minuten wieder. Zitieren Link zu diesem Kommentar
xtragood 10 Geschrieben 6. Juli 2005 Autor Melden Teilen Geschrieben 6. Juli 2005 Funzt... ist an der Domäne angemeldet. Netzwerkshare's sind erreichbar. Alles bestens eigentlich?! PS: Eben aufgefallen. Hab noch ne 2. GPO definiert, in der ebenfalls die Einstellungen für AutoArchive gesetzt werden, aber für Workstation Benutzer, auch mit ner Gruppe in der OU "Computer" mit den Workstations als Mitglieder der Gruppe. Das muss damit zusammenhängen, denn Usergruppen funktionieren ja auch... Gruß, xtra. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 6. Juli 2005 Melden Teilen Geschrieben 6. Juli 2005 Ich bin wieder da, die Security hat mich rausgeworfen. Ich möchte nochmals auf die Namensauflösung zurückkommen. Du sagst, sie funktioniere! Mit nslookup am Client getestet? Ich frage nur vorsichtshalber. Ohne funktionierende Namensauflöung keine funktionierende Gruppenrichtlinie. Ein weiterer Fehler könnte die späte Bereitstellung des Netzwerkes bei XP sein. Die "OU" Users ist ja Bestandteil des "Domänenstamms". Darauf wirkt die DefaultDomainPolicy oder an gleicher Stelle eingesetzte Richlinien. Soweit richtig? Innerhalb der DDP gibt es die Knoten Computerkonfiguration und Benutzerkonfiguration. Normalerweise wirkt die erste auf Computer-OUs, die zweite auf Benutzer-OUs. So habe ich es verstanden und in der Praxis auch erfahren. Etwas komplizierter wird es, falls eine GPO aus der Benutzerkonfigaration auf Rechner einer OU wirken soll. Ich habe verschiedene Rechnerräume benannt nach Gebäude- und Raumnummern. 201, 203, 214, 411, ... Die Rechner stecken in Computer-OUs benannt nach Raumnummern. Der Knoten Computerkonfiguration wird wirksam, der Knoten Benutzerkonfiguration nicht. Nun soll aber für alle Benutzer, die sich in 214 anmelden, ein Startskript in der Benutzerkonfiguration ausgeführt werden. Zum Zusammenführen der beiden Knoten gibt es den Loopbackverarbeitungsmodus mit der Option Zusammenführen. Die GPO ist in Computerkonfiguration > Administrative Vorlagen > System > Gruppenrichtlinie > Loopbackverarbeitungsmodus ... . Ich hoffe, mit meiner Schilderung treffe ich dein Problem. Gruß Edgar Zitieren Link zu diesem Kommentar
xtragood 10 Geschrieben 6. Juli 2005 Autor Melden Teilen Geschrieben 6. Juli 2005 Ok, lefg. Ich hoffe, du bist noch erreichbar. Ich hab da nämlich noch ein paar Fragen. Bei uns stehen alle Computer in der OU "Computers". Wenn ich richtig verstanden hab, wirkt die GPO auf OU's bzw. umgekehrt. Logisch wäre 3 neue OU's anzulegen (WS, NB, NB mit aktivierter GPO) um die jeweiligen OU's getrennt voneinander zu konfigurieren? Zurück zu den Grundlagen: OU's erstellen und Computeraccounts in die verschiedenen OU's sortieren. Verbleiben dabei die Computeraccounts noch in "Computers" und wird diese OU dann noch benötigt? (System?) Muss ich nach dem verschieben noch irgendwas beachten? (Spürt man was am Domänen-Client?) Gruß, xtra. PS: Siehe meine Verbesserungen an meinem letzten Post! Zitieren Link zu diesem Kommentar
the_brayn 10 Geschrieben 6. Juli 2005 Melden Teilen Geschrieben 6. Juli 2005 Hiho, um unterschiedliche PC Einstellungen zu erreichen, sollte man auch die PC´s in unterschiedlichen OUs verwalten BSP: PC -NB -Server --Web --File -WS --Einkauf --Kiosk usw Gruß Guido Zitieren Link zu diesem Kommentar
BuzzeR 10 Geschrieben 6. Juli 2005 Melden Teilen Geschrieben 6. Juli 2005 ... ich werde natürlich einen Teufel tun und gestandenen Member zu widersprechen, aber WinXP stellt das "Netzwerk" nicht verspätet bereit, sondern ist im Gegenteil zu fix - daher gibt es auch die Möglichkeit des Reg-Hacks von XP auf das Netzwerk zu warten. Check out ... WaitForNetwork in ur Reg. ;) Dieses Symptom stellt sich allerdings nur dar, wenn die Server kurz vor den XP Clients neu gestartet werden. LG Marco P.S.: So, werde mir meine Heringsfilets und mein Brot getz schmecken lassen. ;) Zitieren Link zu diesem Kommentar
xtragood 10 Geschrieben 6. Juli 2005 Autor Melden Teilen Geschrieben 6. Juli 2005 Nun soll aber für alle Benutzer, die sich in 214 anmelden, ein Startskript in der Benutzerkonfiguration ausgeführt werden. Dazu noch ne Frage, der Rest hat geklappt. Da macht das Arbeiten auch zu später Stunde Spaß -> Workaholic Ich möchte genau das auch machen, wo liegt die Richtlinie dafür? Danach den Loopback-Mode an, richtig? Gruß, xtra. PS: Reihenfolge der auszuführenden GPO's ist von der 1. ab aufwärts (angezeigt abwärts) zu lesen, oder von der höchsten Nummer zur 1. GPO? Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 6. Juli 2005 Melden Teilen Geschrieben 6. Juli 2005 Hi xtra, ich hab eine GPO definiert mit der Festlegung des Outlook-Archive-Pfades. Zusätzlich hab ich eine Gruppe in der OU "Users" mit dem Namen "OutlookArchive" angelegt, zu der ich spezielle Notebook-Accounts hinzugefügt habe.Der GPO hab ich dann die Gruppe hinzugefügt. Gruß, xtra. anbei ein bisserl was grundlegendes: Gruppenrichtlinien wirken nicht auf Gruppen sonder auf Benutzer u. Computerobjekte innerhalb einer OU. Die Computerobjekte müssen in die entsprechende OU verschoben werden und dürfen nicht im Standardcontainer (=keine OU) "Computer" liegen bleiben. Gruppenrichtlinien werden nach folgendem Schema verarbeitet: 1. Lokale-Richtlinie 2. Standort-Richtlinie 3. Domänen-Richtlinie 4. OU-Richtlinie (innerhalb der OU nach der Rangfolge, Nummer 1 hat die höchste Priorität, sie werden von unten nach oben verarbeitet) Mache dich mit dem Konzept der Gruppenrichtlinien vertraut: http://www.microsoft.com/events/series/grouppolicy.mspx http://www.gruppenrichtlinien.de http://www.mcseboard.de/community_cast.php Plane + Designe dein AD um bestmögliche Verwaltungsmöglichkeiten per Policy zu ermöglichen. The_Brayn hat hier imho schon die richtigen Ansätze geliefert. Beispiel AD: werk1.firma.local - Default Domain Policy OU_Computers - Allgemeine Computerrichtlinie ...OU_Memberserver - Memberserverrichtlinie ...OU_Notebooks .. ...OU_Workstations ... OU_Users ...OU_Buchhaltung ...OU_Personalabteiltung Natürlich kann man auch für jede Abteilung eine OU auf höherer Ebene erstellen und darunter dann wieder Benutzer u. Computer aufteilen .. kommt immer auf die Anforderungen u. die größe des Unternehmens an. Zwecks deiner Loopback Frage schau mal hier: http://support.microsoft.com/?id=231287 würde aber das ganze langsam angehen lassen und nichts überstürzen. Policies sollten gut geplant werden und am besten mittels einer Virtual Machine getestet werden. LG Gadget Zitieren Link zu diesem Kommentar
xtragood 10 Geschrieben 6. Juli 2005 Autor Melden Teilen Geschrieben 6. Juli 2005 Plane + Designe dein AD um bestmögliche Verwaltungsmöglichkeiten per Policy zu ermöglichen. The_Brayn hat hier imho schon die richtigen Ansätze geliefert. Beispiel AD: werk1.firma.local - Default Domain Policy OU_Computers - Allgemeine Computerrichtlinie ...OU_Memberserver - Memberserverrichtlinie ...OU_Notebooks .. ...OU_Workstations ... OU_Users ...OU_Buchhaltung ...OU_Personalabteiltung Hi Gadget, danke für die vielen Info's, bis "community_cast" war ich informiert und kenne das Prinzip. Mein Problem war, dass wir bis jetzt keine OU's benötigt haben. Der Bereich für mich als noch ein wenig neu ist. Eingerichtet hab ich's nach dem Post von lefg und the_brayn. Mittlerweile hab ich's auch zum Teil getestet. Der große Test folgt dann morgen. Ergebnisse poste ich hier nochmal. Zwecks deiner Loopback Frage schau mal hier:http://support.microsoft.com/?id=231287 Super, immer gleich nen Link in der Jackentasche :cool: würde aber das ganze langsam angehen lassen und nichts überstürzen. Policies sollten gut geplant werden und am besten mittels einer Virtual Machine getestet werden. Jawohl Sir! Nein, machen wir natürlich immer, bis auf die die schon getestet sind. ;) Bleibt noch die Frage nach der Logon-Script-Richtlinie... Gruß, xtra. Zitieren Link zu diesem Kommentar
mcdaniels 29 Geschrieben 6. Juli 2005 Melden Teilen Geschrieben 6. Juli 2005 Nabend! Nur zur Info: Das Warten auf das Netzwerk muss man nicht unbedingt mit nem RegHack aktivieren. Das geht auch mittels lokaler Gruppenrichtlinie. "Bei Anmeldung immer auf Netzwerk warten". (Sinngemäß übersetzt) ;) Das Ganze findet man unter der lokalen Gruppenrichtlinie / Computerkonfig / Administrative Vorlagen / Netzwerk / Anmeldung (hoff das war der richtige "Pfad") Die lokalen Gruppenrichtlinien kann man mittels mmc aufrufen bzw. als Snap in einfügen. Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 6. Juli 2005 Melden Teilen Geschrieben 6. Juli 2005 Hi xtra, so und weitergehts Muss ich nach dem verschieben noch irgendwas beachten? (Spürt man was am Domänen-Client?) Spüren hm ... ich verlass mich da meistens nicht auf mein Bauchgefühl sondern verlasse mich auf die gängigen Tools. :D rsop.msc (Resultant Set of Polices für XP/2k3 Systeme) http://support.microsoft.com/default.aspx?scid=kb;en-us;312321 gpresult (unter xp/2k3 standardmäßig dabei .... unter 2k nachinstallierbar => http://support.microsoft.com/default.aspx?scid=kb;en-us;321709) GPMC (Group Policy Management Console, funktioniert auf XP Clients auch in einer 2k AD Umgebung) http://www.microsoft.com/windowsserver2003/gpmc/default.mspx Bleibt noch die Frage nach der Logon-Script-Richtlinie... Ich muss ehrlich zugeben mit Loopback-Gruppenrichtlinien habe ich auch noch nicht gearbeitet aber in der Theorie weis ich imho wie es gehen sollte... einfach mal testen: OU für deinen Raum 214 anlegen alle Computer aus Raum 214 reinschieben: GPO "Loopbackrichtlinie" erstellen folgende Konfig vornehmen: Computerkonfiguration => Administrative Vorlagen => System => Gruppenrichtlinien => "Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie" auf Aktiviert (Modus ersetzen) stellen. In der Loopbackrichtlinie keinerlei andere Einstellungen vornehmen und auf (Verknüpfungsreihenfolge) Rang 1 setzen! Nun kannst du unter deiner OU für den Raum 214 eine Benutzergruppenrichtlinie erstellen: Z.B. "Raum 214 Benutzteranmeldeskript-Richtlinie" GPO öffnen und die Computereinstellungen deaktivieren (Rechte Maustaste in der geöffneten Policy auf den Richtliniennamen, dann auf Eigenschaften, Deaktivieren, Konfigurationseinstellungen des Computers deaktivieren): Jetzt in die Benutzereinstellungen gehen und dein Anmeldeskript angeben (vorher Anmeldeskript ins Netlogon Verzeichnis kopieren) Benutzerkonfiguration => Windows-Einstellungen => Skripts => Anmelden => Hinzügen => und beispielsweise folgenden Text angeben: %logonserver%\netlogon\R214-Logonscript.bat Nun sollte das Anmeldeskript "R214-Logonscript.bat" nur durchlaufen wenn sich der Benutzer an nem Computer anmeldet der in Raum 214 steht (solange du die Computer in die richtigen OU`s sortiert hast) ... Für die Verwaltung solcher komplexeren Dinge empfehle ich dir dringend eine XP Workstation mit installier GPMC (siehe weiter oben im Text) zu verwenden und dich mit dem Gruppenrichtlinienmodellierungsassitenten zu beschäftigen. => http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/af452421-4839-40f2-8892-ccf670f5a27a.mspx LG Gadget LG Gadget Zitieren Link zu diesem Kommentar
xtragood 10 Geschrieben 7. Juli 2005 Autor Melden Teilen Geschrieben 7. Juli 2005 rsop.msc (Resultant Set of Polices für XP/2k3 Systeme)http://support.microsoft.com/default.aspx?scid=kb;en-us;312321 Danke Gadget, das kannte ich noch nicht, werd ich heute mal austesten. Die Loopback-Einstellung hat funktioniert und alles andere hat auch gefunzt. GPO öffnen und die Computereinstellungen deaktivieren (Rechte Maustaste in der geöffneten Policy auf den Richtliniennamen, dann auf Eigenschaften, Deaktivieren, Konfigurationseinstellungen des Computers deaktivieren) Ich bin ein notorischer Nachfrager, das musst du mir verzeihen. Meine Frage: Warum muss ich die Computereinstellungen deaktivieren? Für die Verwaltung solcher komplexeren Dinge empfehle ich dir dringend eine XP Workstation mit installier GPMC (siehe weiter oben im Text) zu verwenden und dich mit dem Gruppenrichtlinienmodellierungsassitenten zu beschäftigen. => Schon in Benutzung... ;) Gruß, xtra. Zitieren Link zu diesem Kommentar
the_brayn 10 Geschrieben 7. Juli 2005 Melden Teilen Geschrieben 7. Juli 2005 Hiho, Ich bin ein notorischer Nachfrager, das musst du mir verzeihen. Meine Frage: Warum muss ich die Computereinstellungen deaktivieren? IMHO ein Geschwindigkeitsvorteil beim Verarbeiten der GPO. Zitieren Link zu diesem Kommentar
xtragood 10 Geschrieben 7. Juli 2005 Autor Melden Teilen Geschrieben 7. Juli 2005 Hiho, IMHO ein Geschwindigkeitsvorteil beim Verarbeiten der GPO. Heißt also: Nicht zwingend notwendig? Wir haben nämlich eine Standard-Policy die beide Bereiche abdeckt (Loopback) und in die auch das Logon-Scipt hinzugefügt werden soll... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.