19
Gruppenrichtlinie Benutzereinstellungen für bestimmte Computer
Hallo zusammen,
ich glaube ich sehe gerade den Wald vor Bäumen nicht oder denke etwas zu kompliziert.
Bei jedem der lokalen Computern möchte ich gerne eine Ordnerumleitung auf die Server einrichten, soweit kein Problem. Bei Notebooks wäre das natürlich nicht so optimal.
Da die Umleitung eine Benutzer-Einstellung ist, würde ich instinktiv hingehen und dies über die OUs der Benutzer machen. Da aber manche Leute einen Computer UND ein Notebook haben, wäre das aber nicht zielführend. (Eine Unterteilung der Benutzer geht ja nicht wegen dualer Nutzung).
Meine Lösung wäre jetzt, dass ich hingehe und zwei OUs für "Desktop" und "Mobil" anlege und dort die Geräte einsortiere. Bei Desktops verknüpfe ich die GPO für die Ordnerumleitung und bin glücklich.
So und nun meine Hirnknoten. Funktioniert eine Benutzer-GPO überhaupt wenn die mit einer OU verknüpft ist in der nur Computer eingeordnet sind?
Oder kann ich mir das super einfach machen und schlicht eine Gruppe für meine Standcomputer machen, diese als Mitglieder hinzufügen und dann über die Sicherheitseinstellung die Verteilung steuern? Aber dann hätten die Benutzer wiederum keinen Zugriff auf diese GPO und würden diese nicht anwenden?
Ich brauche da mal bitte einen kleinen Stups in die richtige Richtung. Danke.
ich glaube ich sehe gerade den Wald vor Bäumen nicht oder denke etwas zu kompliziert.
Bei jedem der lokalen Computern möchte ich gerne eine Ordnerumleitung auf die Server einrichten, soweit kein Problem. Bei Notebooks wäre das natürlich nicht so optimal.
Da die Umleitung eine Benutzer-Einstellung ist, würde ich instinktiv hingehen und dies über die OUs der Benutzer machen. Da aber manche Leute einen Computer UND ein Notebook haben, wäre das aber nicht zielführend. (Eine Unterteilung der Benutzer geht ja nicht wegen dualer Nutzung).
Meine Lösung wäre jetzt, dass ich hingehe und zwei OUs für "Desktop" und "Mobil" anlege und dort die Geräte einsortiere. Bei Desktops verknüpfe ich die GPO für die Ordnerumleitung und bin glücklich.
So und nun meine Hirnknoten. Funktioniert eine Benutzer-GPO überhaupt wenn die mit einer OU verknüpft ist in der nur Computer eingeordnet sind?
Oder kann ich mir das super einfach machen und schlicht eine Gruppe für meine Standcomputer machen, diese als Mitglieder hinzufügen und dann über die Sicherheitseinstellung die Verteilung steuern? Aber dann hätten die Benutzer wiederum keinen Zugriff auf diese GPO und würden diese nicht anwenden?
Ich brauche da mal bitte einen kleinen Stups in die richtige Richtung. Danke.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 665243
Url: https://administrator.de/contentid/665243
Printed on: April 19, 2024 at 08:04 o'clock
19 Comments
Latest comment
GPP mit Zielgruppenadressierung ist dein Freund. Funktioniert auch bei Benutzereinstellungen und Computerbedingungen. Also z.B. wenn Computername / Gruppe = xxx dann nehme Benutzereinstellung xy vor.
Moin,
loopback-Verarbeitung ist das Stichwort. Damit kannst Du Benutzereinstellungen computerabhängig vornehmen.
hth
Erik
loopback-Verarbeitung ist das Stichwort. Damit kannst Du Benutzereinstellungen computerabhängig vornehmen.
hth
Erik
Eine Option wäre auch noch die WMI-Filterung, damit müsste das auch gehen.
Zitat von @Inf1d3l:
GPP mit Zielgruppenadressierung ist dein Freund. Funktioniert auch bei Benutzereinstellungen und Computerbedingungen. Also z.B. wenn Computername / Gruppe = xxx dann nehme Benutzereinstellung xy vor.
Das wäre aus meiner Sicht die einfachste Lösung, lege einfach die Gruppe Laptops und Desktops an.GPP mit Zielgruppenadressierung ist dein Freund. Funktioniert auch bei Benutzereinstellungen und Computerbedingungen. Also z.B. wenn Computername / Gruppe = xxx dann nehme Benutzereinstellung xy vor.
Oder kann ich mir das super einfach machen und schlicht eine Gruppe für meine Standcomputer machen, diese als Mitglieder hinzufügen und dann über die Sicherheitseinstellung die Verteilung steuern? Aber dann hätten die Benutzer wiederum keinen Zugriff auf diese GPO und würden diese nicht anwenden?
Wenn ich das Gruppenrichtlinienkonzept richtig verstanden habe, kannst du dir es auch super einfach machen, in dem du in die Sicherheitsfilterung die Gruppe aller Benutzer aufnimmst und die Gruppe der TowerPCs. Die GPO verknüpfst du dann auch nur in der TowerPC-OU!Bitte berichtigt mich unbedingt, wenn ich da was mit der Sicherheitsfilterung missverstanden habe. Aber GPOs werden doch nur auf die Benutzer angewendet, die in der Sicherheitsfilterung sind. Wer nicht in der Sicherheitsfilterung genannt ist, darf die GPO nicht anwenden!
Hey danke für die vielen Vorschläge!
Kann aber auch sein, dass die Zuordnung bei der Anmeldung in Kombination von Benutzer+Client ausgewertet wird. Also so, dass bei der Anmeldung Summe aller GPOs (User + PC) kombiniert werden und angewendet werden.
Ich teste das die Tage einfach mal. Im schlimmsten Fall greift die Orderumleitung dann ja nicht.
Ansonsten kommen die oben genannten Geschütze zum Einsatz. Ich werde berichten.
Die GPO verknüpfst du dann auch nur in der TowerPC-OU!
Genau, nur die Frage ist, ob diese dann bei der Benutzeranmeldung ausgeführt wird. Weil der Benutzer ja in einer anderen OU hängt. So nach dem Motto ist nicht meine OU, interessiert mich nicht.Kann aber auch sein, dass die Zuordnung bei der Anmeldung in Kombination von Benutzer+Client ausgewertet wird. Also so, dass bei der Anmeldung Summe aller GPOs (User + PC) kombiniert werden und angewendet werden.
Ich teste das die Tage einfach mal. Im schlimmsten Fall greift die Orderumleitung dann ja nicht.
Ansonsten kommen die oben genannten Geschütze zum Einsatz. Ich werde berichten.
Moin,
nochmal. Das ist der falsche Ansatz. Für den Fall, dass man bestimmte Benutzerkonfigurationen auf bestimmten Maschinen braucht, hat Microsoft die Loop-Back-Verabeitung erfunden. Die macht genau das, was Du willst. Sie überschreibt die Einstellung der GPO des Users mit der Einstellung des Computers für den User.
hth
Erik
nochmal. Das ist der falsche Ansatz. Für den Fall, dass man bestimmte Benutzerkonfigurationen auf bestimmten Maschinen braucht, hat Microsoft die Loop-Back-Verabeitung erfunden. Die macht genau das, was Du willst. Sie überschreibt die Einstellung der GPO des Users mit der Einstellung des Computers für den User.
hth
Erik
Okay, danke für den Hinweis. Den Link lese ich mir morgen durch 😊
Zitat von @erikro:
Moin,
nochmal. Das ist der falsche Ansatz. Für den Fall, dass man bestimmte Benutzerkonfigurationen auf bestimmten Maschinen braucht, hat Microsoft die Loop-Back-Verabeitung erfunden. Die macht genau das, was Du willst. Sie überschreibt die Einstellung der GPO des Users mit der Einstellung des Computers für den User.
hth
Erik
Moin,
nochmal. Das ist der falsche Ansatz. Für den Fall, dass man bestimmte Benutzerkonfigurationen auf bestimmten Maschinen braucht, hat Microsoft die Loop-Back-Verabeitung erfunden. Die macht genau das, was Du willst. Sie überschreibt die Einstellung der GPO des Users mit der Einstellung des Computers für den User.
hth
Erik
Ja, loopback ist schon der richtige Weg um anteNope´s Problem zu lösen. Ich wollte mich hier nur dazwischendrängen um mir nochmal mein Wissen validieren zu lassen. (Ja, GPOs werden doch nur auf die Benutzer angewendet, die in der Sicherheitsfilterung sind. Wer nicht in der Sicherheitsfilterung genannt ist, darf die GPO nicht anwenden! ODER Nein, da hast die Sicherheitsfilterung falsch verstanden, das ist so und so)
Genau, nur die Frage ist, ob diese dann bei der Benutzeranmeldung ausgeführt wird. Weil der Benutzer ja in einer anderen OU hängt. So nach dem Motto ist nicht meine OU, interessiert mich nicht.
Die GPO werden gewissermaßen Unabhängig von der OU angewendet. Die GPO muss nur auf dem Weg zum Objekt sichtbar sein. Wie erkläre ich das jetzt am besten? Wahrscheinlich mit dem LDAP-Pfad.
Du kennst doch sicherlich den LDAP-Pfad, dieses CN=, OU=, DC=, DC= ...
Du fängst rechts an zu lesen und gehst den Pfad dann entlang bis zu Ressourcenobjekt. (Der User, Computer, Drucker, Gruppe etc)
An allen GPOs, die du auf diesem Weg vorbeikommst, können auf dein Ressourcenobjekt angewendet werden. Keine anderen.
Frage an alle: Kann man das so erklären? Ist das fachlich so korrekt oder ist das durch die Formulierung inhaltlich falsch geworden?
Zitat von @IT-Pro:
Die GPO werden gewissermaßen Unabhängig von der OU angewendet. Die GPO muss nur auf dem Weg zum Objekt sichtbar sein. Wie erkläre ich das jetzt am besten? Wahrscheinlich mit dem LDAP-Pfad.
Du kennst doch sicherlich den LDAP-Pfad, dieses CN=, OU=, DC=, DC= ...
Du fängst rechts an zu lesen und gehst den Pfad dann entlang bis zu Ressourcenobjekt. (Der User, Computer, Drucker, Gruppe etc)
An allen GPOs, die du auf diesem Weg vorbeikommst, können auf dein Ressourcenobjekt angewendet werden. Keine anderen.
Frage an alle: Kann man das so erklären? Ist das fachlich so korrekt oder ist das durch die Formulierung inhaltlich falsch geworden?
Ist verständlich.Genau, nur die Frage ist, ob diese dann bei der Benutzeranmeldung ausgeführt wird. Weil der Benutzer ja in einer anderen OU hängt. So nach dem Motto ist nicht meine OU, interessiert mich nicht.
Die GPO werden gewissermaßen Unabhängig von der OU angewendet. Die GPO muss nur auf dem Weg zum Objekt sichtbar sein. Wie erkläre ich das jetzt am besten? Wahrscheinlich mit dem LDAP-Pfad.
Du kennst doch sicherlich den LDAP-Pfad, dieses CN=, OU=, DC=, DC= ...
Du fängst rechts an zu lesen und gehst den Pfad dann entlang bis zu Ressourcenobjekt. (Der User, Computer, Drucker, Gruppe etc)
An allen GPOs, die du auf diesem Weg vorbeikommst, können auf dein Ressourcenobjekt angewendet werden. Keine anderen.
Frage an alle: Kann man das so erklären? Ist das fachlich so korrekt oder ist das durch die Formulierung inhaltlich falsch geworden?
Oooops, oder sollte ich besser sagen puuuuups. 
Ich habe das mal oben korrigiert.
Ich habe das mal oben korrigiert. 
Ordnerumleitung ist keine Einstellung sondern eine Richtlinie. Also auch keine Zielgruppenadressierung möglich. Wenn sowas, dann höchstens über WMI, aber das ist Murks. Und langsam.
Loopback-Verarbeitung im Modus "Zusammenführen" ist hier die Lösung. "Ersetzen" würde ja bedeuten, dass man alle anderen GPO, welche sonst noch für den Benutzer gelten sollen, dann zusätzlich noch einmal an der Notebook-OU verlinken müsste.
Beachte: Loopback wird nicht per GPO aktiviert, sondern per Computer. Also in nur einer GPO das Loopback "Zusammenführen" aktivieren und für die Notebooks wirken lassen. Dann eine extra GPO, in welcher explizit eingestellt ist: Ordnerumleitung --> im lokalen Pfad belassen (sinngemäß). Diese GPO an der OU für Notebooks verlinken.
Man muss nur aufpassen, wenn da Roaming Profiles im Einsatz sind, welche sowohl für Anmeldung am PC als auch am Notebook gelten. Dann sollte man in den Ordnerumleitungen nicht aktivieren, dass die Inhalte an das neue Ziel verschoben werden sollen.
Was theoretisch auch noch funktionieren müsste: (habe es nicht ausprobiert)
Dann bräuchte man kein Loopback. Da ein Computer die GPO's lesen können muss, (auch jene, welche nur für Benutzer gelten), um sie für die Benutzer anwenden zu können, können die Notebooks diese Ordnerumleitungs-GPO jetzt nicht mehr lesen und also auch nicht anwenden.
E.
Loopback-Verarbeitung im Modus "Zusammenführen" ist hier die Lösung. "Ersetzen" würde ja bedeuten, dass man alle anderen GPO, welche sonst noch für den Benutzer gelten sollen, dann zusätzlich noch einmal an der Notebook-OU verlinken müsste.
Beachte: Loopback wird nicht per GPO aktiviert, sondern per Computer. Also in nur einer GPO das Loopback "Zusammenführen" aktivieren und für die Notebooks wirken lassen. Dann eine extra GPO, in welcher explizit eingestellt ist: Ordnerumleitung --> im lokalen Pfad belassen (sinngemäß). Diese GPO an der OU für Notebooks verlinken.
Man muss nur aufpassen, wenn da Roaming Profiles im Einsatz sind, welche sowohl für Anmeldung am PC als auch am Notebook gelten. Dann sollte man in den Ordnerumleitungen nicht aktivieren, dass die Inhalte an das neue Ziel verschoben werden sollen.
Was theoretisch auch noch funktionieren müsste: (habe es nicht ausprobiert)
- Voraussetzung: Keine Romain Profiles
- Sicherheitsgruppe erstellen --> alle Computerobjekte der Notebooks dort hinein
- Ordnerumleitung über eine extra GPO einstellen, in welcher nichts anderes eingestellt ist
- der o.g. Gruppe für diese GPO explizit das Lese-Recht verweigern
Dann bräuchte man kein Loopback. Da ein Computer die GPO's lesen können muss, (auch jene, welche nur für Benutzer gelten), um sie für die Benutzer anwenden zu können, können die Notebooks diese Ordnerumleitungs-GPO jetzt nicht mehr lesen und also auch nicht anwenden.
E.
Zitat von @Inf1d3l:
Richtlinien sind nicht anderes als Registry-Einstellungen. Warum soll es hier nicht möglich sein?
Du kannst es versuchen. In keinem Fall wird es bereits beim ersten Login wirken, auch nicht während der Sitzung beim GPupdate. Möglicherweise wenn man in der Sitzung den Explorer-Prozess beendet und neu startet. Sonst würde erst beim nächsten Login der geänderte Pfad wirksam werden.Richtlinien sind nicht anderes als Registry-Einstellungen. Warum soll es hier nicht möglich sein?
"Ordnerumleitung" ist in diesem Sinne eben nicht nur ein Registry-Wert sondern auch eine Aktion. Ähnlich "Systemdienste". Man kann auch per Registry ausrollen, dass ein Dienst deaktiviert sein soll. Nur wird er dann nicht bei Anwendung der GPP beendet. Erst beim nächsten Neustart des Computers würde der Dienst nicht gestartet werden. Stellt man hingegen über "Systemdienste" einen Dienst auf "deaktiviert", dann wird er beim nächsten GPupdate auch gleich beendet.
Moin, wir haben gestern mal ein wenig rumgetestet und sind zu folgenden Erkenntnissen gekommen:
OUs verwenden
Der Benutzer kommt an der GPO "nicht vorbei". Computer und Benutzer OUs werden getrennt durchlaufen. Hierbei ist egal wie die Sicherheitseinstellungen gesetzt sind. Naja, probieren kann man es ja mal.
Sicherheitseinstellungen verwenden
Warum auch immer gilt die Verweigerung auch für die Benutzer auf dem Gerät. Die Ordnerumleitung wird nicht angewendet.
Das dürfte dann wohl die einfachste und unkomplizierteste Lösung sein ... Login funktioniert zudem rattenschnell 😁
Die Lösung ist also eine leichte Abwandlung von @IT-Pro's Vorschlag 😎
OUs verwenden
- wir haben zwei OUs angelegt, Notebooks und Desktops
- Beide OUs sind die untersten Elemente des Pfades
- Die Ordnerumleitung haben wir auf "Desktops" verknüpft, sonst nirgendwo
- Computer in Gruppe Desktops verschoben
- Ergebnis: die GPO-Ordnerumleitung wird für Benutzer nicht angewendet. Das funktioniert also nicht.
Der Benutzer kommt an der GPO "nicht vorbei". Computer und Benutzer OUs werden getrennt durchlaufen. Hierbei ist egal wie die Sicherheitseinstellungen gesetzt sind. Naja, probieren kann man es ja mal.
Sicherheitseinstellungen verwenden
- Alle Geräte verbleiben in der CN-Computer, keine OUs für die Computer
- Gruppe erstellen "Notebooks" und entsprechend die Notebooks als Mitglieder hinzufügen
- GPO-Ordnerumleitung an OU-Pfade der Benutzer hängen oder direkt an die Domäne
- In den Sicherheitseinstellungen die Gruppe "Notebooks" hinzufügen UND den Zugriff verweigern
- Ergebnis: GPO wird vom Benutzern auf diesem Gerät nicht angewendet
Warum auch immer gilt die Verweigerung auch für die Benutzer auf dem Gerät. Die Ordnerumleitung wird nicht angewendet.
Das dürfte dann wohl die einfachste und unkomplizierteste Lösung sein ... Login funktioniert zudem rattenschnell 😁
Die Lösung ist also eine leichte Abwandlung von @IT-Pro's Vorschlag 😎
1
Ich gehe davon aus, Du hast hier das Lese-Recht verweigert?
Warum das dann so funktioniert, hatte ich bereits geschrieben:
Warum das dann so funktioniert, hatte ich bereits geschrieben:
Da ein Computer die GPO's lesen können muss, (auch jene, welche nur für Benutzer gelten), um sie für die Benutzer anwenden zu können, können die Notebooks diese Ordnerumleitungs-GPO jetzt nicht mehr lesen und also auch nicht anwenden.
Genau =)
