7
GPO auf den Container "Computers" anwenden
Moin zusammen,
ich möchte eine GPO nur auf den Container "Computers" anwenden. Die GPOs lassen sich jedoch nur auf Organizationseinheiten zuordnen.
Was wäre dafür Best Practise?
Ich denke an eine WMI Filterung, jedoch bräuchte ich da Hilfe für die Abfrage. Eine SQL Abfrage, ob sich %computername% in root/directory/ldap... befindet, wird wohl nicht funktionieren, da %computername% in WMI Abfragen nicht aufgelöst werden.
Danke Euch and keep rockin
Der Mike
ich möchte eine GPO nur auf den Container "Computers" anwenden. Die GPOs lassen sich jedoch nur auf Organizationseinheiten zuordnen.
Was wäre dafür Best Practise?
Ich denke an eine WMI Filterung, jedoch bräuchte ich da Hilfe für die Abfrage. Eine SQL Abfrage, ob sich %computername% in root/directory/ldap... befindet, wird wohl nicht funktionieren, da %computername% in WMI Abfragen nicht aufgelöst werden.
Danke Euch and keep rockin
Der Mike
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 535789
Url: https://administrator.de/contentid/535789
Printed on: April 27, 2024 at 02:04 o'clock
7 Comments
Latest comment
Zitat von @NordicMike:
Moin zusammen,
ich möchte eine GPO nur auf den Container "Computers" anwenden. Die GPOs lassen sich jedoch nur auf Organizationseinheiten zuordnen.
Was wäre dafür Best Practise?
Ich denke an eine WMI Filterung, jedoch bräuchte ich da Hilfe für die Abfrage. Eine SQL Abfrage, ob sich %computername% in root/directory/ldap... befindet, wird wohl nicht funktionieren, da %computername% in WMI Abfragen nicht aufgelöst werden.
Danke Euch and keep rockin
Der Mike
Moin zusammen,
ich möchte eine GPO nur auf den Container "Computers" anwenden. Die GPOs lassen sich jedoch nur auf Organizationseinheiten zuordnen.
Was wäre dafür Best Practise?
Ich denke an eine WMI Filterung, jedoch bräuchte ich da Hilfe für die Abfrage. Eine SQL Abfrage, ob sich %computername% in root/directory/ldap... befindet, wird wohl nicht funktionieren, da %computername% in WMI Abfragen nicht aufgelöst werden.
Danke Euch and keep rockin
Der Mike
Moin was spricht dagegen , eine eigene Organisationseinheit für die Computer zu machen ?
Gruss
Danke erstmal.
Weil es darum geht die Rechner anzusprechen, die noch nicht in eine OU verschoben wurden, z.B. weil sie frisch hinzugefügt wurden.
Weil es darum geht die Rechner anzusprechen, die noch nicht in eine OU verschoben wurden, z.B. weil sie frisch hinzugefügt wurden.
Spricht was gegen folgende Abfrage?
Namespace: root\CIMV2
Select * From RSOP_Session Where SOM = 'CN=Computers,DC=dc,DC=meinedomain,DC=de'
Namespace: root\CIMV2
Select * From RSOP_Session Where SOM = 'CN=Computers,DC=dc,DC=meinedomain,DC=de'
Wie wärs dann mit einer OU und einem ändern der default ou für Computer?
https://jocha.se/blog/tech/change-default-ou-for-computers-in-ad
https://jocha.se/blog/tech/change-default-ou-for-computers-in-ad
Moin,
Falsche Vorgehensweise (imho). Man sollte die Computer erst in der OU anlegen, in die sie gehören. Das Einfügen sollte an einen Nichtadmin delegiert werden. Dann erst wird der Computer vom Nichtadmin eingefügt.
Vorteile:
Er ist schon in der richtigen OU.
Vertippt man sich auf einer der beiden Seiten beim Computernamen, geht das Einfügen schief, da ja der Nichtadmin nur diesen Computer einfügen darf, der schon im AD vorhanden ist.
hth
Erik
Zitat von @NordicMike:
Danke erstmal.
Weil es darum geht die Rechner anzusprechen, die noch nicht in eine OU verschoben wurden, z.B. weil sie frisch hinzugefügt wurden.
Danke erstmal.
Weil es darum geht die Rechner anzusprechen, die noch nicht in eine OU verschoben wurden, z.B. weil sie frisch hinzugefügt wurden.
Falsche Vorgehensweise (imho). Man sollte die Computer erst in der OU anlegen, in die sie gehören. Das Einfügen sollte an einen Nichtadmin delegiert werden. Dann erst wird der Computer vom Nichtadmin eingefügt.
Vorteile:
Er ist schon in der richtigen OU.
Vertippt man sich auf einer der beiden Seiten beim Computernamen, geht das Einfügen schief, da ja der Nichtadmin nur diesen Computer einfügen darf, der schon im AD vorhanden ist.
hth
Erik
Die Vorgehensweise ist nicht unbedingt falsch, nur anders, mit schärferen Sicherheitsbedingungen und höherem Aufwand. Aber in manchen Fällen gar nicht dumm. Die Methode werde ich bestimmten Szenarien mal durchführen, z.B. wenn ich beides selbst mache.
Die Default OU umzubiegen ist eine gute Idee.
Danke Euch.
Die Default OU umzubiegen ist eine gute Idee.
Danke Euch.
Moin,
Deshalb ja auch das imho in Klammern. Klar kann man das auch so machen, dass man die Rechner erst mit Domain-Admin-Rechten aufnimmt und dann verschiebt. Der Aufwand ist bei beiden Methoden in etwa der gleiche.
Ich mache das grundsätzlich so. Dabei delegiere ich gerne das Aufnehmen an meinen eingeschränkten User. Dann melde ich mich beim Einfügen mit diesem an. Das verhindert vor allem Tippfehler und Fehler beim Verschieben der Rechner in die richtige OU. Vor allem das Vertippen von Rechnernamen ist immer wieder unangenehm. Dann steht was anderes auf der Kiste als im AD. Wenn dann mal ein halbes Jahr später was ist und man sich einen Wolf sucht.
Ein weiterer Vorteil ist, dass ich den Rechner in die Einrichtung tragen kann, dort anschließe und einfüge und der User kann sofort arbeiten, da ja alle GPOs gleich korrekt gezogen werden inkl. eventueller Softwareverteilung und der lokalen Drucker.
Kennzeichnest Du das dann bitte auch als gelöst?
Liebe Grüße
Erik
Zitat von @NordicMike:
Die Vorgehensweise ist nicht unbedingt falsch, nur anders, mit schärferen Sicherheitsbedingungen und höherem Aufwand.
Die Vorgehensweise ist nicht unbedingt falsch, nur anders, mit schärferen Sicherheitsbedingungen und höherem Aufwand.
Deshalb ja auch das imho in Klammern. Klar kann man das auch so machen, dass man die Rechner erst mit Domain-Admin-Rechten aufnimmt und dann verschiebt. Der Aufwand ist bei beiden Methoden in etwa der gleiche.
Aber in manchen Fällen gar nicht dumm. Die Methode werde ich bestimmten Szenarien mal durchführen, z.B. wenn ich beides selbst mache.
Ich mache das grundsätzlich so. Dabei delegiere ich gerne das Aufnehmen an meinen eingeschränkten User. Dann melde ich mich beim Einfügen mit diesem an. Das verhindert vor allem Tippfehler und Fehler beim Verschieben der Rechner in die richtige OU. Vor allem das Vertippen von Rechnernamen ist immer wieder unangenehm. Dann steht was anderes auf der Kiste als im AD. Wenn dann mal ein halbes Jahr später was ist und man sich einen Wolf sucht.
Ein weiterer Vorteil ist, dass ich den Rechner in die Einrichtung tragen kann, dort anschließe und einfüge und der User kann sofort arbeiten, da ja alle GPOs gleich korrekt gezogen werden inkl. eventueller Softwareverteilung und der lokalen Drucker.Die Default OU umzubiegen ist eine gute Idee.
Danke Euch.
Kennzeichnest Du das dann bitte auch als gelöst?
Liebe Grüße
Erik