berndp
Goto Top

GPO nur auf Standort anwenden

Servus, haben 3 Standorte und für die habe ich unterschiedliche Laufwerkszuordnung per GPO definiert.

Kann ich die Standorte dazu verwenden Richtlinien nur auf Rechner am jeweiligen Standort anzuwenden, wie die Zielgruppenadressierung nur halt für die Gesamte Richtlinie?

Content-ID: 254019

Url: https://administrator.de/forum/gpo-nur-auf-standort-anwenden-254019.html

Ausgedruckt am: 22.12.2024 um 08:12 Uhr

xbast1x
xbast1x 06.11.2014 um 10:42:13 Uhr
Goto Top
Hi,

am einfachsten wäre die Unterteilung in OU's: Standort 1, Standort2, Standort3, auf die jeweilige OU packst du dann die entsprechende Laufwerkszuordnung.
SlainteMhath
SlainteMhath 06.11.2014 um 10:51:36 Uhr
Goto Top
Moin,

GPOs kann man im AD direkt an die AD-Sites hängen.

lg,
Slainte
emeriks
emeriks 06.11.2014 um 11:08:39 Uhr
Goto Top
Hi,
als erstes die Standorte mit den IP-Subnets im AD anlegen. Dann erkennen die Computer von selbst, zu welchem Standort sie gehören. Dann die GPOs statt mit einer OU eben mit einem Standort verlinken. Die Standorte bekommst Du in der GPO-Verwaltung standardmäßig nicht angezeigt. Diese musst Du Dir explizit anzeigen lassen.

Beachte beim Anlegen von Standorten, dass, falls Du DCs an den Standorten hast und Du die Standorte aber erst nachtäglich im AD anlegen solltest, Du die Server-Objekte der betreffenden DCs im "Standorte und Services" manuell in die Standorte verschieben musst.

E.
BerndP
BerndP 06.11.2014 aktualisiert um 12:24:03 Uhr
Goto Top
hm... Standorte sind mit IP Subnetz erstellt und die DCs werden auch richtig angezeigt... trotzdem werden "falsche" Laufwerke verbunden.

Naja hab es jetzt mit Benutzergruppen und Zielgruppenadressierung>Standort gelöst das andere wäre zwar sauberer aber leider keine Zeit mehr..

Danke trotzdem!
SlainteMhath
SlainteMhath 06.11.2014 um 12:57:22 Uhr
Goto Top
Wenn du über Site-GPOs Laufwerke mappen willst, musst du die Loopback Verarbeitung aktiveren, sonst wird nur der "Computer" Teil der GPO verarbeitet.
emeriks
emeriks 06.11.2014 um 13:17:22 Uhr
Goto Top
Zitat von @SlainteMhath:

Wenn du über Site-GPOs Laufwerke mappen willst, musst du die Loopback Verarbeitung aktiveren, sonst wird nur der
"Computer" Teil der GPO verarbeitet.
Wo hast Du DAS denn her? Kann ich nicht bestätigen. Thema Loopback ist in ganz anderem Kontext.

E.
BerndP
BerndP 06.11.2014 um 16:36:30 Uhr
Goto Top
naja das problem ist das zu viel verarbeitet wird und nicht zu wenig ;)
SlainteMhath
SlainteMhath 07.11.2014 um 09:09:17 Uhr
Goto Top
@emeriks
Wo hast Du DAS denn her?
Guckst Du hier: http://technet.microsoft.com/en-us/library/cc754948(v=ws.10).aspx

Insbesondere die Punkte
"Special considerations for site-linked GPOs"
und
"Using loopback processing to configure user policy settings"

Kann ich nicht bestätigen.
Tja, man lernt nie aus, gell? face-smile

Thema Loopback ist in ganz anderem Kontext.
Nö.

@BerndP
naja das problem ist das zu viel verarbeitet wird und nicht zu wenig ;)
Natürlich musst du die Drivemappings aus dem GPOs die an die User OU gebunden sind dann komplett rausnehmen.
emeriks
emeriks 07.11.2014 aktualisiert um 09:49:11 Uhr
Goto Top
Hi,
Zitat von @SlainteMhath:

Guckst Du hier: http://technet.microsoft.com/en-us/library/cc754948(v=ws.10).aspx

Insbesondere die Punkte
"Special considerations for site-linked GPOs"
und
"Using loopback processing to configure user policy settings"
Na und? Wo steht da was davon, dass man für die Abarbeitung von GPO Benutzerkonfigurationen im Zusammenhang mit dem Verlinken von GPO an AD Standorten die Loopback-Verarbeitung aktivieren muss?

> Kann ich nicht bestätigen.
Tja, man lernt nie aus, gell? face-smile
Das hoffe ich doch für Dich.

> Thema Loopback ist in ganz anderem Kontext.
Nö.
Sorry, aber ich muss davon ausgehen, Du hast das Thema Loopback Verarbeitung von GPO's falsch oder gar nicht verstanden. Oder verwechselt, z.B. mit "Vererbung" und/oder "Erzwingen".


Wenn man über einen Standort die Loopback Verarbeitung aktiviert, dann gilt das für alle Computer an diesem Standort, egal welche Domäne und welche OU, wenn man nicht explizit an der richtigen Stelle die Veerbung blockiert bzw. die GPO filtert. Sowas kann u.U. mächtig in die Hose gehen!


E.
SlainteMhath
SlainteMhath 07.11.2014 um 10:15:02 Uhr
Goto Top
Na und? Wo steht da was davon, dass man für die Abarbeitung von GPO Benutzerkonfigurationen im Zusammenhang mit dem Verlinken von GPO an AD Standorten die Loopback-Verarbeitung aktivieren muss?
Mal in den Technet Artikel reingeguckt? face-smile

Special considerations for site-linked GPO

[...] Any GPO that is linked to a site container is applied to all computers in that site [...]
in Zusammenhang mit
Using loopback processing to configure user policy settings

[...] By enabling the loopback processing policy setting in a GPO, you can configure user policy settings based on the computer that they log on to. Those policy settings are applied regardless of which user logs on. [...]

Sorry, aber ich muss davon ausgehen, Du hast das Thema Loopback Verarbeitung von GPO's falsch oder gar nicht verstanden. Oder verwechselt, z.B. mit
"Vererbung" und/oder "Erzwingen".
Nö.

Wenn man über einen Standort die Loopback Verarbeitung aktiviert, dann gilt das für alle Computer an diesem Standort, egal welche Domäne und welche OU,
Richtig, genau wie vom TE gewünscht

Sowas kann u.U. mächtig in die Hose gehen!
Natürlich sollte man dabei noch entsprechende Merge Mode/Replace Mode setzen, damit man die Amins nicht von dem Servern ausschliesst o.Ä. schon klar.
emeriks
emeriks 07.11.2014 um 10:55:51 Uhr
Goto Top
Hi,
> Special considerations for site-linked GPO
> 
> [...] Any GPO that is linked to a site container is applied to all computers in that site [...]
> 
in Zusammenhang mit
> Using loopback processing to configure user policy settings
> 
> [...] By enabling the loopback processing policy setting in a GPO, you can configure user policy settings based on the computer
> that they log on to. Those policy settings are applied regardless of which user logs on. [...]
> 
Ah ja, das erklärt. Das haste dann doch falsch verstanden.
Die Formulierung "Any GPO that is linked to a site container is applied to all computers in that site" bedeutet NICHT, dass das bloß für Computer gilt. Es bedeutet auch, dass es für alle Benutzer gilt, welche sich an so einem Computer anmelden.
Loopback Verarbeitung bedeutet NICHT, dass ein Computer die Benutzereinstellungen einer GPO quasi stellvertretend für den Benutzer anwendet, wenn die GPO nicht für den Benutzer gelten sollte.
musst du die Loopback Verarbeitung aktiveren, sonst wird nur der "Computer" Teil der GPO verarbeitet.
Die Loopback Verarbeitung steuert lediglich den Gruppenrichtlinein Client des Computers, nach welcher Logik er GPO's für den Benutzer aus dem AD ausliest. (Welche GPO's und in welcher Reihenfolge.)

1. GPO, welche am Standort verlinkt werden, gelten für alle Computer dieses Standorts, sofern sie für diese Computer zutreffen (Computereinstellungen nicht deaktiviert, Computereinstellungen enhalten, Sicherheitsfilterung zutreffend, WMI-Filter zutreffend, Item-Level-Targeting zutreffend)
2. GPO, welche am Standort verlinkt werden, gelten für alle Benutzer, welche sich an einem Computer dieses Standorts anmelden, sofern sie für diese Benutzer zutreffen (Benutzereinstellungen nicht deaktiviert, Benutzereinstellungen enhalten, Sicherheitsfilterung zutreffend, WMI-Filter zutreffend, Item-Level-Targeting zutreffend.)
3. Die einzelnen Einstellungen der GPO's gelten bis auf ganz wenige Ausnahmen (z.B. alles was die Domäne an sich betrifft) vollkommen unabhängig davon, wo die GPO verlinkt ist und unabhängig davon, ob die GPO über den Benutzerpfad oder über den Computerpfad (bei aktivierten Loopback) vom GPO Client eingesammelt werden. Einzig entscheidend ist, dass die GPO für den Computer oder für den Benutzer zum Zeitpunkt der Anwendung gilt.

E.
SlainteMhath
SlainteMhath 07.11.2014 um 11:49:12 Uhr
Goto Top
Loopback Verarbeitung bedeutet NICHT, dass ein Computer die Benutzereinstellungen einer GPO quasi stellvertretend für den Benutzer anwendet, wenn die GPO nicht für den Benutzer gelten sollte
Richtig, Loopback bedeutet, das der USER Teil einer GPO die auf ein Computer Objekt wirkt auf alle Anwender wirkt die sich an dem Computer anmelden. Die Reihenfolge (Domain->Site->OU->Local) bleibt davon unberührt.

Ergo: Site-GPO wird auf Computer angewendet, und per Loopback auf alle User die sich an dem Computer anmelden.

Und ja, das hab ich schon öfters so oder in ähnlicher Weise "draussen" (v.A. in Zusammenspiel mit Temrinalservern) implementiert.
emeriks
emeriks 07.11.2014 um 12:04:31 Uhr
Goto Top
Hi,
Richtig, Loopback bedeutet, das der USER Teil einer GPO die auf ein Computer Objekt wirkt auf alle Anwender wirkt die sich an dem
Computer anmelden. Die Reihenfolge (Domain->Site->OU->Local) bleibt davon unberührt.
Nein, sorry, das ist falsch!
Loopback bedeutet, das der USER Teil einer GPO, die für ein USER Objekt gilt, für DIESEN USER angewendet wird, WENN ER sich an einem
Computer anmeldet, über dessen ADS-Pfad der GPO Client eine GPO für diesen Benutzer findet.

Der USER braucht das Lesen- und Anwenden-Recht, wenn der GPO Client diese GPO liefern soll, nicht der Computer. Der Computer ist in diesem Zusammenhang nur dafür relevant, dass der GPO Client ausgehend von dessen Computer-Objekt die GPO's für den Benutzere einsammelt.

Ergo: Site-GPO wird auf Computer angewendet, und per Loopback auf alle User die sich an dem Computer anmelden.
Über Loopback kann man überhaupt keinen Einfluss darauf nehmen, welche GPO für einen Computer angewendet wird.

Und ja, das hab ich schon öfters so oder in ähnlicher Weise "draussen" (v.A. in Zusammenspiel mit Temrinalservern) implementiert.
Ich will Dir in keiner Weise absprechen, dass Du da erfolgreich gute und funktionierende Lösungen geschaffen hast! Aber wenn man Wissen weitergeben will, dann muss das auch fachlich korrekt sein. Sonst bringt es dem Fragesteller nicht weiter.

E.
SlainteMhath
SlainteMhath 07.11.2014 um 12:30:00 Uhr
Goto Top
´Ne seh schon das wird mit uns zwei nix mehr. Erklär du dem TE mal wie ers machen soll und ich geh mich mal um meine offensichtlich nicht funkionierenden GPOs kümmern.

Schönen Tag noch.