GPO nur auf Standort anwenden
Servus, haben 3 Standorte und für die habe ich unterschiedliche Laufwerkszuordnung per GPO definiert.
Kann ich die Standorte dazu verwenden Richtlinien nur auf Rechner am jeweiligen Standort anzuwenden, wie die Zielgruppenadressierung nur halt für die Gesamte Richtlinie?
Kann ich die Standorte dazu verwenden Richtlinien nur auf Rechner am jeweiligen Standort anzuwenden, wie die Zielgruppenadressierung nur halt für die Gesamte Richtlinie?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 254019
Url: https://administrator.de/forum/gpo-nur-auf-standort-anwenden-254019.html
Ausgedruckt am: 22.12.2024 um 08:12 Uhr
14 Kommentare
Neuester Kommentar
Hi,
als erstes die Standorte mit den IP-Subnets im AD anlegen. Dann erkennen die Computer von selbst, zu welchem Standort sie gehören. Dann die GPOs statt mit einer OU eben mit einem Standort verlinken. Die Standorte bekommst Du in der GPO-Verwaltung standardmäßig nicht angezeigt. Diese musst Du Dir explizit anzeigen lassen.
Beachte beim Anlegen von Standorten, dass, falls Du DCs an den Standorten hast und Du die Standorte aber erst nachtäglich im AD anlegen solltest, Du die Server-Objekte der betreffenden DCs im "Standorte und Services" manuell in die Standorte verschieben musst.
E.
als erstes die Standorte mit den IP-Subnets im AD anlegen. Dann erkennen die Computer von selbst, zu welchem Standort sie gehören. Dann die GPOs statt mit einer OU eben mit einem Standort verlinken. Die Standorte bekommst Du in der GPO-Verwaltung standardmäßig nicht angezeigt. Diese musst Du Dir explizit anzeigen lassen.
Beachte beim Anlegen von Standorten, dass, falls Du DCs an den Standorten hast und Du die Standorte aber erst nachtäglich im AD anlegen solltest, Du die Server-Objekte der betreffenden DCs im "Standorte und Services" manuell in die Standorte verschieben musst.
E.
Zitat von @SlainteMhath:
Wenn du über Site-GPOs Laufwerke mappen willst, musst du die Loopback Verarbeitung aktiveren, sonst wird nur der
"Computer" Teil der GPO verarbeitet.
Wo hast Du DAS denn her? Kann ich nicht bestätigen. Thema Loopback ist in ganz anderem Kontext.Wenn du über Site-GPOs Laufwerke mappen willst, musst du die Loopback Verarbeitung aktiveren, sonst wird nur der
"Computer" Teil der GPO verarbeitet.
E.
@emeriks
Insbesondere die Punkte
"Special considerations for site-linked GPOs"
und
"Using loopback processing to configure user policy settings"
@BerndP
Wo hast Du DAS denn her?
Guckst Du hier: http://technet.microsoft.com/en-us/library/cc754948(v=ws.10).aspxInsbesondere die Punkte
"Special considerations for site-linked GPOs"
und
"Using loopback processing to configure user policy settings"
Kann ich nicht bestätigen.
Tja, man lernt nie aus, gell? Thema Loopback ist in ganz anderem Kontext.
Nö.@BerndP
naja das problem ist das zu viel verarbeitet wird und nicht zu wenig ;)
Natürlich musst du die Drivemappings aus dem GPOs die an die User OU gebunden sind dann komplett rausnehmen.
Hi,
Wenn man über einen Standort die Loopback Verarbeitung aktiviert, dann gilt das für alle Computer an diesem Standort, egal welche Domäne und welche OU, wenn man nicht explizit an der richtigen Stelle die Veerbung blockiert bzw. die GPO filtert. Sowas kann u.U. mächtig in die Hose gehen!
E.
Zitat von @SlainteMhath:
Guckst Du hier: http://technet.microsoft.com/en-us/library/cc754948(v=ws.10).aspx
Insbesondere die Punkte
"Special considerations for site-linked GPOs"
und
"Using loopback processing to configure user policy settings"
Na und? Wo steht da was davon, dass man für die Abarbeitung von GPO Benutzerkonfigurationen im Zusammenhang mit dem Verlinken von GPO an AD Standorten die Loopback-Verarbeitung aktivieren muss?Guckst Du hier: http://technet.microsoft.com/en-us/library/cc754948(v=ws.10).aspx
Insbesondere die Punkte
"Special considerations for site-linked GPOs"
und
"Using loopback processing to configure user policy settings"
> Kann ich nicht bestätigen.
Tja, man lernt nie aus, gell?
Das hoffe ich doch für Dich.Tja, man lernt nie aus, gell?
> Thema Loopback ist in ganz anderem Kontext.
Nö.
Sorry, aber ich muss davon ausgehen, Du hast das Thema Loopback Verarbeitung von GPO's falsch oder gar nicht verstanden. Oder verwechselt, z.B. mit "Vererbung" und/oder "Erzwingen".Nö.
Wenn man über einen Standort die Loopback Verarbeitung aktiviert, dann gilt das für alle Computer an diesem Standort, egal welche Domäne und welche OU, wenn man nicht explizit an der richtigen Stelle die Veerbung blockiert bzw. die GPO filtert. Sowas kann u.U. mächtig in die Hose gehen!
E.
Na und? Wo steht da was davon, dass man für die Abarbeitung von GPO Benutzerkonfigurationen im Zusammenhang mit dem Verlinken von GPO an AD Standorten die Loopback-Verarbeitung aktivieren muss?
Mal in den Technet Artikel reingeguckt? Special considerations for site-linked GPO
[...] Any GPO that is linked to a site container is applied to all computers in that site [...]
Using loopback processing to configure user policy settings
[...] By enabling the loopback processing policy setting in a GPO, you can configure user policy settings based on the computer that they log on to. Those policy settings are applied regardless of which user logs on. [...]
Sorry, aber ich muss davon ausgehen, Du hast das Thema Loopback Verarbeitung von GPO's falsch oder gar nicht verstanden. Oder verwechselt, z.B. mit
"Vererbung" und/oder "Erzwingen".Nö.
Wenn man über einen Standort die Loopback Verarbeitung aktiviert, dann gilt das für alle Computer an diesem Standort, egal welche Domäne und welche OU,
Richtig, genau wie vom TE gewünschtSowas kann u.U. mächtig in die Hose gehen!
Natürlich sollte man dabei noch entsprechende Merge Mode/Replace Mode setzen, damit man die Amins nicht von dem Servern ausschliesst o.Ä. schon klar.
Hi,
in Zusammenhang mit
Ah ja, das erklärt. Das haste dann doch falsch verstanden.
Die Formulierung "Any GPO that is linked to a site container is applied to all computers in that site" bedeutet NICHT, dass das bloß für Computer gilt. Es bedeutet auch, dass es für alle Benutzer gilt, welche sich an so einem Computer anmelden.
Loopback Verarbeitung bedeutet NICHT, dass ein Computer die Benutzereinstellungen einer GPO quasi stellvertretend für den Benutzer anwendet, wenn die GPO nicht für den Benutzer gelten sollte.
1. GPO, welche am Standort verlinkt werden, gelten für alle Computer dieses Standorts, sofern sie für diese Computer zutreffen (Computereinstellungen nicht deaktiviert, Computereinstellungen enhalten, Sicherheitsfilterung zutreffend, WMI-Filter zutreffend, Item-Level-Targeting zutreffend)
2. GPO, welche am Standort verlinkt werden, gelten für alle Benutzer, welche sich an einem Computer dieses Standorts anmelden, sofern sie für diese Benutzer zutreffen (Benutzereinstellungen nicht deaktiviert, Benutzereinstellungen enhalten, Sicherheitsfilterung zutreffend, WMI-Filter zutreffend, Item-Level-Targeting zutreffend.)
3. Die einzelnen Einstellungen der GPO's gelten bis auf ganz wenige Ausnahmen (z.B. alles was die Domäne an sich betrifft) vollkommen unabhängig davon, wo die GPO verlinkt ist und unabhängig davon, ob die GPO über den Benutzerpfad oder über den Computerpfad (bei aktivierten Loopback) vom GPO Client eingesammelt werden. Einzig entscheidend ist, dass die GPO für den Computer oder für den Benutzer zum Zeitpunkt der Anwendung gilt.
E.
> Special considerations for site-linked GPO
>
> [...] Any GPO that is linked to a site container is applied to all computers in that site [...]
>
> Using loopback processing to configure user policy settings
>
> [...] By enabling the loopback processing policy setting in a GPO, you can configure user policy settings based on the computer
> that they log on to. Those policy settings are applied regardless of which user logs on. [...]
>
Die Formulierung "Any GPO that is linked to a site container is applied to all computers in that site" bedeutet NICHT, dass das bloß für Computer gilt. Es bedeutet auch, dass es für alle Benutzer gilt, welche sich an so einem Computer anmelden.
Loopback Verarbeitung bedeutet NICHT, dass ein Computer die Benutzereinstellungen einer GPO quasi stellvertretend für den Benutzer anwendet, wenn die GPO nicht für den Benutzer gelten sollte.
musst du die Loopback Verarbeitung aktiveren, sonst wird nur der "Computer" Teil der GPO verarbeitet.
Die Loopback Verarbeitung steuert lediglich den Gruppenrichtlinein Client des Computers, nach welcher Logik er GPO's für den Benutzer aus dem AD ausliest. (Welche GPO's und in welcher Reihenfolge.)1. GPO, welche am Standort verlinkt werden, gelten für alle Computer dieses Standorts, sofern sie für diese Computer zutreffen (Computereinstellungen nicht deaktiviert, Computereinstellungen enhalten, Sicherheitsfilterung zutreffend, WMI-Filter zutreffend, Item-Level-Targeting zutreffend)
2. GPO, welche am Standort verlinkt werden, gelten für alle Benutzer, welche sich an einem Computer dieses Standorts anmelden, sofern sie für diese Benutzer zutreffen (Benutzereinstellungen nicht deaktiviert, Benutzereinstellungen enhalten, Sicherheitsfilterung zutreffend, WMI-Filter zutreffend, Item-Level-Targeting zutreffend.)
3. Die einzelnen Einstellungen der GPO's gelten bis auf ganz wenige Ausnahmen (z.B. alles was die Domäne an sich betrifft) vollkommen unabhängig davon, wo die GPO verlinkt ist und unabhängig davon, ob die GPO über den Benutzerpfad oder über den Computerpfad (bei aktivierten Loopback) vom GPO Client eingesammelt werden. Einzig entscheidend ist, dass die GPO für den Computer oder für den Benutzer zum Zeitpunkt der Anwendung gilt.
E.
Loopback Verarbeitung bedeutet NICHT, dass ein Computer die Benutzereinstellungen einer GPO quasi stellvertretend für den Benutzer anwendet, wenn die GPO nicht für den Benutzer gelten sollte
Richtig, Loopback bedeutet, das der USER Teil einer GPO die auf ein Computer Objekt wirkt auf alle Anwender wirkt die sich an dem Computer anmelden. Die Reihenfolge (Domain->Site->OU->Local) bleibt davon unberührt.Ergo: Site-GPO wird auf Computer angewendet, und per Loopback auf alle User die sich an dem Computer anmelden.
Und ja, das hab ich schon öfters so oder in ähnlicher Weise "draussen" (v.A. in Zusammenspiel mit Temrinalservern) implementiert.
Hi,
Loopback bedeutet, das der USER Teil einer GPO, die für ein USER Objekt gilt, für DIESEN USER angewendet wird, WENN ER sich an einem
Computer anmeldet, über dessen ADS-Pfad der GPO Client eine GPO für diesen Benutzer findet.
Der USER braucht das Lesen- und Anwenden-Recht, wenn der GPO Client diese GPO liefern soll, nicht der Computer. Der Computer ist in diesem Zusammenhang nur dafür relevant, dass der GPO Client ausgehend von dessen Computer-Objekt die GPO's für den Benutzere einsammelt.
E.
Richtig, Loopback bedeutet, das der USER Teil einer GPO die auf ein Computer Objekt wirkt auf alle Anwender wirkt die sich an dem
Computer anmelden. Die Reihenfolge (Domain->Site->OU->Local) bleibt davon unberührt.
Nein, sorry, das ist falsch!Computer anmelden. Die Reihenfolge (Domain->Site->OU->Local) bleibt davon unberührt.
Loopback bedeutet, das der USER Teil einer GPO, die für ein USER Objekt gilt, für DIESEN USER angewendet wird, WENN ER sich an einem
Computer anmeldet, über dessen ADS-Pfad der GPO Client eine GPO für diesen Benutzer findet.
Der USER braucht das Lesen- und Anwenden-Recht, wenn der GPO Client diese GPO liefern soll, nicht der Computer. Der Computer ist in diesem Zusammenhang nur dafür relevant, dass der GPO Client ausgehend von dessen Computer-Objekt die GPO's für den Benutzere einsammelt.
Ergo: Site-GPO wird auf Computer angewendet, und per Loopback auf alle User die sich an dem Computer anmelden.
Über Loopback kann man überhaupt keinen Einfluss darauf nehmen, welche GPO für einen Computer angewendet wird.Und ja, das hab ich schon öfters so oder in ähnlicher Weise "draussen" (v.A. in Zusammenspiel mit Temrinalservern) implementiert.
Ich will Dir in keiner Weise absprechen, dass Du da erfolgreich gute und funktionierende Lösungen geschaffen hast! Aber wenn man Wissen weitergeben will, dann muss das auch fachlich korrekt sein. Sonst bringt es dem Fragesteller nicht weiter.E.