8
Group Policy Verständnisfrage
Hallo zusammen
Ich hätte eine Verständnisfrage bezüglich Group Policy.
Ich habe am Server im Group Policy Management eine neue Group Policy erstellt „Disable PowerShell.exe“. Ich habe die GPO dann mit der OU Computers verknüpft. Als ich mich am Client PC angemeldet habe, konnte man PowerShell starten. Als ich die GPO allerdings mit der OU Users verknüpft habe, hat es auf einmal funktioniert.
Meine Verständnisfrage jetzt wäre:
Gehe ich richtig in der Annahme das, wenn ich eine GPO erstelle und auf „Edit“ gehe um dort alles einzurichten, wenn ich etwas unter Computer Configuration ändere, muss die GPO mit dem OU Computer verlinkt sein und wenn ich etwas unter User Configuration ändere, muss die GPO mit der OU Users verknüpft sein?
Der Grund weshalb ich die GPO erst mit der OU Computers verknüpft habe, war das ich mir dachte diese Regel soll auf allen Computern gelten, auf denen sich ein Benutzer anmeldet.
Vielen Dank für eure Hilfe.
Viele Grüße
Tom
Ich hätte eine Verständnisfrage bezüglich Group Policy.
Ich habe am Server im Group Policy Management eine neue Group Policy erstellt „Disable PowerShell.exe“. Ich habe die GPO dann mit der OU Computers verknüpft. Als ich mich am Client PC angemeldet habe, konnte man PowerShell starten. Als ich die GPO allerdings mit der OU Users verknüpft habe, hat es auf einmal funktioniert.
Meine Verständnisfrage jetzt wäre:
Gehe ich richtig in der Annahme das, wenn ich eine GPO erstelle und auf „Edit“ gehe um dort alles einzurichten, wenn ich etwas unter Computer Configuration ändere, muss die GPO mit dem OU Computer verlinkt sein und wenn ich etwas unter User Configuration ändere, muss die GPO mit der OU Users verknüpft sein?
Der Grund weshalb ich die GPO erst mit der OU Computers verknüpft habe, war das ich mir dachte diese Regel soll auf allen Computern gelten, auf denen sich ein Benutzer anmeldet.
Vielen Dank für eure Hilfe.
Viele Grüße
Tom
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 73478281015
Url: https://administrator.de/contentid/73478281015
Printed on: July 27, 2024 at 12:07 o'clock
8 Comments
Latest comment
Hi,
wenn ich dich richtig verstehe, bei den GPO´s gibt's zwei Optionen 1x Computer sowie einmal User, sprich Computerkonfiguration und Benutzerkonfiguration, hier musst du aufpassen.
zB. Wenn du eine Einstellung unter Benutzer veränderst muss diese über die OU gespannt werden wo deine User liegen, deto bei GPO Erstellung unter Computer, diese muss dann wie der Name schon sagt auf die OU mit deinen Computer.
Es kommt immer darauf an wie deine Domain aufgebaut ist, bei uns liegen Computer sowie User in der selben OU sortiert nach Abteilung und Standort, somit spanne ich meine GPO´s User sowie Computer über ein und die selbe OU.
Wenn du nun eine GPO erstellst wo du Benutzer & Computer Einstellungen vorgibst, musst du diese GPO mit deiner Benutzer und deiner Computer OU verknüpfen.
Grüße
wenn ich dich richtig verstehe, bei den GPO´s gibt's zwei Optionen 1x Computer sowie einmal User, sprich Computerkonfiguration und Benutzerkonfiguration, hier musst du aufpassen.
zB. Wenn du eine Einstellung unter Benutzer veränderst muss diese über die OU gespannt werden wo deine User liegen, deto bei GPO Erstellung unter Computer, diese muss dann wie der Name schon sagt auf die OU mit deinen Computer.
Es kommt immer darauf an wie deine Domain aufgebaut ist, bei uns liegen Computer sowie User in der selben OU sortiert nach Abteilung und Standort, somit spanne ich meine GPO´s User sowie Computer über ein und die selbe OU.
Wenn du nun eine GPO erstellst wo du Benutzer & Computer Einstellungen vorgibst, musst du diese GPO mit deiner Benutzer und deiner Computer OU verknüpfen.
Grüße
Hallo,
vielen Dank für deine hilfreiche Antwort.
Die Domäne ist so aufgebaut, dass es:
Viele Grüße
vielen Dank für deine hilfreiche Antwort.
Die Domäne ist so aufgebaut, dass es:
- eine OU Computers gibt und dort dann die verschiedenen Abteilungen aufgelistet sind, wo ich jeden PC in die richtige Abteilung verschiebe.
- eine OU Users wo wieder alle Abteilungen wie bei OU Computers sind, aber mit Benutzern
- eine OU Groups - hier sind alle Security Groups
Viele Grüße
Bitte gerne
Die Domäne ist so aufgebaut, dass es:
- eine OU Computers gibt und dort dann die verschiedenen Abteilungen aufgelistet sind, wo ich jeden PC in die richtige Abteilung verschiebe.
Hier musst du deine GPO verlinken welche Geräte steuern/einschränken
bei uns ist es so dass wir die Abteilungen angelegt haben mit den Benutzern & Geräten sowie ein eigener Container mit Mobile für die Laptops/Tablets da hier wieder erweiterte GPO´s greifen, ist aber geschmackssache
* eine OU Users wo wieder alle Abteilungen wie bei OU Computers sind, aber mit Benutzern
Hier musst du deine GPO verlinken welche Benutzer steuern/einschränken
* eine OU Groups - hier sind alle Security Groups
Sicherheitsgruppen sind meiner Erfahrung nach immer in einen eigenen Container
Viele Grüße
Grüße
Bitte lege eine richtige Domänenstruktur an und benutze nicht die vorgefertigten OU's.
Dann wie schon gesagt musst du bei den GPOs unterscheiden zwischen Benutzer- und Computereinstellungen.
Dann müssen in der jeweiligen OU auch entsprechend Computer oder Nutzer sein. Eine GPO die nur Nutzereinstellungen hat, greift natürlich nicht, wenn in der OU nur Computer sind.
Grüße
Dann wie schon gesagt musst du bei den GPOs unterscheiden zwischen Benutzer- und Computereinstellungen.
Dann müssen in der jeweiligen OU auch entsprechend Computer oder Nutzer sein. Eine GPO die nur Nutzereinstellungen hat, greift natürlich nicht, wenn in der OU nur Computer sind.
Grüße
Zitat von @Xaero1982:
Bitte lege eine richtige Domänenstruktur an und benutze nicht die vorgefertigten OU's.
Dann wie schon gesagt musst du bei den GPOs unterscheiden zwischen Benutzer- und Computereinstellungen.
Dann müssen in der jeweiligen OU auch entsprechend Computer oder Nutzer sein. Eine GPO die nur Nutzereinstellungen hat, greift natürlich nicht, wenn in der OU nur Computer sind.
Grüße
Bitte lege eine richtige Domänenstruktur an und benutze nicht die vorgefertigten OU's.
Dann wie schon gesagt musst du bei den GPOs unterscheiden zwischen Benutzer- und Computereinstellungen.
Dann müssen in der jeweiligen OU auch entsprechend Computer oder Nutzer sein. Eine GPO die nur Nutzereinstellungen hat, greift natürlich nicht, wenn in der OU nur Computer sind.
Grüße
Vielen Dank für deine Antwort.
Ich habe drei OU's angelegt - Users, Computers und Group. Die vorgefertigten (users, computers) verwende ich nicht.
Ich habe mir überlegt, ob die Organisationsstruktur so wie ich es gemacht habe, gut ist?
Wie gesagt, wir haben 6 Abteilungen. Alle PCs sind gleich und alle Benutzer brauchen eigentlich die gleichen Programme und Konfiguration. Das Einzige, was anders ist, sind die Netzwerkordner, die für verschiedene Gruppen sind, aber das habe ich über drive mapping gelöst.
Habt ihr vielleicht einen (besseren) Vorschlag?
Moin,
du kannst es ggf. so aufbauen:
HauptOU (Standortname)
Abteilung 1
- User + Computer / eigener Container mit Mobile
Abteilung 2
- User + Computer / eigener Container mit Mobile
usw.....
Der klare Vorteil aus meiner sich ist die Übersichtlichkeit, du hast die gesamte Abteilung (Finanz, Personal usw...) zusammengefasst, kannst deine GPO´s schön verteilen, und hast die Möglichkeit unter der Haupt OU generelle GPO´s zu verteilen, und in den einzelnen Abteilungs OU´s spezifische GPO´s zu setzen, dies erleichtert dir die Fehlersuche, und wie gesagt aus meiner Sicht hast eine saubere Einteilung
Grüße
du kannst es ggf. so aufbauen:
HauptOU (Standortname)
Abteilung 1
- User + Computer / eigener Container mit Mobile
Abteilung 2
- User + Computer / eigener Container mit Mobile
usw.....
Der klare Vorteil aus meiner sich ist die Übersichtlichkeit, du hast die gesamte Abteilung (Finanz, Personal usw...) zusammengefasst, kannst deine GPO´s schön verteilen, und hast die Möglichkeit unter der Haupt OU generelle GPO´s zu verteilen, und in den einzelnen Abteilungs OU´s spezifische GPO´s zu setzen, dies erleichtert dir die Fehlersuche, und wie gesagt aus meiner Sicht hast eine saubere Einteilung
Grüße
Hallo.
Vielen Dank für deine Antwort und den Tipp. Dieser Aufbauvorschlag hört sich sehr gut an.
Viele Grüße
Tom
Vielen Dank für deine Antwort und den Tipp. Dieser Aufbauvorschlag hört sich sehr gut an.
Viele Grüße
Tom
Bei meinen Kunden bekommen alle Zugriff auf den Root-Ordner der Freigabe. Darunter ist über die NTFS Berechtigungen geregelt wer wo Zugriff hat. Da muss ich mir also keine x verschiedenen GPOs anlegen für verschiedene Usergruppen.
Kenne einen anderen DL, der für jede Gruppe und da gab es viele, eine Freigabe erstellt und beim MA eingebunden hat. Irgendwann bekommst du ein Problem mit den LW-Buchstaben...
Kenne einen anderen DL, der für jede Gruppe und da gab es viele, eine Freigabe erstellt und beim MA eingebunden hat. Irgendwann bekommst du ein Problem mit den LW-Buchstaben...