tom990
Goto Top

Group Policy Verständnisfrage

Hallo zusammen

Ich hätte eine Verständnisfrage bezüglich Group Policy.

Ich habe am Server im Group Policy Management eine neue Group Policy erstellt „Disable PowerShell.exe“. Ich habe die GPO dann mit der OU Computers verknüpft. Als ich mich am Client PC angemeldet habe, konnte man PowerShell starten. Als ich die GPO allerdings mit der OU Users verknüpft habe, hat es auf einmal funktioniert.

Meine Verständnisfrage jetzt wäre:
Gehe ich richtig in der Annahme das, wenn ich eine GPO erstelle und auf „Edit“ gehe um dort alles einzurichten, wenn ich etwas unter Computer Configuration ändere, muss die GPO mit dem OU Computer verlinkt sein und wenn ich etwas unter User Configuration ändere, muss die GPO mit der OU Users verknüpft sein?

Der Grund weshalb ich die GPO erst mit der OU Computers verknüpft habe, war das ich mir dachte diese Regel soll auf allen Computern gelten, auf denen sich ein Benutzer anmeldet.

Vielen Dank für eure Hilfe.
Viele Grüße
Tom

Content-ID: 73478281015

Url: https://administrator.de/forum/group-policy-verstaendnisfrage-73478281015.html

Ausgedruckt am: 23.12.2024 um 00:12 Uhr

MrHeisenberg
Lösung MrHeisenberg 06.09.2023 um 15:43:50 Uhr
Goto Top
Hi,

wenn ich dich richtig verstehe, bei den GPO´s gibt's zwei Optionen 1x Computer sowie einmal User, sprich Computerkonfiguration und Benutzerkonfiguration, hier musst du aufpassen.

zB. Wenn du eine Einstellung unter Benutzer veränderst muss diese über die OU gespannt werden wo deine User liegen, deto bei GPO Erstellung unter Computer, diese muss dann wie der Name schon sagt auf die OU mit deinen Computer.

Es kommt immer darauf an wie deine Domain aufgebaut ist, bei uns liegen Computer sowie User in der selben OU sortiert nach Abteilung und Standort, somit spanne ich meine GPO´s User sowie Computer über ein und die selbe OU.

Wenn du nun eine GPO erstellst wo du Benutzer & Computer Einstellungen vorgibst, musst du diese GPO mit deiner Benutzer und deiner Computer OU verknüpfen.

Grüße
tom990
tom990 06.09.2023 um 16:03:26 Uhr
Goto Top
Hallo,

vielen Dank für deine hilfreiche Antwort.

Die Domäne ist so aufgebaut, dass es:
  • eine OU Computers gibt und dort dann die verschiedenen Abteilungen aufgelistet sind, wo ich jeden PC in die richtige Abteilung verschiebe.
  • eine OU Users wo wieder alle Abteilungen wie bei OU Computers sind, aber mit Benutzern
  • eine OU Groups - hier sind alle Security Groups

Viele Grüße
MrHeisenberg
MrHeisenberg 06.09.2023 um 16:58:51 Uhr
Goto Top
Zitat von @tom990:

Hallo,

vielen Dank für deine hilfreiche Antwort.

Bitte gerne


Die Domäne ist so aufgebaut, dass es:
  • eine OU Computers gibt und dort dann die verschiedenen Abteilungen aufgelistet sind, wo ich jeden PC in die richtige Abteilung verschiebe.

Hier musst du deine GPO verlinken welche Geräte steuern/einschränken

bei uns ist es so dass wir die Abteilungen angelegt haben mit den Benutzern & Geräten sowie ein eigener Container mit Mobile für die Laptops/Tablets da hier wieder erweiterte GPO´s greifen, ist aber geschmackssache

* eine OU Users wo wieder alle Abteilungen wie bei OU Computers sind, aber mit Benutzern

Hier musst du deine GPO verlinken welche Benutzer steuern/einschränken

* eine OU Groups - hier sind alle Security Groups

Sicherheitsgruppen sind meiner Erfahrung nach immer in einen eigenen Container


Viele Grüße

Grüße
Xaero1982
Xaero1982 06.09.2023 um 17:43:50 Uhr
Goto Top
Bitte lege eine richtige Domänenstruktur an und benutze nicht die vorgefertigten OU's.

Dann wie schon gesagt musst du bei den GPOs unterscheiden zwischen Benutzer- und Computereinstellungen.

Dann müssen in der jeweiligen OU auch entsprechend Computer oder Nutzer sein. Eine GPO die nur Nutzereinstellungen hat, greift natürlich nicht, wenn in der OU nur Computer sind.

Grüße
tom990
tom990 07.09.2023 um 09:19:08 Uhr
Goto Top
Zitat von @Xaero1982:

Bitte lege eine richtige Domänenstruktur an und benutze nicht die vorgefertigten OU's.

Dann wie schon gesagt musst du bei den GPOs unterscheiden zwischen Benutzer- und Computereinstellungen.

Dann müssen in der jeweiligen OU auch entsprechend Computer oder Nutzer sein. Eine GPO die nur Nutzereinstellungen hat, greift natürlich nicht, wenn in der OU nur Computer sind.

Grüße

Vielen Dank für deine Antwort.
Ich habe drei OU's angelegt - Users, Computers und Group. Die vorgefertigten (users, computers) verwende ich nicht.

Ich habe mir überlegt, ob die Organisationsstruktur so wie ich es gemacht habe, gut ist?
Wie gesagt, wir haben 6 Abteilungen. Alle PCs sind gleich und alle Benutzer brauchen eigentlich die gleichen Programme und Konfiguration. Das Einzige, was anders ist, sind die Netzwerkordner, die für verschiedene Gruppen sind, aber das habe ich über drive mapping gelöst.

Habt ihr vielleicht einen (besseren) Vorschlag?
MrHeisenberg
MrHeisenberg 07.09.2023 um 09:25:28 Uhr
Goto Top
Moin,

du kannst es ggf. so aufbauen:

HauptOU (Standortname)

Abteilung 1
- User + Computer / eigener Container mit Mobile

Abteilung 2
- User + Computer / eigener Container mit Mobile

usw.....

Der klare Vorteil aus meiner sich ist die Übersichtlichkeit, du hast die gesamte Abteilung (Finanz, Personal usw...) zusammengefasst, kannst deine GPO´s schön verteilen, und hast die Möglichkeit unter der Haupt OU generelle GPO´s zu verteilen, und in den einzelnen Abteilungs OU´s spezifische GPO´s zu setzen, dies erleichtert dir die Fehlersuche, und wie gesagt aus meiner Sicht hast eine saubere Einteilung


Grüße
tom990
tom990 08.09.2023 um 12:37:16 Uhr
Goto Top
Hallo.

Vielen Dank für deine Antwort und den Tipp. Dieser Aufbauvorschlag hört sich sehr gut an.

Viele Grüße
Tom
Xaero1982
Xaero1982 10.09.2023 um 15:24:34 Uhr
Goto Top
Bei meinen Kunden bekommen alle Zugriff auf den Root-Ordner der Freigabe. Darunter ist über die NTFS Berechtigungen geregelt wer wo Zugriff hat. Da muss ich mir also keine x verschiedenen GPOs anlegen für verschiedene Usergruppen.

Kenne einen anderen DL, der für jede Gruppe und da gab es viele, eine Freigabe erstellt und beim MA eingebunden hat. Irgendwann bekommst du ein Problem mit den LW-Buchstaben...