antenope
Goto Top

Gruppenrichtlinie Benutzereinstellungen für bestimmte Computer

Hallo zusammen,
ich glaube ich sehe gerade den Wald vor Bäumen nicht oder denke etwas zu kompliziert.
Bei jedem der lokalen Computern möchte ich gerne eine Ordnerumleitung auf die Server einrichten, soweit kein Problem. Bei Notebooks wäre das natürlich nicht so optimal.

Da die Umleitung eine Benutzer-Einstellung ist, würde ich instinktiv hingehen und dies über die OUs der Benutzer machen. Da aber manche Leute einen Computer UND ein Notebook haben, wäre das aber nicht zielführend. (Eine Unterteilung der Benutzer geht ja nicht wegen dualer Nutzung).

Meine Lösung wäre jetzt, dass ich hingehe und zwei OUs für "Desktop" und "Mobil" anlege und dort die Geräte einsortiere. Bei Desktops verknüpfe ich die GPO für die Ordnerumleitung und bin glücklich.

So und nun meine Hirnknoten. Funktioniert eine Benutzer-GPO überhaupt wenn die mit einer OU verknüpft ist in der nur Computer eingeordnet sind?


Oder kann ich mir das super einfach machen und schlicht eine Gruppe für meine Standcomputer machen, diese als Mitglieder hinzufügen und dann über die Sicherheitseinstellung die Verteilung steuern? Aber dann hätten die Benutzer wiederum keinen Zugriff auf diese GPO und würden diese nicht anwenden?

Ich brauche da mal bitte einen kleinen Stups in die richtige Richtung. Danke.

Content-ID: 665243

Url: https://administrator.de/contentid/665243

Ausgedruckt am: 08.11.2024 um 21:11 Uhr

Inf1d3l
Inf1d3l 29.03.2021 aktualisiert um 14:45:09 Uhr
Goto Top
GPP mit Zielgruppenadressierung ist dein Freund. Funktioniert auch bei Benutzereinstellungen und Computerbedingungen. Also z.B. wenn Computername / Gruppe = xxx dann nehme Benutzereinstellung xy vor.
erikro
erikro 29.03.2021, aktualisiert am 30.03.2021 um 08:37:10 Uhr
Goto Top
Moin,

loopback-Verarbeitung ist das Stichwort. Damit kannst Du Benutzereinstellungen computerabhängig vornehmen.

hth

Erik
lukas0209
lukas0209 29.03.2021 um 14:53:05 Uhr
Goto Top
Eine Option wäre auch noch die WMI-Filterung, damit müsste das auch gehen.
lukas0209
lukas0209 29.03.2021 um 15:00:16 Uhr
Goto Top
Zitat von @Inf1d3l:

GPP mit Zielgruppenadressierung ist dein Freund. Funktioniert auch bei Benutzereinstellungen und Computerbedingungen. Also z.B. wenn Computername / Gruppe = xxx dann nehme Benutzereinstellung xy vor.
Das wäre aus meiner Sicht die einfachste Lösung, lege einfach die Gruppe Laptops und Desktops an.
IT-Pro
Lösung IT-Pro 29.03.2021 um 16:26:21 Uhr
Goto Top
Zitat von @anteNope:

Oder kann ich mir das super einfach machen und schlicht eine Gruppe für meine Standcomputer machen, diese als Mitglieder hinzufügen und dann über die Sicherheitseinstellung die Verteilung steuern? Aber dann hätten die Benutzer wiederum keinen Zugriff auf diese GPO und würden diese nicht anwenden?

Wenn ich das Gruppenrichtlinienkonzept richtig verstanden habe, kannst du dir es auch super einfach machen, in dem du in die Sicherheitsfilterung die Gruppe aller Benutzer aufnimmst und die Gruppe der TowerPCs. Die GPO verknüpfst du dann auch nur in der TowerPC-OU!

Bitte berichtigt mich unbedingt, wenn ich da was mit der Sicherheitsfilterung missverstanden habe. Aber GPOs werden doch nur auf die Benutzer angewendet, die in der Sicherheitsfilterung sind. Wer nicht in der Sicherheitsfilterung genannt ist, darf die GPO nicht anwenden!
anteNope
anteNope 29.03.2021 aktualisiert um 17:47:26 Uhr
Goto Top
Hey danke für die vielen Vorschläge!

Die GPO verknüpfst du dann auch nur in der TowerPC-OU!
Genau, nur die Frage ist, ob diese dann bei der Benutzeranmeldung ausgeführt wird. Weil der Benutzer ja in einer anderen OU hängt. So nach dem Motto ist nicht meine OU, interessiert mich nicht.

Kann aber auch sein, dass die Zuordnung bei der Anmeldung in Kombination von Benutzer+Client ausgewertet wird. Also so, dass bei der Anmeldung Summe aller GPOs (User + PC) kombiniert werden und angewendet werden.

Ich teste das die Tage einfach mal. Im schlimmsten Fall greift die Orderumleitung dann ja nicht.
Ansonsten kommen die oben genannten Geschütze zum Einsatz. Ich werde berichten.
erikro
erikro 29.03.2021 um 19:13:45 Uhr
Goto Top
Moin,

nochmal. Das ist der falsche Ansatz. Für den Fall, dass man bestimmte Benutzerkonfigurationen auf bestimmten Maschinen braucht, hat Microsoft die Loop-Back-Verabeitung erfunden. Die macht genau das, was Du willst. Sie überschreibt die Einstellung der GPO des Users mit der Einstellung des Computers für den User.

hth

Erik
anteNope
anteNope 29.03.2021 um 20:43:20 Uhr
Goto Top
Okay, danke für den Hinweis. Den Link lese ich mir morgen durch 😊
IT-Pro
IT-Pro 29.03.2021 um 21:43:34 Uhr
Goto Top
Zitat von @erikro:

Moin,

nochmal. Das ist der falsche Ansatz. Für den Fall, dass man bestimmte Benutzerkonfigurationen auf bestimmten Maschinen braucht, hat Microsoft die Loop-Back-Verabeitung erfunden. Die macht genau das, was Du willst. Sie überschreibt die Einstellung der GPO des Users mit der Einstellung des Computers für den User.

hth

Erik


Ja, loopback ist schon der richtige Weg um anteNope´s Problem zu lösen. Ich wollte mich hier nur dazwischendrängen um mir nochmal mein Wissen validieren zu lassen. (Ja, GPOs werden doch nur auf die Benutzer angewendet, die in der Sicherheitsfilterung sind. Wer nicht in der Sicherheitsfilterung genannt ist, darf die GPO nicht anwenden! ODER Nein, da hast die Sicherheitsfilterung falsch verstanden, das ist so und so)
IT-Pro
Lösung IT-Pro 29.03.2021 um 21:52:18 Uhr
Goto Top
Zitat von @anteNope:

Genau, nur die Frage ist, ob diese dann bei der Benutzeranmeldung ausgeführt wird. Weil der Benutzer ja in einer anderen OU hängt. So nach dem Motto ist nicht meine OU, interessiert mich nicht.

Die GPO werden gewissermaßen Unabhängig von der OU angewendet. Die GPO muss nur auf dem Weg zum Objekt sichtbar sein. Wie erkläre ich das jetzt am besten? Wahrscheinlich mit dem LDAP-Pfad.

Du kennst doch sicherlich den LDAP-Pfad, dieses CN=, OU=, DC=, DC= ...

Du fängst rechts an zu lesen und gehst den Pfad dann entlang bis zu Ressourcenobjekt. (Der User, Computer, Drucker, Gruppe etc)

An allen GPOs, die du auf diesem Weg vorbeikommst, können auf dein Ressourcenobjekt angewendet werden. Keine anderen.

Frage an alle: Kann man das so erklären? Ist das fachlich so korrekt oder ist das durch die Formulierung inhaltlich falsch geworden?
lukas0209
lukas0209 29.03.2021 um 22:09:52 Uhr
Goto Top
Zitat von @IT-Pro:

Zitat von @anteNope:

Genau, nur die Frage ist, ob diese dann bei der Benutzeranmeldung ausgeführt wird. Weil der Benutzer ja in einer anderen OU hängt. So nach dem Motto ist nicht meine OU, interessiert mich nicht.

Die GPO werden gewissermaßen Unabhängig von der OU angewendet. Die GPO muss nur auf dem Weg zum Objekt sichtbar sein. Wie erkläre ich das jetzt am besten? Wahrscheinlich mit dem LDAP-Pfad.

Du kennst doch sicherlich den LDAP-Pfad, dieses CN=, OU=, DC=, DC= ...

Du fängst rechts an zu lesen und gehst den Pfad dann entlang bis zu Ressourcenobjekt. (Der User, Computer, Drucker, Gruppe etc)

An allen GPOs, die du auf diesem Weg vorbeikommst, können auf dein Ressourcenobjekt angewendet werden. Keine anderen.

Frage an alle: Kann man das so erklären? Ist das fachlich so korrekt oder ist das durch die Formulierung inhaltlich falsch geworden?
Ist verständlich.
jsysde
jsysde 29.03.2021 um 22:11:13 Uhr
Goto Top
N'Abend.

Zitat von @erikro:
looback-Verarbeitung
Na die ist dann wohl für'n Ar***! face-wink
https://www.google.com/search?q=loo+deutsch

Cheers,
jsysde
erikro
erikro 30.03.2021 um 08:38:06 Uhr
Goto Top
Oooops, oder sollte ich besser sagen puuuuups. face-wink Ich habe das mal oben korrigiert. face-wink
emeriks
Lösung emeriks 30.03.2021 aktualisiert um 11:11:07 Uhr
Goto Top
Zitat von @Inf1d3l:
GPP mit Zielgruppenadressierung ist dein Freund.
Ordnerumleitung ist keine Einstellung sondern eine Richtlinie. Also auch keine Zielgruppenadressierung möglich. Wenn sowas, dann höchstens über WMI, aber das ist Murks. Und langsam.

Loopback-Verarbeitung im Modus "Zusammenführen" ist hier die Lösung. "Ersetzen" würde ja bedeuten, dass man alle anderen GPO, welche sonst noch für den Benutzer gelten sollen, dann zusätzlich noch einmal an der Notebook-OU verlinken müsste.

Beachte: Loopback wird nicht per GPO aktiviert, sondern per Computer. Also in nur einer GPO das Loopback "Zusammenführen" aktivieren und für die Notebooks wirken lassen. Dann eine extra GPO, in welcher explizit eingestellt ist: Ordnerumleitung --> im lokalen Pfad belassen (sinngemäß). Diese GPO an der OU für Notebooks verlinken.

Man muss nur aufpassen, wenn da Roaming Profiles im Einsatz sind, welche sowohl für Anmeldung am PC als auch am Notebook gelten. Dann sollte man in den Ordnerumleitungen nicht aktivieren, dass die Inhalte an das neue Ziel verschoben werden sollen.

Was theoretisch auch noch funktionieren müsste: (habe es nicht ausprobiert)
  • Voraussetzung: Keine Romain Profiles
  • Sicherheitsgruppe erstellen --> alle Computerobjekte der Notebooks dort hinein
  • Ordnerumleitung über eine extra GPO einstellen, in welcher nichts anderes eingestellt ist
  • der o.g. Gruppe für diese GPO explizit das Lese-Recht verweigern

Dann bräuchte man kein Loopback. Da ein Computer die GPO's lesen können muss, (auch jene, welche nur für Benutzer gelten), um sie für die Benutzer anwenden zu können, können die Notebooks diese Ordnerumleitungs-GPO jetzt nicht mehr lesen und also auch nicht anwenden.

E.
Inf1d3l
Inf1d3l 30.03.2021 aktualisiert um 11:41:42 Uhr
Goto Top
Zitat von @emeriks:

Zitat von @Inf1d3l:
GPP mit Zielgruppenadressierung ist dein Freund.
Ordnerumleitung ist keine Einstellung sondern eine Richtlinie. Also auch keine Zielgruppenadressierung möglich.

Richtlinien sind nicht anderes als Registry-Einstellungen. Warum soll es hier nicht möglich sein?
emeriks
emeriks 30.03.2021 um 11:56:47 Uhr
Goto Top
Zitat von @Inf1d3l:
Richtlinien sind nicht anderes als Registry-Einstellungen. Warum soll es hier nicht möglich sein?
Du kannst es versuchen. In keinem Fall wird es bereits beim ersten Login wirken, auch nicht während der Sitzung beim GPupdate. Möglicherweise wenn man in der Sitzung den Explorer-Prozess beendet und neu startet. Sonst würde erst beim nächsten Login der geänderte Pfad wirksam werden.
"Ordnerumleitung" ist in diesem Sinne eben nicht nur ein Registry-Wert sondern auch eine Aktion. Ähnlich "Systemdienste". Man kann auch per Registry ausrollen, dass ein Dienst deaktiviert sein soll. Nur wird er dann nicht bei Anwendung der GPP beendet. Erst beim nächsten Neustart des Computers würde der Dienst nicht gestartet werden. Stellt man hingegen über "Systemdienste" einen Dienst auf "deaktiviert", dann wird er beim nächsten GPupdate auch gleich beendet.
anteNope
anteNope 02.04.2021 aktualisiert um 07:58:27 Uhr
Goto Top
Moin, wir haben gestern mal ein wenig rumgetestet und sind zu folgenden Erkenntnissen gekommen:

OUs verwenden
  • wir haben zwei OUs angelegt, Notebooks und Desktops
  • Beide OUs sind die untersten Elemente des Pfades
  • Die Ordnerumleitung haben wir auf "Desktops" verknüpft, sonst nirgendwo
  • Computer in Gruppe Desktops verschoben
  • Ergebnis: die GPO-Ordnerumleitung wird für Benutzer nicht angewendet. Das funktioniert also nicht.

Der Benutzer kommt an der GPO "nicht vorbei". Computer und Benutzer OUs werden getrennt durchlaufen. Hierbei ist egal wie die Sicherheitseinstellungen gesetzt sind. Naja, probieren kann man es ja mal.

Sicherheitseinstellungen verwenden
  • Alle Geräte verbleiben in der CN-Computer, keine OUs für die Computer
  • Gruppe erstellen "Notebooks" und entsprechend die Notebooks als Mitglieder hinzufügen
  • GPO-Ordnerumleitung an OU-Pfade der Benutzer hängen oder direkt an die Domäne
  • In den Sicherheitseinstellungen die Gruppe "Notebooks" hinzufügen UND den Zugriff verweigern
  • Ergebnis: GPO wird vom Benutzern auf diesem Gerät nicht angewendet

Warum auch immer gilt die Verweigerung auch für die Benutzer auf dem Gerät. Die Ordnerumleitung wird nicht angewendet.

Das dürfte dann wohl die einfachste und unkomplizierteste Lösung sein ... Login funktioniert zudem rattenschnell 😁

Die Lösung ist also eine leichte Abwandlung von @IT-Pro's Vorschlag 😎
emeriks
emeriks 07.04.2021 aktualisiert um 11:11:22 Uhr
Goto Top
Zitat von @anteNope:
Warum auch immer gilt die Verweigerung auch für die Benutzer auf dem Gerät.
Ich gehe davon aus, Du hast hier das Lese-Recht verweigert?
Warum das dann so funktioniert, hatte ich bereits geschrieben:
Da ein Computer die GPO's lesen können muss, (auch jene, welche nur für Benutzer gelten), um sie für die Benutzer anwenden zu können, können die Notebooks diese Ordnerumleitungs-GPO jetzt nicht mehr lesen und also auch nicht anwenden.
anteNope
anteNope 07.04.2021 um 12:29:20 Uhr
Goto Top
Genau =)