antenope
Goto Top

Gruppenrichtlinie Benutzereinstellungen für bestimmte Computer

Hallo zusammen,
ich glaube ich sehe gerade den Wald vor Bäumen nicht oder denke etwas zu kompliziert.
Bei jedem der lokalen Computern möchte ich gerne eine Ordnerumleitung auf die Server einrichten, soweit kein Problem. Bei Notebooks wäre das natürlich nicht so optimal.

Da die Umleitung eine Benutzer-Einstellung ist, würde ich instinktiv hingehen und dies über die OUs der Benutzer machen. Da aber manche Leute einen Computer UND ein Notebook haben, wäre das aber nicht zielführend. (Eine Unterteilung der Benutzer geht ja nicht wegen dualer Nutzung).

Meine Lösung wäre jetzt, dass ich hingehe und zwei OUs für "Desktop" und "Mobil" anlege und dort die Geräte einsortiere. Bei Desktops verknüpfe ich die GPO für die Ordnerumleitung und bin glücklich.

So und nun meine Hirnknoten. Funktioniert eine Benutzer-GPO überhaupt wenn die mit einer OU verknüpft ist in der nur Computer eingeordnet sind?


Oder kann ich mir das super einfach machen und schlicht eine Gruppe für meine Standcomputer machen, diese als Mitglieder hinzufügen und dann über die Sicherheitseinstellung die Verteilung steuern? Aber dann hätten die Benutzer wiederum keinen Zugriff auf diese GPO und würden diese nicht anwenden?

Ich brauche da mal bitte einen kleinen Stups in die richtige Richtung. Danke.

Content-Key: 665243

Url: https://administrator.de/contentid/665243

Printed on: April 15, 2024 at 12:04 o'clock

Member: Inf1d3l
Inf1d3l Mar 29, 2021 updated at 12:45:09 (UTC)
Goto Top
GPP mit Zielgruppenadressierung ist dein Freund. Funktioniert auch bei Benutzereinstellungen und Computerbedingungen. Also z.B. wenn Computername / Gruppe = xxx dann nehme Benutzereinstellung xy vor.
Member: erikro
erikro Mar 29, 2021, updated at Mar 30, 2021 at 06:37:10 (UTC)
Goto Top
Moin,

loopback-Verarbeitung ist das Stichwort. Damit kannst Du Benutzereinstellungen computerabhängig vornehmen.

hth

Erik
Member: lukas0209
lukas0209 Mar 29, 2021 at 12:53:05 (UTC)
Goto Top
Eine Option wäre auch noch die WMI-Filterung, damit müsste das auch gehen.
Member: lukas0209
lukas0209 Mar 29, 2021 at 13:00:16 (UTC)
Goto Top
Zitat von @Inf1d3l:

GPP mit Zielgruppenadressierung ist dein Freund. Funktioniert auch bei Benutzereinstellungen und Computerbedingungen. Also z.B. wenn Computername / Gruppe = xxx dann nehme Benutzereinstellung xy vor.
Das wäre aus meiner Sicht die einfachste Lösung, lege einfach die Gruppe Laptops und Desktops an.
Member: IT-Pro
Solution IT-Pro Mar 29, 2021 at 14:26:21 (UTC)
Goto Top
Zitat von @anteNope:

Oder kann ich mir das super einfach machen und schlicht eine Gruppe für meine Standcomputer machen, diese als Mitglieder hinzufügen und dann über die Sicherheitseinstellung die Verteilung steuern? Aber dann hätten die Benutzer wiederum keinen Zugriff auf diese GPO und würden diese nicht anwenden?

Wenn ich das Gruppenrichtlinienkonzept richtig verstanden habe, kannst du dir es auch super einfach machen, in dem du in die Sicherheitsfilterung die Gruppe aller Benutzer aufnimmst und die Gruppe der TowerPCs. Die GPO verknüpfst du dann auch nur in der TowerPC-OU!

Bitte berichtigt mich unbedingt, wenn ich da was mit der Sicherheitsfilterung missverstanden habe. Aber GPOs werden doch nur auf die Benutzer angewendet, die in der Sicherheitsfilterung sind. Wer nicht in der Sicherheitsfilterung genannt ist, darf die GPO nicht anwenden!
Member: anteNope
anteNope Mar 29, 2021 updated at 15:47:26 (UTC)
Goto Top
Hey danke für die vielen Vorschläge!

Die GPO verknüpfst du dann auch nur in der TowerPC-OU!
Genau, nur die Frage ist, ob diese dann bei der Benutzeranmeldung ausgeführt wird. Weil der Benutzer ja in einer anderen OU hängt. So nach dem Motto ist nicht meine OU, interessiert mich nicht.

Kann aber auch sein, dass die Zuordnung bei der Anmeldung in Kombination von Benutzer+Client ausgewertet wird. Also so, dass bei der Anmeldung Summe aller GPOs (User + PC) kombiniert werden und angewendet werden.

Ich teste das die Tage einfach mal. Im schlimmsten Fall greift die Orderumleitung dann ja nicht.
Ansonsten kommen die oben genannten Geschütze zum Einsatz. Ich werde berichten.
Member: erikro
erikro Mar 29, 2021 at 17:13:45 (UTC)
Goto Top
Moin,

nochmal. Das ist der falsche Ansatz. Für den Fall, dass man bestimmte Benutzerkonfigurationen auf bestimmten Maschinen braucht, hat Microsoft die Loop-Back-Verabeitung erfunden. Die macht genau das, was Du willst. Sie überschreibt die Einstellung der GPO des Users mit der Einstellung des Computers für den User.

hth

Erik
Member: anteNope
anteNope Mar 29, 2021 at 18:43:20 (UTC)
Goto Top
Okay, danke für den Hinweis. Den Link lese ich mir morgen durch ­čśŐ
Member: IT-Pro
IT-Pro Mar 29, 2021 at 19:43:34 (UTC)
Goto Top
Zitat von @erikro:

Moin,

nochmal. Das ist der falsche Ansatz. Für den Fall, dass man bestimmte Benutzerkonfigurationen auf bestimmten Maschinen braucht, hat Microsoft die Loop-Back-Verabeitung erfunden. Die macht genau das, was Du willst. Sie überschreibt die Einstellung der GPO des Users mit der Einstellung des Computers für den User.

hth

Erik


Ja, loopback ist schon der richtige Weg um anteNope´s Problem zu lösen. Ich wollte mich hier nur dazwischendrängen um mir nochmal mein Wissen validieren zu lassen. (Ja, GPOs werden doch nur auf die Benutzer angewendet, die in der Sicherheitsfilterung sind. Wer nicht in der Sicherheitsfilterung genannt ist, darf die GPO nicht anwenden! ODER Nein, da hast die Sicherheitsfilterung falsch verstanden, das ist so und so)
Member: IT-Pro
Solution IT-Pro Mar 29, 2021 at 19:52:18 (UTC)
Goto Top
Zitat von @anteNope:

Genau, nur die Frage ist, ob diese dann bei der Benutzeranmeldung ausgeführt wird. Weil der Benutzer ja in einer anderen OU hängt. So nach dem Motto ist nicht meine OU, interessiert mich nicht.

Die GPO werden gewissermaßen Unabhängig von der OU angewendet. Die GPO muss nur auf dem Weg zum Objekt sichtbar sein. Wie erkläre ich das jetzt am besten? Wahrscheinlich mit dem LDAP-Pfad.

Du kennst doch sicherlich den LDAP-Pfad, dieses CN=, OU=, DC=, DC= ...

Du fängst rechts an zu lesen und gehst den Pfad dann entlang bis zu Ressourcenobjekt. (Der User, Computer, Drucker, Gruppe etc)

An allen GPOs, die du auf diesem Weg vorbeikommst, können auf dein Ressourcenobjekt angewendet werden. Keine anderen.

Frage an alle: Kann man das so erklären? Ist das fachlich so korrekt oder ist das durch die Formulierung inhaltlich falsch geworden?
Member: lukas0209
lukas0209 Mar 29, 2021 at 20:09:52 (UTC)
Goto Top
Zitat von @IT-Pro:

Zitat von @anteNope:

Genau, nur die Frage ist, ob diese dann bei der Benutzeranmeldung ausgeführt wird. Weil der Benutzer ja in einer anderen OU hängt. So nach dem Motto ist nicht meine OU, interessiert mich nicht.

Die GPO werden gewissermaßen Unabhängig von der OU angewendet. Die GPO muss nur auf dem Weg zum Objekt sichtbar sein. Wie erkläre ich das jetzt am besten? Wahrscheinlich mit dem LDAP-Pfad.

Du kennst doch sicherlich den LDAP-Pfad, dieses CN=, OU=, DC=, DC= ...

Du fängst rechts an zu lesen und gehst den Pfad dann entlang bis zu Ressourcenobjekt. (Der User, Computer, Drucker, Gruppe etc)

An allen GPOs, die du auf diesem Weg vorbeikommst, können auf dein Ressourcenobjekt angewendet werden. Keine anderen.

Frage an alle: Kann man das so erklären? Ist das fachlich so korrekt oder ist das durch die Formulierung inhaltlich falsch geworden?
Ist verständlich.
Member: jsysde
jsysde Mar 29, 2021 at 20:11:13 (UTC)
Goto Top
N'Abend.

Zitat von @erikro:
looback-Verarbeitung
Na die ist dann wohl für'n Ar***! face-wink
https://www.google.com/search?q=loo+deutsch

Cheers,
jsysde
Member: erikro
erikro Mar 30, 2021 at 06:38:06 (UTC)
Goto Top
Oooops, oder sollte ich besser sagen puuuuups. face-wink Ich habe das mal oben korrigiert. face-wink
Member: emeriks
Solution emeriks Mar 30, 2021 updated at 09:11:07 (UTC)
Goto Top
Zitat von @Inf1d3l:
GPP mit Zielgruppenadressierung ist dein Freund.
Ordnerumleitung ist keine Einstellung sondern eine Richtlinie. Also auch keine Zielgruppenadressierung möglich. Wenn sowas, dann höchstens über WMI, aber das ist Murks. Und langsam.

Loopback-Verarbeitung im Modus "Zusammenführen" ist hier die Lösung. "Ersetzen" würde ja bedeuten, dass man alle anderen GPO, welche sonst noch für den Benutzer gelten sollen, dann zusätzlich noch einmal an der Notebook-OU verlinken müsste.

Beachte: Loopback wird nicht per GPO aktiviert, sondern per Computer. Also in nur einer GPO das Loopback "Zusammenführen" aktivieren und für die Notebooks wirken lassen. Dann eine extra GPO, in welcher explizit eingestellt ist: Ordnerumleitung --> im lokalen Pfad belassen (sinngemäß). Diese GPO an der OU für Notebooks verlinken.

Man muss nur aufpassen, wenn da Roaming Profiles im Einsatz sind, welche sowohl für Anmeldung am PC als auch am Notebook gelten. Dann sollte man in den Ordnerumleitungen nicht aktivieren, dass die Inhalte an das neue Ziel verschoben werden sollen.

Was theoretisch auch noch funktionieren müsste: (habe es nicht ausprobiert)
  • Voraussetzung: Keine Romain Profiles
  • Sicherheitsgruppe erstellen --> alle Computerobjekte der Notebooks dort hinein
  • Ordnerumleitung über eine extra GPO einstellen, in welcher nichts anderes eingestellt ist
  • der o.g. Gruppe für diese GPO explizit das Lese-Recht verweigern

Dann bräuchte man kein Loopback. Da ein Computer die GPO's lesen können muss, (auch jene, welche nur für Benutzer gelten), um sie für die Benutzer anwenden zu können, können die Notebooks diese Ordnerumleitungs-GPO jetzt nicht mehr lesen und also auch nicht anwenden.

E.
Member: Inf1d3l
Inf1d3l Mar 30, 2021 updated at 09:41:42 (UTC)
Goto Top
Zitat von @emeriks:

Zitat von @Inf1d3l:
GPP mit Zielgruppenadressierung ist dein Freund.
Ordnerumleitung ist keine Einstellung sondern eine Richtlinie. Also auch keine Zielgruppenadressierung möglich.

Richtlinien sind nicht anderes als Registry-Einstellungen. Warum soll es hier nicht möglich sein?
Member: emeriks
emeriks Mar 30, 2021 at 09:56:47 (UTC)
Goto Top
Zitat von @Inf1d3l:
Richtlinien sind nicht anderes als Registry-Einstellungen. Warum soll es hier nicht möglich sein?
Du kannst es versuchen. In keinem Fall wird es bereits beim ersten Login wirken, auch nicht während der Sitzung beim GPupdate. Möglicherweise wenn man in der Sitzung den Explorer-Prozess beendet und neu startet. Sonst würde erst beim nächsten Login der geänderte Pfad wirksam werden.
"Ordnerumleitung" ist in diesem Sinne eben nicht nur ein Registry-Wert sondern auch eine Aktion. Ähnlich "Systemdienste". Man kann auch per Registry ausrollen, dass ein Dienst deaktiviert sein soll. Nur wird er dann nicht bei Anwendung der GPP beendet. Erst beim nächsten Neustart des Computers würde der Dienst nicht gestartet werden. Stellt man hingegen über "Systemdienste" einen Dienst auf "deaktiviert", dann wird er beim nächsten GPupdate auch gleich beendet.
Member: anteNope
anteNope Apr 02, 2021 updated at 05:58:27 (UTC)
Goto Top
Moin, wir haben gestern mal ein wenig rumgetestet und sind zu folgenden Erkenntnissen gekommen:

OUs verwenden
  • wir haben zwei OUs angelegt, Notebooks und Desktops
  • Beide OUs sind die untersten Elemente des Pfades
  • Die Ordnerumleitung haben wir auf "Desktops" verknüpft, sonst nirgendwo
  • Computer in Gruppe Desktops verschoben
  • Ergebnis: die GPO-Ordnerumleitung wird für Benutzer nicht angewendet. Das funktioniert also nicht.

Der Benutzer kommt an der GPO "nicht vorbei". Computer und Benutzer OUs werden getrennt durchlaufen. Hierbei ist egal wie die Sicherheitseinstellungen gesetzt sind. Naja, probieren kann man es ja mal.

Sicherheitseinstellungen verwenden
  • Alle Geräte verbleiben in der CN-Computer, keine OUs für die Computer
  • Gruppe erstellen "Notebooks" und entsprechend die Notebooks als Mitglieder hinzufügen
  • GPO-Ordnerumleitung an OU-Pfade der Benutzer hängen oder direkt an die Domäne
  • In den Sicherheitseinstellungen die Gruppe "Notebooks" hinzufügen UND den Zugriff verweigern
  • Ergebnis: GPO wird vom Benutzern auf diesem Gerät nicht angewendet

Warum auch immer gilt die Verweigerung auch für die Benutzer auf dem Gerät. Die Ordnerumleitung wird nicht angewendet.

Das dürfte dann wohl die einfachste und unkomplizierteste Lösung sein ... Login funktioniert zudem rattenschnell ­čśü

Die Lösung ist also eine leichte Abwandlung von @IT-Pro's Vorschlag ­čśÄ
Member: emeriks
emeriks Apr 07, 2021 updated at 09:11:22 (UTC)
Goto Top
Zitat von @anteNope:
Warum auch immer gilt die Verweigerung auch für die Benutzer auf dem Gerät.
Ich gehe davon aus, Du hast hier das Lese-Recht verweigert?
Warum das dann so funktioniert, hatte ich bereits geschrieben:
Da ein Computer die GPO's lesen können muss, (auch jene, welche nur für Benutzer gelten), um sie für die Benutzer anwenden zu können, können die Notebooks diese Ordnerumleitungs-GPO jetzt nicht mehr lesen und also auch nicht anwenden.
Member: anteNope
anteNope Apr 07, 2021 at 10:29:20 (UTC)
Goto Top
Genau =)