rene12345
Goto Top

Gruppenrichtlinie (GPO) nur auf Standort

Hallo Leute!

In unserem Unternehmen möchten wir zukünftig Heimarbeitsplätze einrichten. Die Beschäftigten bekommen ein Notebook gestellt, welches sie dann Zuhause und im Büro nutzen sollen. Gewünscht ist, dass die Gruppenrichtlinien dann jeweils anhand der IP-Adresse gesetzt werden.

Die Anbindung der Geräte läuft über ein Sophos RED VPN. Die Notebooks bekommen Zuhause eine ganz andere IP-Adresse als im Büro.

Nun habe ich gelesen, dass ich dieses über Site-Richtlinien steuern könnte, leider wirken diese zur Zeit nicht, weswegen ich eure Hilfe anfordern möchte.

Folgendes habe ich eingerichtet:

Unter Active Directory-Standort und -Dienste habe ich den Standort angelegt. Zusätzlich dort ein Subnetz mit dem entsprechendem IP-Adressbereich. Im Unterpunkt Inter-site Transports -> IP habe ich zusätzlich eine Standortverknüpfung mit unserem Büro eingerichtet.

Dann habe ich in der Gruppenrichtlinienverwaltung die entsprechende Benutzerrichtlinie angelegt und unter Standort - Telearbeit verknüpft. Generell sind eigentlich alle unsere Gruppenrichtlinien nur unter der Domäne zu finden.

Der Client im entsprechenden IP-Adressbereich nutzt diese nicht.

In gpresult unter "Angewendete Gruppenrichtlinienobjekte" befindet sich jedoch die entsprechende Richtlinie.

Kann es ggf. sein, dass die Richtlinie (setzen der IE 10 Proxy Ausnahmen) nicht überschrieben wird? Ich hatte diesbezüglich eigentlich gelesen, dass Standortrichtlinien höherwertiger sind, als die "normalen".

Vielen Dank für eure kommende Hilfe und Grüße.
René

Content-ID: 368556

Url: https://administrator.de/forum/gruppenrichtlinie-gpo-nur-auf-standort-368556.html

Ausgedruckt am: 23.12.2024 um 11:12 Uhr

sabines
sabines 19.03.2018 um 12:19:27 Uhr
Goto Top
Moin,

passt das für Dich:
GPO nur auf Standort anwenden

Gruss
Rene12345
Rene12345 19.03.2018 um 12:29:44 Uhr
Goto Top
Das hatte ich mir schon komplett durchgelesen, leider ist es dort eher ein hin&her bashing zwischen zwei Parteien und einem Fragesteller, der irgendwie ein "Workaround" genutzt hat.
emeriks
Lösung emeriks 19.03.2018 aktualisiert um 13:45:46 Uhr
Goto Top
Hi,
Richtlinien an Domäne und OU sind denen am Standort vorrangig.
Wenn Du willst, dass die GPO am Standort die Einstellungen von GPO an Domäne oder OU übersteuern, dann musst Du die GPO am Standort "erzwingen". Das setzt aber voraus, dass die zu übersteuernden GPO an Domäne oder OU nicht erzwungen werden.

Ansonsten bliebe noch die Zielgruppenadressierung über die IP-Adresse, aber diese gibt es nur für die GPP's.
Oder Startup/Loginscripte, welche das Netzwerk abfragen. Alledings müssten hier die Scripte entweder lokal auf dem Client liegen oder in einer Freigabe, welche offline am Client verfügbar ist.
Dritte Möglichkeit wäre noch eine geplante Aufgabe, welche entweder nur bei Verbindung mit einem bestimmten Netz gestartet wird oder welche ein Script wie s.o. startet.

E.
erikro
erikro 19.03.2018 um 17:29:33 Uhr
Goto Top
Ich würde das Problem mit einem WMI-Filter lösen.
http://woshub.com/using-wmi-filter-to-apply-group-policy-to-ip-subnets/
emeriks
emeriks 19.03.2018 um 18:00:52 Uhr
Goto Top
Ich würde das Problem mit einem WMI-Filter lösen.
Das würde aber auch wieder die ganze GPO filtern und dann muss man wieder aufpassen, dass die Vererbungsrangfolge stimmt. Hier hätte man also nichts gewonnen.
Davon abgesehen halte ich einen WMI-Filter zur Netzwerkunterscheidung nur innerhalb eines Standorts für sinnvoll. Wenn man also mehrere Subnetze an einem phys. Standort hat und man für diese keine eigenen AD-Standorte anlegen will, weil man die damit verbunden (gewollten) Effekte nicht haben will, dann könnte man das mit WMI-Filter erledigen. Aber wenn es denn tatsächlich andere phys. Standorte sind, welche i.A. über WAN angebunden sind, dann sind die AD-Standorte die viel bessere Wahl!
erikro
erikro 20.03.2018 um 08:05:38 Uhr
Goto Top
Naja, wenn ich das richtig verstanden habe, dann wechseln die Notebooks doch den Standort (Firma, Home-Office) regelmäßig, so dass man sie nicht einem zuordnen kann. Ansonsten gebe ich Dir recht.
emeriks
emeriks 20.03.2018 um 08:21:08 Uhr
Goto Top
Naja, wenn ich das richtig verstanden habe, dann wechseln die Notebooks doch den Standort (Firma, Home-Office) regelmäßig, so dass man sie nicht einem zuordnen kann. Ansonsten gebe ich Dir recht.
Man muss sie überhaupt nicht zuordnen. Das tun sie von allein. Müssen sie sogar.
Rene12345
Rene12345 21.03.2018 um 12:24:46 Uhr
Goto Top
Danke für eure Hilfe! face-smile
Dachte die Reihenfolge währe anders, aber mit dem erzwingen der Richtlinie passt es nun.

Grüße