Gruppenrichtlinie (GPO) nur auf Standort
Hallo Leute!
In unserem Unternehmen möchten wir zukünftig Heimarbeitsplätze einrichten. Die Beschäftigten bekommen ein Notebook gestellt, welches sie dann Zuhause und im Büro nutzen sollen. Gewünscht ist, dass die Gruppenrichtlinien dann jeweils anhand der IP-Adresse gesetzt werden.
Die Anbindung der Geräte läuft über ein Sophos RED VPN. Die Notebooks bekommen Zuhause eine ganz andere IP-Adresse als im Büro.
Nun habe ich gelesen, dass ich dieses über Site-Richtlinien steuern könnte, leider wirken diese zur Zeit nicht, weswegen ich eure Hilfe anfordern möchte.
Folgendes habe ich eingerichtet:
Unter Active Directory-Standort und -Dienste habe ich den Standort angelegt. Zusätzlich dort ein Subnetz mit dem entsprechendem IP-Adressbereich. Im Unterpunkt Inter-site Transports -> IP habe ich zusätzlich eine Standortverknüpfung mit unserem Büro eingerichtet.
Dann habe ich in der Gruppenrichtlinienverwaltung die entsprechende Benutzerrichtlinie angelegt und unter Standort - Telearbeit verknüpft. Generell sind eigentlich alle unsere Gruppenrichtlinien nur unter der Domäne zu finden.
Der Client im entsprechenden IP-Adressbereich nutzt diese nicht.
In gpresult unter "Angewendete Gruppenrichtlinienobjekte" befindet sich jedoch die entsprechende Richtlinie.
Kann es ggf. sein, dass die Richtlinie (setzen der IE 10 Proxy Ausnahmen) nicht überschrieben wird? Ich hatte diesbezüglich eigentlich gelesen, dass Standortrichtlinien höherwertiger sind, als die "normalen".
Vielen Dank für eure kommende Hilfe und Grüße.
René
In unserem Unternehmen möchten wir zukünftig Heimarbeitsplätze einrichten. Die Beschäftigten bekommen ein Notebook gestellt, welches sie dann Zuhause und im Büro nutzen sollen. Gewünscht ist, dass die Gruppenrichtlinien dann jeweils anhand der IP-Adresse gesetzt werden.
Die Anbindung der Geräte läuft über ein Sophos RED VPN. Die Notebooks bekommen Zuhause eine ganz andere IP-Adresse als im Büro.
Nun habe ich gelesen, dass ich dieses über Site-Richtlinien steuern könnte, leider wirken diese zur Zeit nicht, weswegen ich eure Hilfe anfordern möchte.
Folgendes habe ich eingerichtet:
Unter Active Directory-Standort und -Dienste habe ich den Standort angelegt. Zusätzlich dort ein Subnetz mit dem entsprechendem IP-Adressbereich. Im Unterpunkt Inter-site Transports -> IP habe ich zusätzlich eine Standortverknüpfung mit unserem Büro eingerichtet.
Dann habe ich in der Gruppenrichtlinienverwaltung die entsprechende Benutzerrichtlinie angelegt und unter Standort - Telearbeit verknüpft. Generell sind eigentlich alle unsere Gruppenrichtlinien nur unter der Domäne zu finden.
Der Client im entsprechenden IP-Adressbereich nutzt diese nicht.
In gpresult unter "Angewendete Gruppenrichtlinienobjekte" befindet sich jedoch die entsprechende Richtlinie.
Kann es ggf. sein, dass die Richtlinie (setzen der IE 10 Proxy Ausnahmen) nicht überschrieben wird? Ich hatte diesbezüglich eigentlich gelesen, dass Standortrichtlinien höherwertiger sind, als die "normalen".
Vielen Dank für eure kommende Hilfe und Grüße.
René
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 368556
Url: https://administrator.de/forum/gruppenrichtlinie-gpo-nur-auf-standort-368556.html
Ausgedruckt am: 23.12.2024 um 11:12 Uhr
8 Kommentare
Neuester Kommentar
Hi,
Richtlinien an Domäne und OU sind denen am Standort vorrangig.
Wenn Du willst, dass die GPO am Standort die Einstellungen von GPO an Domäne oder OU übersteuern, dann musst Du die GPO am Standort "erzwingen". Das setzt aber voraus, dass die zu übersteuernden GPO an Domäne oder OU nicht erzwungen werden.
Ansonsten bliebe noch die Zielgruppenadressierung über die IP-Adresse, aber diese gibt es nur für die GPP's.
Oder Startup/Loginscripte, welche das Netzwerk abfragen. Alledings müssten hier die Scripte entweder lokal auf dem Client liegen oder in einer Freigabe, welche offline am Client verfügbar ist.
Dritte Möglichkeit wäre noch eine geplante Aufgabe, welche entweder nur bei Verbindung mit einem bestimmten Netz gestartet wird oder welche ein Script wie s.o. startet.
E.
Richtlinien an Domäne und OU sind denen am Standort vorrangig.
Wenn Du willst, dass die GPO am Standort die Einstellungen von GPO an Domäne oder OU übersteuern, dann musst Du die GPO am Standort "erzwingen". Das setzt aber voraus, dass die zu übersteuernden GPO an Domäne oder OU nicht erzwungen werden.
Ansonsten bliebe noch die Zielgruppenadressierung über die IP-Adresse, aber diese gibt es nur für die GPP's.
Oder Startup/Loginscripte, welche das Netzwerk abfragen. Alledings müssten hier die Scripte entweder lokal auf dem Client liegen oder in einer Freigabe, welche offline am Client verfügbar ist.
Dritte Möglichkeit wäre noch eine geplante Aufgabe, welche entweder nur bei Verbindung mit einem bestimmten Netz gestartet wird oder welche ein Script wie s.o. startet.
E.
Ich würde das Problem mit einem WMI-Filter lösen.
http://woshub.com/using-wmi-filter-to-apply-group-policy-to-ip-subnets/
http://woshub.com/using-wmi-filter-to-apply-group-policy-to-ip-subnets/
Ich würde das Problem mit einem WMI-Filter lösen.
Das würde aber auch wieder die ganze GPO filtern und dann muss man wieder aufpassen, dass die Vererbungsrangfolge stimmt. Hier hätte man also nichts gewonnen.Davon abgesehen halte ich einen WMI-Filter zur Netzwerkunterscheidung nur innerhalb eines Standorts für sinnvoll. Wenn man also mehrere Subnetze an einem phys. Standort hat und man für diese keine eigenen AD-Standorte anlegen will, weil man die damit verbunden (gewollten) Effekte nicht haben will, dann könnte man das mit WMI-Filter erledigen. Aber wenn es denn tatsächlich andere phys. Standorte sind, welche i.A. über WAN angebunden sind, dann sind die AD-Standorte die viel bessere Wahl!