8
Gruppenrichtlinie (GPO) nur auf Standort
Hallo Leute!
In unserem Unternehmen möchten wir zukünftig Heimarbeitsplätze einrichten. Die Beschäftigten bekommen ein Notebook gestellt, welches sie dann Zuhause und im Büro nutzen sollen. Gewünscht ist, dass die Gruppenrichtlinien dann jeweils anhand der IP-Adresse gesetzt werden.
Die Anbindung der Geräte läuft über ein Sophos RED VPN. Die Notebooks bekommen Zuhause eine ganz andere IP-Adresse als im Büro.
Nun habe ich gelesen, dass ich dieses über Site-Richtlinien steuern könnte, leider wirken diese zur Zeit nicht, weswegen ich eure Hilfe anfordern möchte.
Folgendes habe ich eingerichtet:
Unter Active Directory-Standort und -Dienste habe ich den Standort angelegt. Zusätzlich dort ein Subnetz mit dem entsprechendem IP-Adressbereich. Im Unterpunkt Inter-site Transports -> IP habe ich zusätzlich eine Standortverknüpfung mit unserem Büro eingerichtet.
Dann habe ich in der Gruppenrichtlinienverwaltung die entsprechende Benutzerrichtlinie angelegt und unter Standort - Telearbeit verknüpft. Generell sind eigentlich alle unsere Gruppenrichtlinien nur unter der Domäne zu finden.
Der Client im entsprechenden IP-Adressbereich nutzt diese nicht.
In gpresult unter "Angewendete Gruppenrichtlinienobjekte" befindet sich jedoch die entsprechende Richtlinie.
Kann es ggf. sein, dass die Richtlinie (setzen der IE 10 Proxy Ausnahmen) nicht überschrieben wird? Ich hatte diesbezüglich eigentlich gelesen, dass Standortrichtlinien höherwertiger sind, als die "normalen".
Vielen Dank für eure kommende Hilfe und Grüße.
René
In unserem Unternehmen möchten wir zukünftig Heimarbeitsplätze einrichten. Die Beschäftigten bekommen ein Notebook gestellt, welches sie dann Zuhause und im Büro nutzen sollen. Gewünscht ist, dass die Gruppenrichtlinien dann jeweils anhand der IP-Adresse gesetzt werden.
Die Anbindung der Geräte läuft über ein Sophos RED VPN. Die Notebooks bekommen Zuhause eine ganz andere IP-Adresse als im Büro.
Nun habe ich gelesen, dass ich dieses über Site-Richtlinien steuern könnte, leider wirken diese zur Zeit nicht, weswegen ich eure Hilfe anfordern möchte.
Folgendes habe ich eingerichtet:
Unter Active Directory-Standort und -Dienste habe ich den Standort angelegt. Zusätzlich dort ein Subnetz mit dem entsprechendem IP-Adressbereich. Im Unterpunkt Inter-site Transports -> IP habe ich zusätzlich eine Standortverknüpfung mit unserem Büro eingerichtet.
Dann habe ich in der Gruppenrichtlinienverwaltung die entsprechende Benutzerrichtlinie angelegt und unter Standort - Telearbeit verknüpft. Generell sind eigentlich alle unsere Gruppenrichtlinien nur unter der Domäne zu finden.
Der Client im entsprechenden IP-Adressbereich nutzt diese nicht.
In gpresult unter "Angewendete Gruppenrichtlinienobjekte" befindet sich jedoch die entsprechende Richtlinie.
Kann es ggf. sein, dass die Richtlinie (setzen der IE 10 Proxy Ausnahmen) nicht überschrieben wird? Ich hatte diesbezüglich eigentlich gelesen, dass Standortrichtlinien höherwertiger sind, als die "normalen".
Vielen Dank für eure kommende Hilfe und Grüße.
René
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 368556
Url: https://administrator.de/contentid/368556
Ausgedruckt am: 22.11.2024 um 22:11 Uhr
8 Kommentare
Neuester Kommentar
Das hatte ich mir schon komplett durchgelesen, leider ist es dort eher ein hin&her bashing zwischen zwei Parteien und einem Fragesteller, der irgendwie ein "Workaround" genutzt hat.
Hi,
Richtlinien an Domäne und OU sind denen am Standort vorrangig.
Wenn Du willst, dass die GPO am Standort die Einstellungen von GPO an Domäne oder OU übersteuern, dann musst Du die GPO am Standort "erzwingen". Das setzt aber voraus, dass die zu übersteuernden GPO an Domäne oder OU nicht erzwungen werden.
Ansonsten bliebe noch die Zielgruppenadressierung über die IP-Adresse, aber diese gibt es nur für die GPP's.
Oder Startup/Loginscripte, welche das Netzwerk abfragen. Alledings müssten hier die Scripte entweder lokal auf dem Client liegen oder in einer Freigabe, welche offline am Client verfügbar ist.
Dritte Möglichkeit wäre noch eine geplante Aufgabe, welche entweder nur bei Verbindung mit einem bestimmten Netz gestartet wird oder welche ein Script wie s.o. startet.
E.
Richtlinien an Domäne und OU sind denen am Standort vorrangig.
Wenn Du willst, dass die GPO am Standort die Einstellungen von GPO an Domäne oder OU übersteuern, dann musst Du die GPO am Standort "erzwingen". Das setzt aber voraus, dass die zu übersteuernden GPO an Domäne oder OU nicht erzwungen werden.
Ansonsten bliebe noch die Zielgruppenadressierung über die IP-Adresse, aber diese gibt es nur für die GPP's.
Oder Startup/Loginscripte, welche das Netzwerk abfragen. Alledings müssten hier die Scripte entweder lokal auf dem Client liegen oder in einer Freigabe, welche offline am Client verfügbar ist.
Dritte Möglichkeit wäre noch eine geplante Aufgabe, welche entweder nur bei Verbindung mit einem bestimmten Netz gestartet wird oder welche ein Script wie s.o. startet.
E.
Ich würde das Problem mit einem WMI-Filter lösen.
http://woshub.com/using-wmi-filter-to-apply-group-policy-to-ip-subnets/
http://woshub.com/using-wmi-filter-to-apply-group-policy-to-ip-subnets/
Ich würde das Problem mit einem WMI-Filter lösen.
Das würde aber auch wieder die ganze GPO filtern und dann muss man wieder aufpassen, dass die Vererbungsrangfolge stimmt. Hier hätte man also nichts gewonnen.Davon abgesehen halte ich einen WMI-Filter zur Netzwerkunterscheidung nur innerhalb eines Standorts für sinnvoll. Wenn man also mehrere Subnetze an einem phys. Standort hat und man für diese keine eigenen AD-Standorte anlegen will, weil man die damit verbunden (gewollten) Effekte nicht haben will, dann könnte man das mit WMI-Filter erledigen. Aber wenn es denn tatsächlich andere phys. Standorte sind, welche i.A. über WAN angebunden sind, dann sind die AD-Standorte die viel bessere Wahl!
Naja, wenn ich das richtig verstanden habe, dann wechseln die Notebooks doch den Standort (Firma, Home-Office) regelmäßig, so dass man sie nicht einem zuordnen kann. Ansonsten gebe ich Dir recht.
Naja, wenn ich das richtig verstanden habe, dann wechseln die Notebooks doch den Standort (Firma, Home-Office) regelmäßig, so dass man sie nicht einem zuordnen kann. Ansonsten gebe ich Dir recht.
Man muss sie überhaupt nicht zuordnen. Das tun sie von allein. Müssen sie sogar.
Danke für eure Hilfe! 
Dachte die Reihenfolge währe anders, aber mit dem erzwingen der Richtlinie passt es nun.
Grüße
Dachte die Reihenfolge währe anders, aber mit dem erzwingen der Richtlinie passt es nun.
Grüße
