13
Gruppenrichtlinien auf Organisationseinheit filtern?
Hallo zusammen,
ich möchte Gruppenrichtlinien auf Organisationseinheiten beschränken, sprich sie filtern so das nur Nutzer auf Basis einer Organisationseinheit diese Gruppenrichtlinien auch bekommen bzw. sich diese ziehen. Über die Sicherheitsfilterung in der Gruppenrichtlinie kann man ja leider nur Objekte, Sicherheitsgruppen usw. filtern.
Meine erste Idee wären die WMI-Filter und ich bin auch auf einen Beitrag gestoßen. Der Versuch war leider erfolglos. Evaluating OU Membership Using WMI Filters
Ist meine Idee so überhaupt möglich? Wenn ja wie genau muss ich vorgehen? Vorschläge? Danke im Voraus!
ich möchte Gruppenrichtlinien auf Organisationseinheiten beschränken, sprich sie filtern so das nur Nutzer auf Basis einer Organisationseinheit diese Gruppenrichtlinien auch bekommen bzw. sich diese ziehen. Über die Sicherheitsfilterung in der Gruppenrichtlinie kann man ja leider nur Objekte, Sicherheitsgruppen usw. filtern.
Meine erste Idee wären die WMI-Filter und ich bin auch auf einen Beitrag gestoßen. Der Versuch war leider erfolglos. Evaluating OU Membership Using WMI Filters
Ist meine Idee so überhaupt möglich? Wenn ja wie genau muss ich vorgehen? Vorschläge? Danke im Voraus!
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1696393028
Url: https://administrator.de/forum/gruppenrichtlinien-auf-organisationseinheit-filtern-1696393028.html
Ausgedruckt am: 22.04.2025 um 11:04 Uhr
13 Kommentare
Neuester Kommentar
Verstehe ich nicht so recht. Du kannst/musst doch die Gruppenrichtlinie an eine OU binden, damit greift sie defakto nur für Objekte in dieser OU.
Ja das ist richtig, Hintergrund ist aber der ich möchte OU für OU die GPOs verteilen. Das Verknüpfen der GPOs an jeder einzelnen OU macht so also wenig Sinn da ich sie im Endeffekt mit einer hierarchisch höheren OU verknüpfen möchte. Sprich die GPOs sollen an eine einzelnen OU die über den anderen OUs steht.
Hallo
Und wo siehst du das Problem dabei? Standardmäßig werden GPOs in der Hierarchie der OUs von oben nach unten vererbt. Nur wenn man das ausdrücklich an einer Stelle nicht will muss man dann dort die Vererbung explizit aufheben.
Manuel
Sprich die GPOs sollen an eine einzelnen OU die über den anderen OUs steht.
Und wo siehst du das Problem dabei? Standardmäßig werden GPOs in der Hierarchie der OUs von oben nach unten vererbt. Nur wenn man das ausdrücklich an einer Stelle nicht will muss man dann dort die Vererbung explizit aufheben.
Manuel
Wenn ich die GPOs auf die oberste OU verknüpfe und dort keine Sicherheitsfilterung getroffen habe, werden die GPOs ja auf jeder OU unter der obersten OU angewendet da diese ja vererbt werden. Das möchte ich aber nicht, ich möchte speziell Filtern welche OU unter der obersten OU die GPOs bekommen und welche nicht.
Ich möchte die GPOs nicht mit jeder einzelnen OU verknüpfen, da ich die GPOs nur mit der obersten OU verknüpft haben möchte. Sprich die verknüpften GPOs an der obersten OU sollen für alle weiteren (unteren) OUs gelten.
Daher nochmal die Frage: Wie kann bestimmen/filtern welche OUs die GPOs bekommen und welche nicht.
Hoffe das ist so verständlich genug, wenn nicht einmal den Beitrag der oben steht anschauen!
Ich möchte die GPOs nicht mit jeder einzelnen OU verknüpfen, da ich die GPOs nur mit der obersten OU verknüpft haben möchte. Sprich die verknüpften GPOs an der obersten OU sollen für alle weiteren (unteren) OUs gelten.
Daher nochmal die Frage: Wie kann bestimmen/filtern welche OUs die GPOs bekommen und welche nicht.
Hoffe das ist so verständlich genug, wenn nicht einmal den Beitrag der oben steht anschauen!
auf jeder OU unter der obersten OU angewendet da diese ja vererbt werden. Das möchte ich aber nicht, ich möchte speziell Filtern welche OU unter der obersten OU die GPOs bekommen und welche nicht.
Geht nicht.
Sprich die verknüpften GPOs an der obersten OU sollen für alle weiteren (unteren) OUs gelten.
Das ist der Standard
Daher nochmal die Frage: Wie kann bestimmen/filtern welche OUs die GPOs bekommen und welche nicht.
Bestimmen kannst du so wie oben beschrieben. Filtern kannst du bspw. aus Clients oder Gruppen. Aber halt nicht auf OUs so wie du es dir vorstellst.
Nochmal:
Du hast nur zwei Möglichkeiten. Entweder verknüpfst du die Richtlinie auf diejenigen OUs die sie erhalten sollen. Oder du verknüpfst die Richtlinie auf der übergeordneten OU und hebst dort die Vererbung auf wo die OU nicht gelten soll.
Manuel
1
Also gibt es auch nicht die Möglichkeit mit den WMI-Filtern das auf OU Ebene zu filtern?
Einen direkten Weg kenne ich keinen.
Du kannst es aber über einen Umweg zweistufig umsetzen:
Die baust dir ein Skript das die OU des Clients ermittelt. Damit befüllst du eine Systemvariable. Das Skript verteilst du und lässt es mit einem geplanten Task regelmäßig ausführen damit geänderte OUs erkannt werden.
Jetzt kannst du mit einem Filter deine Richtlinie auf die Clients anwenden bei denen die Variable einem bestimmten Wert entspricht.
Manuel
PS: Das geht auf dem Weg natürlich auch mit Usern. Es müssen dann halt Benutzervariablen verwendet werden.
Du kannst es aber über einen Umweg zweistufig umsetzen:
Die baust dir ein Skript das die OU des Clients ermittelt. Damit befüllst du eine Systemvariable. Das Skript verteilst du und lässt es mit einem geplanten Task regelmäßig ausführen damit geänderte OUs erkannt werden.
Jetzt kannst du mit einem Filter deine Richtlinie auf die Clients anwenden bei denen die Variable einem bestimmten Wert entspricht.
Manuel
PS: Das geht auf dem Weg natürlich auch mit Usern. Es müssen dann halt Benutzervariablen verwendet werden.
Hallo,
vielleicht nochmal ein anderer Annsatz: mit Set-GPLink kannst Du die GPO per Powershellskript mit einer OU verknüpfen. https://docs.microsoft.com/en-us/powershell/module/grouppolicy/set-gplin ...
Grüße
lcer
vielleicht nochmal ein anderer Annsatz: mit Set-GPLink kannst Du die GPO per Powershellskript mit einer OU verknüpfen. https://docs.microsoft.com/en-us/powershell/module/grouppolicy/set-gplin ...
Grüße
lcer
2Zitat von @lcer00:
vielleicht nochmal ein anderer Annsatz: mit Set-GPLink kannst Du die GPO per Powershellskript mit einer OU verknüpfen. https://docs.microsoft.com/en-us/powershell/module/grouppolicy/set-gplin ...
vielleicht nochmal ein anderer Annsatz: mit Set-GPLink kannst Du die GPO per Powershellskript mit einer OU verknüpfen. https://docs.microsoft.com/en-us/powershell/module/grouppolicy/set-gplin ...
Man lernt nie aus.
Weißt du zufällig, ab welchem OS und welcher PS-Version das unterstützt wird? Ich konnte dazu nichts auf der Seite finden.
Manuel
Edith:
Oder ist das vielleicht nur das Cmdlet mit dem man das selbe macht wie in der GUI? Also ein GPO mit einer OU verknüpfen?! Das wäre ja nicht das was der TO sucht.
Hallo,
Es verknüpft, wie in der GUI. Was der TO wirklich sucht, habe ich nicht verstanden. Für mich klingt es am ehesten danach, dass er viele GUIs hat und diese nicht händisch verknüpfen will. Das wäre dann eine klassische Aufgabe für Powershell. Ansonsten - einen GPU-Filter gibt es nicht, und eine WMI-Abfragen-Krücke halte ich für eine unnötige Bastellösung.
Grüße
lcer
Zitat von @manuel-r:
Man lernt nie aus.
Weißt du zufällig, ab welchem OS und welcher PS-Version das unterstützt wird? Ich konnte dazu nichts auf der Seite finden.
Manuel
Edith:
Oder ist das vielleicht nur das Cmdlet mit dem man das selbe macht wie in der GUI? Also ein GPO mit einer OU verknüpfen?! Das wäre ja nicht das was der TO sucht.
Zitat von @lcer00:
vielleicht nochmal ein anderer Annsatz: mit Set-GPLink kannst Du die GPO per Powershellskript mit einer OU verknüpfen. https://docs.microsoft.com/en-us/powershell/module/grouppolicy/set-gplin ...
vielleicht nochmal ein anderer Annsatz: mit Set-GPLink kannst Du die GPO per Powershellskript mit einer OU verknüpfen. https://docs.microsoft.com/en-us/powershell/module/grouppolicy/set-gplin ...
Man lernt nie aus.
Weißt du zufällig, ab welchem OS und welcher PS-Version das unterstützt wird? Ich konnte dazu nichts auf der Seite finden.
Manuel
Edith:
Oder ist das vielleicht nur das Cmdlet mit dem man das selbe macht wie in der GUI? Also ein GPO mit einer OU verknüpfen?! Das wäre ja nicht das was der TO sucht.
Es verknüpft, wie in der GUI. Was der TO wirklich sucht, habe ich nicht verstanden. Für mich klingt es am ehesten danach, dass er viele GUIs hat und diese nicht händisch verknüpfen will. Das wäre dann eine klassische Aufgabe für Powershell. Ansonsten - einen GPU-Filter gibt es nicht, und eine WMI-Abfragen-Krücke halte ich für eine unnötige Bastellösung.
Grüße
lcer
Nein. Er hat scheinbar eine OU mit sehr vielen OUs darunter. Und von diesen vielen Unter-OUs soll nur eine Teilmenge die Richtlinie anwenden. Der Rest aber nicht. Er will aber nicht von Hand verknüpfen oder Vererbung aufheben sondern einfach auf die OUs filtern.
Manuel
Manuel
1Zitat von @manuel-r:
Nein. Er hat scheinbar eine OU mit sehr vielen OUs darunter. Und von diesen vielen Unter-OUs soll nur eine Teilmenge die Richtlinie anwenden. Der Rest aber nicht. Er will aber nicht von Hand verknüpfen oder Vererbung aufheben sondern einfach auf die OUs filtern.
Manuel
Genau so verstehe ich das. Nun - entweder er strukturiert das AD anders oder er nimmt Powershell, schreibt eine Schleife und verknüpft die gewünschten OUs.Nein. Er hat scheinbar eine OU mit sehr vielen OUs darunter. Und von diesen vielen Unter-OUs soll nur eine Teilmenge die Richtlinie anwenden. Der Rest aber nicht. Er will aber nicht von Hand verknüpfen oder Vererbung aufheben sondern einfach auf die OUs filtern.
Manuel
Grüße
lcer
Ich plädiere dafür anders zu strukturieren, also entgegen dem eigentlichen Wunsch. Ganz einfach weil es für einen Fachkundigen dritten deutlich einfacher ist mit der üblichen Vorgehensweise zu arbeiten. Es ist auch schlicht einfacher und weniger anfällig für Fehler.
