Gruppenrichtlinien auf Organisationseinheit filtern?

bieterdohlen
Goto Top
Hallo zusammen,

ich möchte Gruppenrichtlinien auf Organisationseinheiten beschränken, sprich sie filtern so das nur Nutzer auf Basis einer Organisationseinheit diese Gruppenrichtlinien auch bekommen bzw. sich diese ziehen. Über die Sicherheitsfilterung in der Gruppenrichtlinie kann man ja leider nur Objekte, Sicherheitsgruppen usw. filtern.

Meine erste Idee wären die WMI-Filter und ich bin auch auf einen Beitrag gestoßen. Der Versuch war leider erfolglos. Evaluating OU Membership Using WMI Filters

Ist meine Idee so überhaupt möglich? Wenn ja wie genau muss ich vorgehen? Vorschläge? Danke im Voraus!

Content-Key: 1696393028

Url: https://administrator.de/contentid/1696393028

Ausgedruckt am: 18.05.2022 um 18:05 Uhr

Mitglied: ukulele-7
ukulele-7 06.01.2022 um 17:14:34 Uhr
Goto Top
Verstehe ich nicht so recht. Du kannst/musst doch die Gruppenrichtlinie an eine OU binden, damit greift sie defakto nur für Objekte in dieser OU.
Mitglied: BieterDohlen
BieterDohlen 06.01.2022 um 17:24:59 Uhr
Goto Top
Ja das ist richtig, Hintergrund ist aber der ich möchte OU für OU die GPOs verteilen. Das Verknüpfen der GPOs an jeder einzelnen OU macht so also wenig Sinn da ich sie im Endeffekt mit einer hierarchisch höheren OU verknüpfen möchte. Sprich die GPOs sollen an eine einzelnen OU die über den anderen OUs steht.
Mitglied: manuel-r
manuel-r 06.01.2022 um 17:47:51 Uhr
Goto Top
Hallo

Sprich die GPOs sollen an eine einzelnen OU die über den anderen OUs steht.

Und wo siehst du das Problem dabei? Standardmäßig werden GPOs in der Hierarchie der OUs von oben nach unten vererbt. Nur wenn man das ausdrücklich an einer Stelle nicht will muss man dann dort die Vererbung explizit aufheben.

Manuel
Mitglied: BieterDohlen
BieterDohlen 06.01.2022 um 18:07:20 Uhr
Goto Top
Wenn ich die GPOs auf die oberste OU verknüpfe und dort keine Sicherheitsfilterung getroffen habe, werden die GPOs ja auf jeder OU unter der obersten OU angewendet da diese ja vererbt werden. Das möchte ich aber nicht, ich möchte speziell Filtern welche OU unter der obersten OU die GPOs bekommen und welche nicht.

Ich möchte die GPOs nicht mit jeder einzelnen OU verknüpfen, da ich die GPOs nur mit der obersten OU verknüpft haben möchte. Sprich die verknüpften GPOs an der obersten OU sollen für alle weiteren (unteren) OUs gelten.

Daher nochmal die Frage: Wie kann bestimmen/filtern welche OUs die GPOs bekommen und welche nicht.

Hoffe das ist so verständlich genug, wenn nicht einmal den Beitrag der oben steht anschauen!
Mitglied: manuel-r
manuel-r 06.01.2022 um 18:20:01 Uhr
Goto Top
auf jeder OU unter der obersten OU angewendet da diese ja vererbt werden. Das möchte ich aber nicht, ich möchte speziell Filtern welche OU unter der obersten OU die GPOs bekommen und welche nicht.

Geht nicht.

Sprich die verknüpften GPOs an der obersten OU sollen für alle weiteren (unteren) OUs gelten.

Das ist der Standard

Daher nochmal die Frage: Wie kann bestimmen/filtern welche OUs die GPOs bekommen und welche nicht.

Bestimmen kannst du so wie oben beschrieben. Filtern kannst du bspw. aus Clients oder Gruppen. Aber halt nicht auf OUs so wie du es dir vorstellst.

Nochmal:
Du hast nur zwei Möglichkeiten. Entweder verknüpfst du die Richtlinie auf diejenigen OUs die sie erhalten sollen. Oder du verknüpfst die Richtlinie auf der übergeordneten OU und hebst dort die Vererbung auf wo die OU nicht gelten soll.

Manuel
Mitglied: BieterDohlen
BieterDohlen 06.01.2022 um 18:25:00 Uhr
Goto Top
Also gibt es auch nicht die Möglichkeit mit den WMI-Filtern das auf OU Ebene zu filtern?
Mitglied: manuel-r
manuel-r 06.01.2022 um 19:01:10 Uhr
Goto Top
Einen direkten Weg kenne ich keinen.
Du kannst es aber über einen Umweg zweistufig umsetzen:

Die baust dir ein Skript das die OU des Clients ermittelt. Damit befüllst du eine Systemvariable. Das Skript verteilst du und lässt es mit einem geplanten Task regelmäßig ausführen damit geänderte OUs erkannt werden.

Jetzt kannst du mit einem Filter deine Richtlinie auf die Clients anwenden bei denen die Variable einem bestimmten Wert entspricht.

Manuel

PS: Das geht auf dem Weg natürlich auch mit Usern. Es müssen dann halt Benutzervariablen verwendet werden.
Mitglied: lcer00
lcer00 07.01.2022 um 10:56:57 Uhr
Goto Top
Hallo,

vielleicht nochmal ein anderer Annsatz: mit Set-GPLink kannst Du die GPO per Powershellskript mit einer OU verknüpfen. https://docs.microsoft.com/en-us/powershell/module/grouppolicy/set-gplin ...


Grüße

lcer
Mitglied: manuel-r
manuel-r 07.01.2022 aktualisiert um 11:10:25 Uhr
Goto Top
Zitat von @lcer00:
vielleicht nochmal ein anderer Annsatz: mit Set-GPLink kannst Du die GPO per Powershellskript mit einer OU verknüpfen. https://docs.microsoft.com/en-us/powershell/module/grouppolicy/set-gplin ...

Man lernt nie aus.
Weißt du zufällig, ab welchem OS und welcher PS-Version das unterstützt wird? Ich konnte dazu nichts auf der Seite finden.

Manuel

Edith:
Oder ist das vielleicht nur das Cmdlet mit dem man das selbe macht wie in der GUI? Also ein GPO mit einer OU verknüpfen?! Das wäre ja nicht das was der TO sucht.
Mitglied: lcer00
lcer00 07.01.2022 um 13:23:20 Uhr
Goto Top
Hallo,
Zitat von @manuel-r:

Zitat von @lcer00:
vielleicht nochmal ein anderer Annsatz: mit Set-GPLink kannst Du die GPO per Powershellskript mit einer OU verknüpfen. https://docs.microsoft.com/en-us/powershell/module/grouppolicy/set-gplin ...

Man lernt nie aus.
Weißt du zufällig, ab welchem OS und welcher PS-Version das unterstützt wird? Ich konnte dazu nichts auf der Seite finden.

Manuel

Edith:
Oder ist das vielleicht nur das Cmdlet mit dem man das selbe macht wie in der GUI? Also ein GPO mit einer OU verknüpfen?! Das wäre ja nicht das was der TO sucht.

Es verknüpft, wie in der GUI. Was der TO wirklich sucht, habe ich nicht verstanden. Für mich klingt es am ehesten danach, dass er viele GUIs hat und diese nicht händisch verknüpfen will. Das wäre dann eine klassische Aufgabe für Powershell. Ansonsten - einen GPU-Filter gibt es nicht, und eine WMI-Abfragen-Krücke halte ich für eine unnötige Bastellösung.

Grüße

lcer
Mitglied: manuel-r
manuel-r 07.01.2022 um 13:37:57 Uhr
Goto Top
Nein. Er hat scheinbar eine OU mit sehr vielen OUs darunter. Und von diesen vielen Unter-OUs soll nur eine Teilmenge die Richtlinie anwenden. Der Rest aber nicht. Er will aber nicht von Hand verknüpfen oder Vererbung aufheben sondern einfach auf die OUs filtern.

Manuel
Mitglied: lcer00
lcer00 07.01.2022 um 13:45:24 Uhr
Goto Top
Zitat von @manuel-r:

Nein. Er hat scheinbar eine OU mit sehr vielen OUs darunter. Und von diesen vielen Unter-OUs soll nur eine Teilmenge die Richtlinie anwenden. Der Rest aber nicht. Er will aber nicht von Hand verknüpfen oder Vererbung aufheben sondern einfach auf die OUs filtern.

Manuel
Genau so verstehe ich das. Nun - entweder er strukturiert das AD anders oder er nimmt Powershell, schreibt eine Schleife und verknüpft die gewünschten OUs.

Grüße

lcer
Mitglied: ukulele-7
ukulele-7 07.01.2022 um 15:27:54 Uhr
Goto Top
Ich plädiere dafür anders zu strukturieren, also entgegen dem eigentlichen Wunsch. Ganz einfach weil es für einen Fachkundigen dritten deutlich einfacher ist mit der üblichen Vorgehensweise zu arbeiten. Es ist auch schlicht einfacher und weniger anfällig für Fehler.