Gruppenrichtlinien für Benutzergruppen
Hallo zusammen.
Ich habe ein Verständnisproblem bei der Zuweisung von GPO auf Benutzergruppen bzw Sicherheitsgruppen. Wahrscheinlich wurde die Frage so oder anders schon 100 Mal gestellt aber ich konnte auch nach 2 Tagen Suchen keinen genau passenden Thread finden. Ich bitte schon im Vorraus um Verzeihung.
In einer Firma bin ich dabei das sehr, sehr umfangreiche, unsichere und fehlerhafte Loginscript sauber in GPOs umzuwandeln. Als Server dient ein Server 2012R2 und Clients sind Windows7 und Windows10, wobei die Windows 10 momentan schrittweise die Win7 ablösen. Schwierig ist es natürlich, weil das im laufenden Betrieb erfolgt. Problematisch ist die Tatsache, daß sich bisher viele User mit dem gleichen Login angemeldet hatten. Also Buchhaltung, Verkauf, Versand etc. Im Endeffekt gab es nur 10 Accounts. Das soll/muss natürlich geändert werden und jeder User bekommt dann auch seinen eigenen Account im neuen Exchange, sein eigenes Userlaufwerk und so weiter.
Alle GPO sind frisch, es war zuvor nichts drauf außer den beiden üblichen GPO. Mit den Computer-OU und den Computer GPO habe ich keinerlei Probleme. Also Proxy Zuweisung, Wsus Intergration und der übliche Kram. Es ist auch nirgends eine Loopback Regel aktiv. Dort wird ohne Terminalserver gearbeitet. Bislang wurde in keiner GPO das Targeting verwendet.
Alle User befinden sich unterhalb der OU "User" in der Domänenstruktur und unterhalb dieser habe ich für die verschiedenen Abteilungen weitere OUs angelegt. In diesen Unter-OU (Verkauf, Versand etc) liegen nun die verschiedenen Sicherheitsgruppen Gr_Verkauf, GR_Versand und die neuen Accounts wurden den verschiedenen Sicherheitsgruppen zugewiesen. Soweit alles normal würde ich vermuten. Wenn ich nun einen Testuser1 erstelle, den User selbst unter "User" platziere bekommt er alle Benutzer-GPO verpasst die auf die gesamte OU "User" angewendet werden. Also Laufwerkszuweisung, Drucker etc. Alles funktioniert prima.
Wenn ich aber eine GPO nur auf eine Unter-OU, also Beispiel "Verkauf" anwende, in der sich nur die Sicherheitsgruppe Gr_Verkauf befindet, wird die GPO nicht auf die Mitglieder der Sicherheitsgruppe Gr_Verkauf" angewendet.
Verschiebe ich nun den Testuser1, der Mitglied der Sicherheitsgruppe Gr_Verkauf ist, in die Unter-OU "Verkauf", so werden die dort liegenden GPO sauber angewendet.
Wo ist mein Denkfehler? Muss ich versuchen alle Benutzer mit Zielgruppenadressierung in der GPO zu bedienen? Oder geht das auch anders?
Vielen Dank,
MacLeod
Ich habe ein Verständnisproblem bei der Zuweisung von GPO auf Benutzergruppen bzw Sicherheitsgruppen. Wahrscheinlich wurde die Frage so oder anders schon 100 Mal gestellt aber ich konnte auch nach 2 Tagen Suchen keinen genau passenden Thread finden. Ich bitte schon im Vorraus um Verzeihung.
In einer Firma bin ich dabei das sehr, sehr umfangreiche, unsichere und fehlerhafte Loginscript sauber in GPOs umzuwandeln. Als Server dient ein Server 2012R2 und Clients sind Windows7 und Windows10, wobei die Windows 10 momentan schrittweise die Win7 ablösen. Schwierig ist es natürlich, weil das im laufenden Betrieb erfolgt. Problematisch ist die Tatsache, daß sich bisher viele User mit dem gleichen Login angemeldet hatten. Also Buchhaltung, Verkauf, Versand etc. Im Endeffekt gab es nur 10 Accounts. Das soll/muss natürlich geändert werden und jeder User bekommt dann auch seinen eigenen Account im neuen Exchange, sein eigenes Userlaufwerk und so weiter.
Alle GPO sind frisch, es war zuvor nichts drauf außer den beiden üblichen GPO. Mit den Computer-OU und den Computer GPO habe ich keinerlei Probleme. Also Proxy Zuweisung, Wsus Intergration und der übliche Kram. Es ist auch nirgends eine Loopback Regel aktiv. Dort wird ohne Terminalserver gearbeitet. Bislang wurde in keiner GPO das Targeting verwendet.
Alle User befinden sich unterhalb der OU "User" in der Domänenstruktur und unterhalb dieser habe ich für die verschiedenen Abteilungen weitere OUs angelegt. In diesen Unter-OU (Verkauf, Versand etc) liegen nun die verschiedenen Sicherheitsgruppen Gr_Verkauf, GR_Versand und die neuen Accounts wurden den verschiedenen Sicherheitsgruppen zugewiesen. Soweit alles normal würde ich vermuten. Wenn ich nun einen Testuser1 erstelle, den User selbst unter "User" platziere bekommt er alle Benutzer-GPO verpasst die auf die gesamte OU "User" angewendet werden. Also Laufwerkszuweisung, Drucker etc. Alles funktioniert prima.
Wenn ich aber eine GPO nur auf eine Unter-OU, also Beispiel "Verkauf" anwende, in der sich nur die Sicherheitsgruppe Gr_Verkauf befindet, wird die GPO nicht auf die Mitglieder der Sicherheitsgruppe Gr_Verkauf" angewendet.
Verschiebe ich nun den Testuser1, der Mitglied der Sicherheitsgruppe Gr_Verkauf ist, in die Unter-OU "Verkauf", so werden die dort liegenden GPO sauber angewendet.
Wo ist mein Denkfehler? Muss ich versuchen alle Benutzer mit Zielgruppenadressierung in der GPO zu bedienen? Oder geht das auch anders?
Vielen Dank,
MacLeod
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 567201
Url: https://administrator.de/contentid/567201
Ausgedruckt am: 21.11.2024 um 17:11 Uhr
4 Kommentare
Neuester Kommentar
Hi,
Das "Gruppen" in "Gruppenrichtlinie" hat nichts mit den AD-Gruppen zu tun.
Der Speicherort einer Gruppe (die OU) beeinflusst nicht die Wirksamkeit einer GPO (ob sie gefiltert wird oder nicht).
Wenn Du eine GPO nur für die Mitglieder einer bestimmten Gruppe wirken lassen willst, dann musst Du diese Gruppe in der Sicherheitsfilterung der GPO verwenden.
Zielgruppenadressierung filtert keine ganzen GPO sondern nur einzelne "Einstellungen" in den GPO's.
E.
Edit:
Schau doch http://gruppenrichtlinien.de. Dort wird das alles erklärt.
Wo ist mein Denkfehler?
Der übliche ... Das "Gruppen" in "Gruppenrichtlinie" hat nichts mit den AD-Gruppen zu tun.
Der Speicherort einer Gruppe (die OU) beeinflusst nicht die Wirksamkeit einer GPO (ob sie gefiltert wird oder nicht).
Wenn Du eine GPO nur für die Mitglieder einer bestimmten Gruppe wirken lassen willst, dann musst Du diese Gruppe in der Sicherheitsfilterung der GPO verwenden.
Zielgruppenadressierung filtert keine ganzen GPO sondern nur einzelne "Einstellungen" in den GPO's.
E.
Edit:
Schau doch http://gruppenrichtlinien.de. Dort wird das alles erklärt.
Wenn Du weißt was Du tust geht das so wie Du es haben möchtest. Also wenn ich es richtig verstanden habe?
Du möchtest eine Gruppe haben, in der Konten (Benutzer oder Computer) drin sind und und nur auf diese soll eine Anwendung stattfinden?
Gruppen erstellen.
Im Gruppenrichtlinien-Editor rufst Du Deine Policy auf und rechts unten gibt es die Sicherheitsfilterung.
"Die Einstellungen dieses Gruppenrichtlinienobjektes gelten nur für die folgenden Gruppen, Benutzer und Computer."
Dort haust Du den Standardeintrag "Authentifizierte Benutzer" hingegen jeder Warnung raus und trägst Deine Gruppe ein.
Voraussetzung jedoch - aber das sollte klar sein - alle Elemente der Gruppe sind in der OU oder irgendeiner weiteren Child-OU existent.
Aber so geht es.
Du möchtest eine Gruppe haben, in der Konten (Benutzer oder Computer) drin sind und und nur auf diese soll eine Anwendung stattfinden?
Gruppen erstellen.
Im Gruppenrichtlinien-Editor rufst Du Deine Policy auf und rechts unten gibt es die Sicherheitsfilterung.
"Die Einstellungen dieses Gruppenrichtlinienobjektes gelten nur für die folgenden Gruppen, Benutzer und Computer."
Dort haust Du den Standardeintrag "Authentifizierte Benutzer" hingegen jeder Warnung raus und trägst Deine Gruppe ein.
Voraussetzung jedoch - aber das sollte klar sein - alle Elemente der Gruppe sind in der OU oder irgendeiner weiteren Child-OU existent.
Aber so geht es.