13
Gruppenrichtlinien auf Gruppen wirken lassen
komische Sache
Hallo alle zusammen, ich absolviere zur Zeit mein Praktikum in einem Krankenhaus. (Vorgeschichte).
Wir nutzen Windows XP/2000/Vista und Windows Server 2003/2000
Wir in unserer Krankenhaus IT haben eine strukturierte ADS nach zum Beispiel Fachdisziplinien, Patientenverwaltung, etc.
Nun ist es so, dass wir Laufwerke per GPO zuweisen wollen. Durch die Gruppenrichtlinienerweiterung und Vista ist dies ja nun kein Problem mehr.
Das Problem besteht nun darin:
Wir wollen Netzlaufwerke nur dort zuweisen wo eine bestimmte Software auch installiert ist. Leider brauchen aber Nutzer bzw. Computer aus verschiedenen OUs gleiche Netzlaufwerke.
Und wir wollen eben vermeiden, das zuviele Netzlaufwerke auf den Workstations sich ansammeln, z.b. da wo eine Software nicht installiert ist.
Das Problem besteht nun darin, dass ja bekanntermaßen ein Objekt nur Mitglied einer OU sein kann aber dafür in mehreren Gruppen. Und genau da scheitert unser Versuch.
Wir wollen eben verschiedene Gruppen für verschiedene Laufwerke anlegen und darin die entsprechenden Computer Mitglied werden lassen.
Jetzt besteht die Frage darin, wie ich eine GPO nur auf eine Gruppe wirken lasse.
Gruppenrichtlinien rechte auf Gruppen verteilen
Die Lösung dieses Beitrages trägt leider nicht zur Lösung bei.
benötige dringend Hilfe
Wir nutzen Windows XP/2000/Vista und Windows Server 2003/2000
Wir in unserer Krankenhaus IT haben eine strukturierte ADS nach zum Beispiel Fachdisziplinien, Patientenverwaltung, etc.
Nun ist es so, dass wir Laufwerke per GPO zuweisen wollen. Durch die Gruppenrichtlinienerweiterung und Vista ist dies ja nun kein Problem mehr.
Das Problem besteht nun darin:
Wir wollen Netzlaufwerke nur dort zuweisen wo eine bestimmte Software auch installiert ist. Leider brauchen aber Nutzer bzw. Computer aus verschiedenen OUs gleiche Netzlaufwerke.
Und wir wollen eben vermeiden, das zuviele Netzlaufwerke auf den Workstations sich ansammeln, z.b. da wo eine Software nicht installiert ist.
Das Problem besteht nun darin, dass ja bekanntermaßen ein Objekt nur Mitglied einer OU sein kann aber dafür in mehreren Gruppen. Und genau da scheitert unser Versuch.
Wir wollen eben verschiedene Gruppen für verschiedene Laufwerke anlegen und darin die entsprechenden Computer Mitglied werden lassen.
Jetzt besteht die Frage darin, wie ich eine GPO nur auf eine Gruppe wirken lasse.
Gruppenrichtlinien rechte auf Gruppen verteilen
Die Lösung dieses Beitrages trägt leider nicht zur Lösung bei.
benötige dringend Hilfe
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 106222
Url: https://administrator.de/contentid/106222
Printed on: April 23, 2024 at 17:04 o'clock
13 Comments
Latest comment
Früher oder später kommst du damit in Teufels Küche.
Der richtigere Ansatz wäre die Fileservices umzustellen. Mit Server 2003 werden dir dazu alles Tools gegeben. Schau dir mal DFS an. Damit kann man Shares in einen Namespace einbinden, z.B. \\firmenname.com\Personal, \\firmenname.com\Einkauf usw. damit kannst du dir die meisten Laufwerksbuchstaben sparen.
Falls du dir wirklich wie geplant ein Loch ins Knie bohren willst, schau dir mal KixTart an. Damit kannst du jede Sauerei beim starten machen...
Der richtigere Ansatz wäre die Fileservices umzustellen. Mit Server 2003 werden dir dazu alles Tools gegeben. Schau dir mal DFS an. Damit kann man Shares in einen Namespace einbinden, z.B. \\firmenname.com\Personal, \\firmenname.com\Einkauf usw. damit kannst du dir die meisten Laufwerksbuchstaben sparen.
Falls du dir wirklich wie geplant ein Loch ins Knie bohren willst, schau dir mal KixTart an. Damit kannst du jede Sauerei beim starten machen...
danke für die schnelle antwort,
dfs benutzen wir
wir möchten die dfs-paths als netzlaufwerke einbinden,
bisher machen wir das per anmeldeskript
vereinfacht:
if computername=blabla net use O: \\domäne\domäne-DFS\Ambulanz\
das anmeldeskript soll also in dieser hinsicht vereinfach werden, durch zuweisungen...verstehe nicht ganz ...
dfs benutzen wir
wir möchten die dfs-paths als netzlaufwerke einbinden,
bisher machen wir das per anmeldeskript
vereinfacht:
if computername=blabla net use O: \\domäne\domäne-DFS\Ambulanz\
das anmeldeskript soll also in dieser hinsicht vereinfach werden, durch zuweisungen...verstehe nicht ganz ...
Mit Kixtart kannst du auf jeden Fall abfragen, ob der User oder der Computer in einer Gruppe ist.
Moin Moin
Diese Anleitung solte Dir weiterhelfen:
http://www.gruppenrichtlinien.de/index.html?/HowTo/Richtlinien_pro_Benu ...
Gruß L.
Diese Anleitung solte Dir weiterhelfen:
http://www.gruppenrichtlinien.de/index.html?/HowTo/Richtlinien_pro_Benu ...
Gruß L.
Zitat von @Logan000:
Moin Moin
Diese Anleitung solte Dir weiterhelfen:
http://www.gruppenrichtlinien.de/index.html?/HowTo/Richtlinien_pro_Benu ...
Gruß L.
Moin Moin
Diese Anleitung solte Dir weiterhelfen:
http://www.gruppenrichtlinien.de/index.html?/HowTo/Richtlinien_pro_Benu ...
Gruß L.
danke für den link, wenn ich das richtig sehe, ist das nix anderes als der oben von mir verlinkte beitrag, außer dass es sich auf user und nicht auf computer bezieht
ich habe es trotzdem noch einmal so durchdacht, und es klappt trotdem nicht
Moin
Überprüf mal die Richtlinienabarbeitung mittels gpresult (auf dem Cilent) oder mit der GPMC.
Gruß L.
danke für den link, wenn ich das richtig sehe, ist das nix anderes als der oben von mir verlinkte beitrag,
Jo, allerdings etwas genauer beschrieben.und es klappt trotdem nicht
Was klappt nicht?Überprüf mal die Richtlinienabarbeitung mittels gpresult (auf dem Cilent) oder mit der GPMC.
Gruß L.
Du beschreibst nicht, was wie scheitert. Gruppenbasiertes Filtern von GPOs ist doch kinderleicht - in den Eigenschaften der Richtlinie ist ein Reiter Sicherheit. Dort die Gruppe "authentifizierte Benutzer" raus und die passenden Gruppen rein und das Recht zum Lesen und Übernehmen vergeben - fertig
Du sprichst von Vista und der "Gruppenrichtlinienerweiterung" - ich schätze, Du meinst die Group policy Preferences Client side extension, oder? Die kannst Du auf Vista,2008,2003 und xp installieren, nicht auf 2000, somit müsstest Du für 2000 eine Extralösung stricken, was unschön ist.
Mit Den GPP kannst Du eine Zuweisung von Netzlaufwerken nach bestimmten Kriterien (u.a. Vorhandensein von Software oder Gruppenmitgliedschaft) kinderleicht zusammenklicken, es bietet vorgefertigte WMI-Filter an, nennt sich in der englischen Version "item level targeting". Empfehlenswert.
Du sprichst von Vista und der "Gruppenrichtlinienerweiterung" - ich schätze, Du meinst die Group policy Preferences Client side extension, oder? Die kannst Du auf Vista,2008,2003 und xp installieren, nicht auf 2000, somit müsstest Du für 2000 eine Extralösung stricken, was unschön ist.
Mit Den GPP kannst Du eine Zuweisung von Netzlaufwerken nach bestimmten Kriterien (u.a. Vorhandensein von Software oder Gruppenmitgliedschaft) kinderleicht zusammenklicken, es bietet vorgefertigte WMI-Filter an, nennt sich in der englischen Version "item level targeting". Empfehlenswert.
die gruppenrichtlinien greifen nicht auf die einzeln delegierten gruppen,
vllt. hängt es daran, dass die gruppe in einer komplett anderen ou als die computer hängt, d.h. sich nichts vererbt,
beide ou hängen direkt unter der domäne
vllt. hängt es daran, dass die gruppe in einer komplett anderen ou als die computer hängt, d.h. sich nichts vererbt,
beide ou hängen direkt unter der domäne
Viel zu wenig, viel zu ungenau.
Was passiert genau? Weih uns ein, was konfiguriert ist, was Du zur Diagnose nutzt und was in welcher Weise scheitert. Diese Aufgabe ist Standard, es besteht wahrscheinlich ein einfacher Fehler.
Was passiert genau? Weih uns ein, was konfiguriert ist, was Du zur Diagnose nutzt und was in welcher Weise scheitert. Diese Aufgabe ist Standard, es besteht wahrscheinlich ein einfacher Fehler.
Moin Moin
Wo die Gruppen liegen ist egal. Wichtig ist das die entsprechenden Computer und Benutzer sich "unterhalb" der OU befinden mit der die GPO verknüpftt ist.
Vererbung könnte deaktiviert sein. Überprüf das mal.
Wie sieht das mit den Ergebnissen von gpresult bzw. GPMC aus?
Gruß L.
Wo die Gruppen liegen ist egal. Wichtig ist das die entsprechenden Computer und Benutzer sich "unterhalb" der OU befinden mit der die GPO verknüpftt ist.
Vererbung könnte deaktiviert sein. Überprüf das mal.
Wie sieht das mit den Ergebnissen von gpresult bzw. GPMC aus?
Gruß L.
Zitat von @Logan000:
Moin Moin
Wo die Gruppen liegen ist egal. Wichtig ist das die bntsprechenden
Computer und Benutzer sich "unterhalb" der OU befinden mit
der die GPO verknüpftt ist.
Vererbung könnte deaktiviert sein. Überprüf das mal.
Wie sieht das mit den Ergebnissen von gpresult bzw. GPMC aus?
Gruß L.
Moin Moin
Wo die Gruppen liegen ist egal. Wichtig ist das die bntsprechenden
Computer und Benutzer sich "unterhalb" der OU befinden mit
der die GPO verknüpftt ist.
Vererbung könnte deaktiviert sein. Überprüf das mal.
Wie sieht das mit den Ergebnissen von gpresult bzw. GPMC aus?
Gruß L.
die computer befinden sich in einer anderen ou (nicht vererbt)
ich werde die gpo auf domänenebene hängen, (als oberste "ou") dann müsste es ja dann funktionieren
so...also logan hat mir die lösung geliefert, bzw. meine idee bestätigt
thx
thx
So neuer Lösungsansatz,
man kann dieses Problem anhand der Zielgruppenadressierung unter Vista/ WServer 2008 lösen.
man kann dieses Problem anhand der Zielgruppenadressierung unter Vista/ WServer 2008 lösen.
