hamspirit
Goto Top

Gruppenrichtlinien mit Abhängigkeiten - Möglich?

Hallo zusammen,

in einem Netzwerk mit >700 Usern sollen alle Rechner mit einer Software (Teamviewer Host) per GPO ausgestattet werden.
Es gab hier im Netz bislang nur diese eine Variante, so dass die GPO einfach für alle Domain-Computer und Domain-User berechtigt wurde.
Nun soll auf bestimmten PCs die Vollversion installiert werden.

Wie gehe ich hier am besten vor?

Ich möchte, soweit möglich, zusätzlichen Aufwand vermeiden. Also wäre es mir am liebsten, wenn man eine Definition erstellen könnte, die "Alle Domain-Computer, außer die, die sich in Gruppe XYZ befinden." lautet. Vermeiden möchte ich, dass ich die 99% neuer Rechner, die die Host-Variante bekommen, zusätzlich manuell in eine Gruppe gesteckt werden müssen.
Heute ist es schon so, dass einige PCs manuell mit der Vollversion versorgt wurden und für diese PCs auch noch immer die GPO mit der Host-Installation vorhanden ist. Hier scheint die Software die Vollversion als Host zu erkennen und keine neue Installation vorzunehmen.
Die Frage ist, was passiert, wenn ich den Rechnern die Vollversion verpasse, während sie noch die Host-Variante installiert haben?

Hat von euch schon jemand Erfahrungen damit?

Kann man GPOs grundsätzlich in Abhängigkeiten setzen?

Danke vorab für alle Antworten.
Grüße
Hamspirit

Content-ID: 275312

Url: https://administrator.de/forum/gruppenrichtlinien-mit-abhaengigkeiten-moeglich-275312.html

Ausgedruckt am: 22.12.2024 um 16:12 Uhr

emeriks
Lösung emeriks 22.06.2015 aktualisiert um 14:29:52 Uhr
Goto Top
Hi,
das geht recht einfach.
Erstelle die beiden GPO, welche einmal die Host-Variante und einmal die Vollversion verteilen.

Variante A:
  • verteile die Computer-Objekte im AD in verschiedene OU und hänge an diese OU jeweils nur eine der beiden GPO. Also eine für Standard-Clients mit der Host-Variante und eine für die speziellen Clients mit der Vollversion

Variante B
  • erstelle eine Gruppe für die speziellen Computer und füge dieser die Computer hinzu.
  • mit dieser Gruppe filterst Du die GPO für die Vollversion ("autentifizierte Benutzer" ersetzen mit dieser Gruppe)
  • an der GPO für die Host-Version verweigerst Du für diese Gruppe das Recht "Gruppenrichtlinie übernehmen" ("autentifizierte Benutzer" drin lassen und über Reiter "Delegierung", Button "Erweitert" die Gruppe hinzufügen und verweigern)

E.
ukulele-7
ukulele-7 22.06.2015 um 11:17:28 Uhr
Goto Top
In der jeweiligen GPO kannst du unter Sicherheitsfilterung und WMI-Filter Einschränkungen treffen. Ich weiß nicht, ob sich die Gruppenmitgliedschaft z.B. negieren läßt.
hamspirit
hamspirit 22.06.2015 um 14:02:40 Uhr
Goto Top
@emeriks:

Variante B hört sich gut an.
Erinnere mich, dass es das gab. Habs nur die letzten 20 Jahre nicht einmal angewandt und so wieder völlig vergessen.
Danke sehr!