113726
Goto Top

Software per GPO Verteilen - Gruppen

Hallo,

ich arbeite mich gerade in das Thema Softwareverteilung über GPO ein.

Ich versuche es gerade mit dem Adobe Reader.
Dazu wurde von mir in der Gruppenrichtlinienverwaltung eine neue OU angelegt (Softwareinstallation).
In dieser OU kommen dann die GPOs rein (am besten für jede Software eine oder kann man die zusammen packen?)

Im AD gibt es eine Sicherheitsgruppe, die alle Clientrechner beinhaltet (testweise erstmal nur meinen).

Diese Sicherheitsgruppe nehme ich dann in der Sicherheitsfilterung der Adobe Reader GPO hinein.

Problem ist nur, das mein Client darauf nicht anspringt.
Erst wenn ich die GPO auch direkt unter der Domäne ablege, erkennt mein Client die GPO. Ist diese nur in der OU (wie ich es der Ordnung halber möchte), erkennt mein Client die GPO nicht.

Ist das ein bekanntes Problem, bin ich die Sache falsch angegangen oder denke ich falsch?

Danke im Voraus.

LG Manuel

Content-ID: 226832

Url: https://administrator.de/forum/software-per-gpo-verteilen-gruppen-226832.html

Ausgedruckt am: 22.12.2024 um 08:12 Uhr

MartinBinder
MartinBinder 16.01.2014 um 09:59:17 Uhr
Goto Top
Du mußt die GPO mit einer OU verknüpfen, in der sich der Client befindet... GPOs wirken nur auf Benutzer und Computer, NICHT auf Sicherheitsgruppen. Die sind nur ein zusätzliches Werkzeug, um den Geltungsbereich nachträglich wieder einzuschränken.
113726
113726 16.01.2014 aktualisiert um 10:21:00 Uhr
Goto Top
Vielen Dank, also brauche ich keine Gruppe anlegen?

Die GPO ist bereits mit der OU verknüpft (liegt unter der OU) aber wie füge ich den Client der OU zu?
Unter "verknüpfte Gruppenrichtlinenobjekte" ist die Adobe GPO drinnen, unter vererbungen stehen auch einige drinnen.
Muss ich die Clients (PCs) unter Delegierung einfügen?

Also ist es dann so:

OU Softwareinstallation
unter Deligierung die Clients mit ausgewählt (was schon vorher drinnen war gelassen)

Unter der OU eine neue GPO Verknüpfung anlegen zu Adobe GPO
Diese natürlich Erzwingen und unter Sicherheitsfilter nichts eintragen!?

Edit: Sehe gerade, dass Delegierung falsch ist. Doch wo verknüpfe ich da eine OU mit einem PC?
Sheogorath
Sheogorath 16.01.2014 um 10:53:55 Uhr
Goto Top
Moin,

Du legst die OU an, in der die Rechner liegen, verknüpfst darauf die Software GPO und legst als Gültige Gruppen eben nur deine Sicherheitsgruppe rein.

Nun fügst du deinen Rechner der Sicherheitsgruppe hinzu, fertig.

Gruß
Chris
MartinBinder
MartinBinder 16.01.2014 um 10:56:07 Uhr
Goto Top
Die GPO ist bereits mit der OU verknüpft (liegt unter der OU) aber wie füge ich den Client der OU zu?

dsa.msc, reinschieben? Oder Commandline, "dsmove".
113726
113726 16.01.2014 um 10:59:40 Uhr
Goto Top
Danke,

ich verstehe aber noch nicht "Du legst die OU an, in der die Rechner liegen"

OU ist angelegt, aber wie lege ich Rechner hinein?

Verknüpfen ist auch kein Problem. Dann lege ich im AD eine neue Sicherheitsgruppe an (egal wohin?) , die die Rechner enthält.

Und die Sicherheitsgruppe kommt dann in der Software GPO unter die Sicherheitsfilterung.
113726
113726 16.01.2014 um 11:02:27 Uhr
Goto Top
Zitat von @MartinBinder:

> Die GPO ist bereits mit der OU verknüpft (liegt unter der OU) aber wie füge ich den Client der OU zu?

dsa.msc, reinschieben? Oder Commandline, "dsmove".

Ja OK im AD, da habe ich meine OU drinnen. Nun will ich z.b. einen Computer da rein machen (oder eben eine Gruppe).
Beim Computer mekert er, dass mein PC schon in einer anderen OU steht nämlich unter MyBusiness->Computer->SBSComputers
MartinBinder
MartinBinder 16.01.2014 um 11:02:47 Uhr
Goto Top
OU ist angelegt, aber wie lege ich Rechner hinein?

Drag und Drop. Oder Kontextmenü, "verschieben". Ist doch nicht schwer face-smile
113726
113726 16.01.2014 um 11:06:14 Uhr
Goto Top
Ja aber ich will sie ja nicht verschieben, die Rechner sollen standardmäßig doch unter SBSComputers bleiben, da will ich nichts verändern face-sad
Sheogorath
Sheogorath 16.01.2014 aktualisiert um 11:10:12 Uhr
Goto Top
Moin,

ich empfehle dir dringend Folgendes mal zu lesen:
http://openbook.galileocomputing.de/windows_server_2008/windows_server_ ...

mir kommt es so vor, als hättest du noch nie mit AD gearbeitet.

Martin hat es auch meiner sicher sehr gut erklärt, wie du den Rechner verschiebst. Bevor du Software per GPO verteilst, solltest du AD Grundlagen beherrschen.

Nochmal:
Du legst eine OU an, suchst deinen Rechner im AD, verschiebst ihn in die OU. Nun legst du deine GPO drauf und fügst ihn in die (wie du erkannt hast, egal wo, solange im AD Baum) erstellte sicherheitsgruppe hinzu, legst die Voraussetzung in die GPO und fertig.

Edit: Willst du sie in SBSComputers lassen, muss du die GPO auf die nächst höhere OU legen, im Zweifel Root, was man allerdings nicht tun sollte, weil das unangenehme Nebeneffekte haben kann, wenn ein Fehler unterläuft..

Gruß
Chris
113726
113726 16.01.2014 aktualisiert um 11:15:29 Uhr
Goto Top
Moin Chris, nunja natürlich bin ich kein Profi im AD.

Soweit ist ja alles klar nur kann ich die Rechner nicht in die OU verschieben. Derzeit sind meine SBS Clients in der oben genannten Gruppe. In der sollen sie ja auch bleiben für andere Zwecke.
Den gleichen Rechner noch mal in einer anderen OU zu haben ist im AD nicht möglich.
Also habe ich ja überhaupt keine Möglichkeit, in der OU die Rechner zu bekommen.
Mir bleibt ja nur eine Sicherheitsgruppe in der OU anzulegen.

Klar kann ich also meinen Client in die OU verschieben, dann fehlt er mir aber in der OU SBSComputers.

//Edit: Die nächst höhere über SBSCOmputers ist "Computers" und da ist auch der Server mit inbegriffen.
Ich verstehe nur nicht, warum ich dann eine OU angelegt habe, wenn da keine Rechner rein kommen. Ordnung kann man in der Gruppenrichtlinienverwaltung da ja auch nicht halten.
MartinBinder
MartinBinder 16.01.2014 um 11:15:22 Uhr
Goto Top
Dann musst Du die GPO mit SBSComputers verknüpfen. So einfach ist das... Alles eine Frage des SOM (Scope of Management, Verwaltungsbereich).
113726
113726 16.01.2014 um 11:20:39 Uhr
Goto Top
Ah Ok jetzt geht es.

Habe die GPO mit SBSComputers verknüpft und unter Sicherheitsfilterung "Authentifizierter Benutzer" gelassen.
So scheint es wirklich zu funktionieren.

Dann brauch ich aber keine Sicherheitsgruppe oder? Es wird jetzt auf alle SBSComputers (Rechner) angewendet. Nur wenn ich jetzt die GPO nur auf einigen Rechnern haben möchte, muss ich eine Gruppe erstellen oder?
Sheogorath
Sheogorath 16.01.2014 um 11:51:08 Uhr
Goto Top
Moin,

nein, du brauchst keine Sicherheitsgruppe, aber du wirst ein Problem bekommen, so werden bei allen Rechner in SBSComputers die Software abbekommen, deshalb löst man sowas mit filtern. Alternativ kannst du auch einen WMI Filter nutzen, aber ich halte das hier nicht für sinnvoll.

Gruß
Chris
113726
113726 16.01.2014 aktualisiert um 11:57:57 Uhr
Goto Top
Alles klar vielen Dank, also wenn die Software auf allen Rechnern installiert werden soll brauche ich keine Filter, ansonsten einfach bei dem GPO einen Filter rein und fertig.

Vielen Dank.

Eine allerletzte Frage.
In der OU SBSComputers ist auch die diskstation mit drinnen.
Wenn ich bei der GPO den Filter raus lasse, wird die GPO ja auch auf die diskstation angewandt, das dürfte aber kein Problem sein oder?

Gruß
Manuel
MartinBinder
MartinBinder 16.01.2014 um 11:59:18 Uhr
Goto Top
Auch wenn ich mich jetzt als ahnungslos oute: Was ist die Diskstation?
Sheogorath
Sheogorath 16.01.2014 um 12:15:10 Uhr
Goto Top
Moin,

sie wird auch angewendet, ist ein Windows Betriebssystem drauf, gilt es natürlich auch für die Diskstation. Du könntest aber die Diskstation über eine Sicherheitsgruppe o.Ä. ausfiltern.

Gruß
Chris
113726
113726 16.01.2014 aktualisiert um 12:45:26 Uhr
Goto Top
Die diskstation ist ein NAS von Synlogy mit einem Linux OS.
Also herausfiltern mit Sicherheitsgruppe oder nicht?

Es macht vermutlich Sinn, noch eine Sicherheitsgruppe zu erstellen. Wenn wirklich mal andere Betriebessysteme dazu kommen (derzeit nur Windows 7) dann kann man so auch optimal eingrenzen, denn nicht jede Software funktioniert auf jedem OS..

//Edit: So jetzt ist es aber so.

Ich habe testweise eine Sicherheitsgruppe erstellt. In der Sicherheitsgruppe habe ich meinen Client rein genommen.
Dann füge ich in der GPO bei Sicherheitsfilterung die Sicherheitsgruppe hinzu.
Und es geht NICHT.
Was mache ich falsch, eigentlich müsste meine Vorgehensweise doch funktionieren, wenn ich eine Sicherheitsgruppe erstelle.
MartinBinder
MartinBinder 16.01.2014 um 13:25:31 Uhr
Goto Top
Die diskstation ist ein NAS von Synlogy mit einem Linux OS.

Das wendet keine GPOs an, ist also egal.

//Edit: So jetzt ist es aber so.

Wie ist es? Wo ist die GPO verlinkt - an SBSComputers? Was sagt - am CLIENT - ein gpresult zu abgelehnten GPOs?
113726
113726 16.01.2014 um 13:38:18 Uhr
Goto Top
OK Danke.

Wie muss ich das genau mit grpesult bewerkstellen im CMD? welchen Befehl genau?

Ich habe jetzt die GPO mit der Sicherheitsgruppe (in der mein Client ist), Authentifizierter Benutzer habe ich raus gelöscht.
Die OU ist SBSCOmputers, wo alle Clients drinnen sind.

Was mache ich nur falsch face-sad
Sheogorath
Sheogorath 16.01.2014 um 16:31:50 Uhr
Goto Top
Moin,

ich kann es dir im Moment nicht sagen, wo dein großer Fehler liegt, aber hier ist eine schritt für schritt Anleitung, wie du die Software richtig einbindest:

http://www.gruppenrichtlinien.de/artikel/softwarezuweisung-software-im- ...

Probiere es mal so, wenn das nicht klappt, sollten wir nochmal schauen

Gruß
Chris
113726
113726 17.01.2014 aktualisiert um 07:26:32 Uhr
Goto Top
Zitat von @Sheogorath:

Moin,

ich kann es dir im Moment nicht sagen, wo dein großer Fehler liegt, aber hier ist eine schritt für schritt Anleitung,
wie du die Software richtig einbindest:

http://www.gruppenrichtlinien.de/artikel/softwarezuweisung-software-im- ...

Probiere es mal so, wenn das nicht klappt, sollten wir nochmal schauen

Gruß
Chris

Vielen Dank Chris,

also ich bin noch mal Schritt für Schritt alles durchgegangen und es geht nicht.

GPO liegt in der OU mit allen Clients. Jetzt will ich aber testweise nur meinen Client testen.
Wenn ich bei der Sicherheitsfilterung der GPO direkt meinen PC eintrage, dann klappt es.
Ich möchte aber jetzt gerne mit einer Sicherheitsgruppe arbeiten. Also lege ich im AD eine Sicherheitsgruppe an (global/universal) und trage meinen Rechner rein.

Und die GPO bekommt dann unter Sicherheitsfilterung diese Gruppe.
Meinen einzelnen Rechner nehme ich dann von der GPO wieder weg, immerhin habe ich ja die Gruppe.

Allerdings funktioniert das dann nicht mehr mit der Gruppe.
Was mache ich falsch?

In der Konsole bekomme ich:
Adobe Reader
Filterung: Verweigert (Sicherheit)

Gruß
Manuel

//Edit: Es ist wie verhext.
Nach einem Neustart geht es.
Ich habe die GPO jetzt unter SBSComputers abgelegt.
Kann ich unter SBSComputers eine weitere OU anlegen, um die Softwareinstallationen bisschen zu sortieren? Oder liegen die GPOs dort dann außerhalb des Verwaltungsbereiches der Clients?
Sheogorath
Sheogorath 17.01.2014 um 08:15:33 Uhr
Goto Top
Moin,

also: Meine Idee warum es nicht geklappt hat: Das Computerkonto muss erstmerken, dass es nun in dieser Gruppe ist, wie bei User und Fileberechtigungen. Immerhin schick, dass es geklappt hat face-smile

Das mit der OU ist eben so eine Sache, GPOs werden nur angezogen, wenn die Clients unterhalb in der Vererbung stehen, wenn ich das richtig sehe, willst du die Computer in SBSComputers belassen und darunter oder daneben eine OU erstellen, in der Nur die GPOs liegen, das würde leider nicht funktionieren.

Ich weiß, dass Softwareverteilung über GPO immer so eine Sache ist, Bei über 100 Softwareprodukten in je einer GPO kann man schnell den Überblick verlieren zumal man Teilweise sogar auf die Reihenfolge achten muss. Du solltest nun dieses Funktionierende Schema fortsetzen, denn, ja, es gibt durcheinander mit den GPOs, aber du wirst ja hoffentlich nicht dauernd in den GPOs rumwühlen also hält sich das Problem doch in Grenzen.

Gruß
Chris
MartinBinder
MartinBinder 17.01.2014 um 11:39:20 Uhr
Goto Top
Ich möchte aber jetzt gerne mit einer Sicherheitsgruppe arbeiten. Also lege ich im AD eine Sicherheitsgruppe an
(global/universal) und trage meinen Rechner rein.

...und dann musst Du neu booten, damit der Rechner das auch weiß! Der holt sich beim Start eine Liste seiner Gruppenmitgliedschaften (Kerberos Ticket Granting Ticket), und das wird im laufenden Betrieb nie aktualisiert (gut, über klist purge ginge es, aber das führt hier zu weit).

Nach einem Neustart geht es.

Siehe oben face-smile

Kann ich unter SBSComputers eine weitere OU anlegen, um die Softwareinstallationen bisschen zu sortieren? Oder liegen die GPOs
dort dann außerhalb des Verwaltungsbereiches der Clients?

Wenn Du die Computer dann in diese OU verschiebst - ja. Ich würde es allerdings beim SBS nur mit Sicherheitsgruppen machen und keine Builtin Logik anfassen.
MartinBinder
MartinBinder 17.01.2014 um 11:40:48 Uhr
Goto Top
Ich weiß, dass Softwareverteilung über GPO immer so eine Sache ist, Bei über 100 Softwareprodukten in je einer GPO
kann man schnell den Überblick verlieren zumal man Teilweise sogar auf die Reihenfolge achten muss. Du solltest nun dieses

Dringender Tip!!! Für JEDES MSI-Paket eine eigene GPO machen - immer und auf jeden Fall! Auch für jedes Update eines vorhandenen Pakets eine eigene GPO machen. Das einzige, was in die gleiche GPO reindarf, sind Patches oder Transforms.

Warum? Erfahrung...
Sheogorath
Sheogorath 17.01.2014 aktualisiert um 16:54:38 Uhr
Goto Top
Moin,

Habe mich glaube ich undeutlich ausgedrückt, natürlich für jede Software eine eigene GPO. War etwas "durch-die-Beine-von-hinten-durchs-Auge"-formuliert. wobei ich schon Software gesehen habe, die wirklich 40 und mehr teil .msi-Pakete enthalten hat, die man dann eben in einer GPO zusammenfasst. Aber das ist wieder ein anderes Thema.

Ist schon richtig, 1 Software = 1 GPO = 1 Sicherheitsgruppe.

Edit: @ @113726 Wenn bei dir nun alles läuft, bitte noch als gelöst markieren ;)

Gruß
Chris
113726
113726 18.01.2014 aktualisiert um 08:47:09 Uhr
Goto Top
Guten Morgen face-smile

Also das Problem ist gelöst, es klappt nun alles.

Ich habe für die Softwareverteilung jetzt die NETLOGON Freigabe genutzt, das kann ich doch ohne Probleme oder? Immerhin ist da auch ein Script für die User drinnen und es ist ein DFS-Stamm.

Mir bleiben aber noch ein paar Fragen und erbitte euren Rat bzw. Infoamtion.

1) Hab ich das so richtig verstanden: Wenn ich eine GPO in der OU "SBSComputers" erstelle, in der natürlich alle Clients sind und in der Sicherheitsfilterung steht "Authentifizierter Benutzer", dann nimmt er alle User/Gruppen/Computer, die in der OU sind --> ? Stimmt das so weit?

2) OUs , Unter OUs usw übernehmen also nicht die User/Computer? Also muss der jeweilige User/Computer immer exakt in der OU sein?

3) Ich habe jetzt den Adobe Reader verteilt. Klappt alles super. Wenn jetzt mal ein Update kommt, wo es keine msi gibt (Sicherheitsupdate), wie gehe ich dann vor?
Pflege ich da das Sicherheitsupdate in die msi ein, schiebe es auf den Netzwerkpfad und wähle in der GPO einfach "Anwendung erneut bereitstellen" ?
Wenn ja, wofür ist dann aber der Tab "Aktualisierungen" direkt im Softwarefenster der GPO?
Oder erstelle ich mit einem Update eine neue GPO und deaktiviere dann die alte (Einfach erzwungen heraus nehmen oder?) ? Könnte die alte GPO dann gelöscht werden? Oder nur die Verknüpfung?

4) Es wird dem User ja immer nur "Bitte warten" angezeigt. Ich weiß, dass man die Äußerst detailierten Benachrichtigigungen aktivieren kann, was aber für dem User wieder zu viel ist.
Gibt es eine Möglichkeit, lediglich eine Meldung zu bekommen wenn was installiert wird? Oder geht nur alles oder nichts?

Ein paar Fragen aber ich hoffe, ihr könnt mich noch mal unterstützen face-wink

Gruß
Manuel
Sheogorath
Sheogorath 18.01.2014 um 13:18:04 Uhr
Goto Top
Moin,

also:
1. Ja, stimmt so. Alles was in und unter Der OU liegt, auf die die GPO verteilt ist.

2. Nein, sie übernehmen die Computer nicht, aber die Rechner darunter liegenden OUs übernehmen Settings der GPOs die darüber liegen

3. (Muss ich genau nachschauen, liefere ich nach)

4. Kann man per GPO einstellen, das Details angezeigt werden, allerdings sieht die Useranmeldubg vom Text her ebenso aus wie am Server. Heißt es steht dann auch da, dass der "Benutzerprofildienst geladen wird" o.Ä.


den Rest liefere nach, sollte erstmal helfen ;)

Gruß
Chris
Sheogorath
Sheogorath 18.01.2014, aktualisiert am 20.01.2014 um 05:10:55 Uhr
Goto Top
Moin,

nun nochmal zu 3. am besten liest du einfach hier:
http://support.microsoft.com/kb/816102/de

oder spezieller auf deine Frage:
http://pits-online.info/2013/07/02/software-per-gpo-verteilen-msi-msp-u ...

Kurz zusammengefasst, unter Aktualisierungen kannst du nur Abhängigkeiten definieren.

Meine Persönliche Empfehlung: Neue GPO, neue Gruppe, aus der alten raus, in die neue Rein und zur Not noch eine Abhängigkeit, dass das alte Paket erst deinstalliert sein muss.

Gruß
Chris
113726
113726 20.01.2014 um 07:21:36 Uhr
Goto Top
Moin,

zu 1) Wie meinst du das, In und Unter der OU?
Also in der OU ist klar aber unter? Also nimmt Authentifizierter Benutzer auch die Elemente (Gruppen/Benutzer/Rechner) der Unter-OUs mit auf?

zu 2) Könntest du mir da nochmal ein Idiotensicheres Beispiel nennen ? face-smile
Damit ich auch sicher bin, es verstanden zu haben. Zu 1) auch.


zu 3) Vielen Dank, hilft mir sehr weiter.
Also werde ich dann neue GPO machen und fertig. Die alte kann ich dann eigentlich löschen oder? Ich kann ja als Abhängigkeit die alte GPO angeben, dass diese erst deinstalliert sein muss. Aber dann müsste ich die alte doch löschen können oder?

zu 4) Alles klar das hatte ich schon gefunden, aber das sind zu viel Informationen für den User.
Dann lasse ich das einfach erst mal so.

Vielen Dank Chris schonmal für deine Hilfe.
MartinBinder
MartinBinder 20.01.2014 um 08:26:06 Uhr
Goto Top
Wenn ja, wofür ist dann aber der Tab "Aktualisierungen" direkt im Softwarefenster der GPO?

Damit kannst Du Abhängigkeiten von MSI-Paketen innerhalb einer oder in verschiedenen GPOs definieren - GPOs selbst wissen davon nämlich nichts. Beispiel:
Adobe Reader 10 per GPO verteilt. Jetzt kommt Reader 11 in einer neuen GPO. In dieser neuen GPO definierst Du dann, dass diese neue GPO für Reader 11 eine Aktualisierung für das "alte" Reader 10 Paket ist. Damit wird nur noch 11 installiert und nicht mehr 10.

Lies doch mal ein Buch drüber face-smile Amazon "Gruppenrichtlinien Server 2012" zum Beispiel...
Sheogorath
Lösung Sheogorath 21.01.2014, aktualisiert am 22.01.2014 um 08:41:02 Uhr
Goto Top
Moin,

Zitat von @113726:
zu 1) Wie meinst du das, In und Unter der OU?
Also in der OU ist klar aber unter? Also nimmt Authentifizierter Benutzer auch die Elemente (Gruppen/Benutzer/Rechner) der
Unter-OUs mit auf?

Gruppenrichtlinien Vererbung ist das Stichwort. Google wird helfen. Kurz: Settings werden vererbt und falls nicht anders konfiguriert auf alle unter der GPO liegenden Objekte angewendet. Wie bei Ordnern und Rechtevererbung. Heißt: eine GPO die in SBSComputers verlinkt ist, gilt auch für SBSComputer\Untergruppe.

zu 2) Könntest du mir da nochmal ein Idiotensicheres Beispiel nennen ? face-smile
Damit ich auch sicher bin, es verstanden zu haben. Zu 1) auch.

Hier gilt auch die Vererbungsregel. Heißt: Je höher in der Hierarchie sich ein objekt befindet, desto weniger GPO gelten für es. Jeder schritt nach unten kann eine neue GPO bedeuten also mehr Regeln.

zu 3) Vielen Dank, hilft mir sehr weiter.
Also werde ich dann neue GPO machen und fertig. Die alte kann ich dann eigentlich löschen oder? Ich kann ja als
Abhängigkeit die alte GPO angeben, dass diese erst deinstalliert sein muss. Aber dann müsste ich die alte doch
löschen können oder?

Ich würde sie erstmal nicht löschen, aber das ist deine Sache, man kann es machen, muss man aber nicht.

zu 4) Alles klar das hatte ich schon gefunden, aber das sind zu viel Informationen für den User.
Dann lasse ich das einfach erst mal so.

Am einfachsten wenn du etwas allgemein ausrollst: Vorher Mail verschicken und von den Abteilungsleitern kommunizieren lassen. Wir haben es bei uns so gelöst, das es mehrmals im Jahr Patchdays für alle gibt und ansonsten nur auf Userbedarf installiert wird. Dann kann man es persönlich noch etwas abfedern.


Vielen Dank Chris schonmal für deine Hilfe.
Kein Problem, gerade Softwareinstallationsautomatisierung ist mein Thema :D

Gruß
Chris