113726
16.01.2014
9086
31
0
Software per GPO Verteilen - Gruppen
Hallo,
ich arbeite mich gerade in das Thema Softwareverteilung über GPO ein.
Ich versuche es gerade mit dem Adobe Reader.
Dazu wurde von mir in der Gruppenrichtlinienverwaltung eine neue OU angelegt (Softwareinstallation).
In dieser OU kommen dann die GPOs rein (am besten für jede Software eine oder kann man die zusammen packen?)
Im AD gibt es eine Sicherheitsgruppe, die alle Clientrechner beinhaltet (testweise erstmal nur meinen).
Diese Sicherheitsgruppe nehme ich dann in der Sicherheitsfilterung der Adobe Reader GPO hinein.
Problem ist nur, das mein Client darauf nicht anspringt.
Erst wenn ich die GPO auch direkt unter der Domäne ablege, erkennt mein Client die GPO. Ist diese nur in der OU (wie ich es der Ordnung halber möchte), erkennt mein Client die GPO nicht.
Ist das ein bekanntes Problem, bin ich die Sache falsch angegangen oder denke ich falsch?
Danke im Voraus.
LG Manuel
ich arbeite mich gerade in das Thema Softwareverteilung über GPO ein.
Ich versuche es gerade mit dem Adobe Reader.
Dazu wurde von mir in der Gruppenrichtlinienverwaltung eine neue OU angelegt (Softwareinstallation).
In dieser OU kommen dann die GPOs rein (am besten für jede Software eine oder kann man die zusammen packen?)
Im AD gibt es eine Sicherheitsgruppe, die alle Clientrechner beinhaltet (testweise erstmal nur meinen).
Diese Sicherheitsgruppe nehme ich dann in der Sicherheitsfilterung der Adobe Reader GPO hinein.
Problem ist nur, das mein Client darauf nicht anspringt.
Erst wenn ich die GPO auch direkt unter der Domäne ablege, erkennt mein Client die GPO. Ist diese nur in der OU (wie ich es der Ordnung halber möchte), erkennt mein Client die GPO nicht.
Ist das ein bekanntes Problem, bin ich die Sache falsch angegangen oder denke ich falsch?
Danke im Voraus.
LG Manuel
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 226832
Url: https://administrator.de/forum/software-per-gpo-verteilen-gruppen-226832.html
Ausgedruckt am: 22.12.2024 um 08:12 Uhr
31 Kommentare
Neuester Kommentar
Moin,
ich empfehle dir dringend Folgendes mal zu lesen:
http://openbook.galileocomputing.de/windows_server_2008/windows_server_ ...
mir kommt es so vor, als hättest du noch nie mit AD gearbeitet.
Martin hat es auch meiner sicher sehr gut erklärt, wie du den Rechner verschiebst. Bevor du Software per GPO verteilst, solltest du AD Grundlagen beherrschen.
Nochmal:
Du legst eine OU an, suchst deinen Rechner im AD, verschiebst ihn in die OU. Nun legst du deine GPO drauf und fügst ihn in die (wie du erkannt hast, egal wo, solange im AD Baum) erstellte sicherheitsgruppe hinzu, legst die Voraussetzung in die GPO und fertig.
Edit: Willst du sie in SBSComputers lassen, muss du die GPO auf die nächst höhere OU legen, im Zweifel Root, was man allerdings nicht tun sollte, weil das unangenehme Nebeneffekte haben kann, wenn ein Fehler unterläuft..
Gruß
Chris
ich empfehle dir dringend Folgendes mal zu lesen:
http://openbook.galileocomputing.de/windows_server_2008/windows_server_ ...
mir kommt es so vor, als hättest du noch nie mit AD gearbeitet.
Martin hat es auch meiner sicher sehr gut erklärt, wie du den Rechner verschiebst. Bevor du Software per GPO verteilst, solltest du AD Grundlagen beherrschen.
Nochmal:
Du legst eine OU an, suchst deinen Rechner im AD, verschiebst ihn in die OU. Nun legst du deine GPO drauf und fügst ihn in die (wie du erkannt hast, egal wo, solange im AD Baum) erstellte sicherheitsgruppe hinzu, legst die Voraussetzung in die GPO und fertig.
Edit: Willst du sie in SBSComputers lassen, muss du die GPO auf die nächst höhere OU legen, im Zweifel Root, was man allerdings nicht tun sollte, weil das unangenehme Nebeneffekte haben kann, wenn ein Fehler unterläuft..
Gruß
Chris
Moin,
ich kann es dir im Moment nicht sagen, wo dein großer Fehler liegt, aber hier ist eine schritt für schritt Anleitung, wie du die Software richtig einbindest:
http://www.gruppenrichtlinien.de/artikel/softwarezuweisung-software-im- ...
Probiere es mal so, wenn das nicht klappt, sollten wir nochmal schauen
Gruß
Chris
ich kann es dir im Moment nicht sagen, wo dein großer Fehler liegt, aber hier ist eine schritt für schritt Anleitung, wie du die Software richtig einbindest:
http://www.gruppenrichtlinien.de/artikel/softwarezuweisung-software-im- ...
Probiere es mal so, wenn das nicht klappt, sollten wir nochmal schauen
Gruß
Chris
Moin,
also: Meine Idee warum es nicht geklappt hat: Das Computerkonto muss erstmerken, dass es nun in dieser Gruppe ist, wie bei User und Fileberechtigungen. Immerhin schick, dass es geklappt hat
Das mit der OU ist eben so eine Sache, GPOs werden nur angezogen, wenn die Clients unterhalb in der Vererbung stehen, wenn ich das richtig sehe, willst du die Computer in SBSComputers belassen und darunter oder daneben eine OU erstellen, in der Nur die GPOs liegen, das würde leider nicht funktionieren.
Ich weiß, dass Softwareverteilung über GPO immer so eine Sache ist, Bei über 100 Softwareprodukten in je einer GPO kann man schnell den Überblick verlieren zumal man Teilweise sogar auf die Reihenfolge achten muss. Du solltest nun dieses Funktionierende Schema fortsetzen, denn, ja, es gibt durcheinander mit den GPOs, aber du wirst ja hoffentlich nicht dauernd in den GPOs rumwühlen also hält sich das Problem doch in Grenzen.
Gruß
Chris
also: Meine Idee warum es nicht geklappt hat: Das Computerkonto muss erstmerken, dass es nun in dieser Gruppe ist, wie bei User und Fileberechtigungen. Immerhin schick, dass es geklappt hat
Das mit der OU ist eben so eine Sache, GPOs werden nur angezogen, wenn die Clients unterhalb in der Vererbung stehen, wenn ich das richtig sehe, willst du die Computer in SBSComputers belassen und darunter oder daneben eine OU erstellen, in der Nur die GPOs liegen, das würde leider nicht funktionieren.
Ich weiß, dass Softwareverteilung über GPO immer so eine Sache ist, Bei über 100 Softwareprodukten in je einer GPO kann man schnell den Überblick verlieren zumal man Teilweise sogar auf die Reihenfolge achten muss. Du solltest nun dieses Funktionierende Schema fortsetzen, denn, ja, es gibt durcheinander mit den GPOs, aber du wirst ja hoffentlich nicht dauernd in den GPOs rumwühlen also hält sich das Problem doch in Grenzen.
Gruß
Chris
Ich möchte aber jetzt gerne mit einer Sicherheitsgruppe arbeiten. Also lege ich im AD eine Sicherheitsgruppe an
(global/universal) und trage meinen Rechner rein.
(global/universal) und trage meinen Rechner rein.
...und dann musst Du neu booten, damit der Rechner das auch weiß! Der holt sich beim Start eine Liste seiner Gruppenmitgliedschaften (Kerberos Ticket Granting Ticket), und das wird im laufenden Betrieb nie aktualisiert (gut, über klist purge ginge es, aber das führt hier zu weit).
Nach einem Neustart geht es.
Siehe oben
Kann ich unter SBSComputers eine weitere OU anlegen, um die Softwareinstallationen bisschen zu sortieren? Oder liegen die GPOs
dort dann außerhalb des Verwaltungsbereiches der Clients?
dort dann außerhalb des Verwaltungsbereiches der Clients?
Wenn Du die Computer dann in diese OU verschiebst - ja. Ich würde es allerdings beim SBS nur mit Sicherheitsgruppen machen und keine Builtin Logik anfassen.
Ich weiß, dass Softwareverteilung über GPO immer so eine Sache ist, Bei über 100 Softwareprodukten in je einer GPO
kann man schnell den Überblick verlieren zumal man Teilweise sogar auf die Reihenfolge achten muss. Du solltest nun dieses
kann man schnell den Überblick verlieren zumal man Teilweise sogar auf die Reihenfolge achten muss. Du solltest nun dieses
Dringender Tip!!! Für JEDES MSI-Paket eine eigene GPO machen - immer und auf jeden Fall! Auch für jedes Update eines vorhandenen Pakets eine eigene GPO machen. Das einzige, was in die gleiche GPO reindarf, sind Patches oder Transforms.
Warum? Erfahrung...
Moin,
Habe mich glaube ich undeutlich ausgedrückt, natürlich für jede Software eine eigene GPO. War etwas "durch-die-Beine-von-hinten-durchs-Auge"-formuliert. wobei ich schon Software gesehen habe, die wirklich 40 und mehr teil .msi-Pakete enthalten hat, die man dann eben in einer GPO zusammenfasst. Aber das ist wieder ein anderes Thema.
Ist schon richtig, 1 Software = 1 GPO = 1 Sicherheitsgruppe.
Edit: @ @113726 Wenn bei dir nun alles läuft, bitte noch als gelöst markieren ;)
Gruß
Chris
Habe mich glaube ich undeutlich ausgedrückt, natürlich für jede Software eine eigene GPO. War etwas "durch-die-Beine-von-hinten-durchs-Auge"-formuliert. wobei ich schon Software gesehen habe, die wirklich 40 und mehr teil .msi-Pakete enthalten hat, die man dann eben in einer GPO zusammenfasst. Aber das ist wieder ein anderes Thema.
Ist schon richtig, 1 Software = 1 GPO = 1 Sicherheitsgruppe.
Edit: @ @113726 Wenn bei dir nun alles läuft, bitte noch als gelöst markieren ;)
Gruß
Chris
Moin,
also:
1. Ja, stimmt so. Alles was in und unter Der OU liegt, auf die die GPO verteilt ist.
2. Nein, sie übernehmen die Computer nicht, aber die Rechner darunter liegenden OUs übernehmen Settings der GPOs die darüber liegen
3. (Muss ich genau nachschauen, liefere ich nach)
4. Kann man per GPO einstellen, das Details angezeigt werden, allerdings sieht die Useranmeldubg vom Text her ebenso aus wie am Server. Heißt es steht dann auch da, dass der "Benutzerprofildienst geladen wird" o.Ä.
den Rest liefere nach, sollte erstmal helfen ;)
Gruß
Chris
also:
1. Ja, stimmt so. Alles was in und unter Der OU liegt, auf die die GPO verteilt ist.
2. Nein, sie übernehmen die Computer nicht, aber die Rechner darunter liegenden OUs übernehmen Settings der GPOs die darüber liegen
3. (Muss ich genau nachschauen, liefere ich nach)
4. Kann man per GPO einstellen, das Details angezeigt werden, allerdings sieht die Useranmeldubg vom Text her ebenso aus wie am Server. Heißt es steht dann auch da, dass der "Benutzerprofildienst geladen wird" o.Ä.
den Rest liefere nach, sollte erstmal helfen ;)
Gruß
Chris
Moin,
nun nochmal zu 3. am besten liest du einfach hier:
http://support.microsoft.com/kb/816102/de
oder spezieller auf deine Frage:
http://pits-online.info/2013/07/02/software-per-gpo-verteilen-msi-msp-u ...
Kurz zusammengefasst, unter Aktualisierungen kannst du nur Abhängigkeiten definieren.
Meine Persönliche Empfehlung: Neue GPO, neue Gruppe, aus der alten raus, in die neue Rein und zur Not noch eine Abhängigkeit, dass das alte Paket erst deinstalliert sein muss.
Gruß
Chris
nun nochmal zu 3. am besten liest du einfach hier:
http://support.microsoft.com/kb/816102/de
oder spezieller auf deine Frage:
http://pits-online.info/2013/07/02/software-per-gpo-verteilen-msi-msp-u ...
Kurz zusammengefasst, unter Aktualisierungen kannst du nur Abhängigkeiten definieren.
Meine Persönliche Empfehlung: Neue GPO, neue Gruppe, aus der alten raus, in die neue Rein und zur Not noch eine Abhängigkeit, dass das alte Paket erst deinstalliert sein muss.
Gruß
Chris
Wenn ja, wofür ist dann aber der Tab "Aktualisierungen" direkt im Softwarefenster der GPO?
Damit kannst Du Abhängigkeiten von MSI-Paketen innerhalb einer oder in verschiedenen GPOs definieren - GPOs selbst wissen davon nämlich nichts. Beispiel:
Adobe Reader 10 per GPO verteilt. Jetzt kommt Reader 11 in einer neuen GPO. In dieser neuen GPO definierst Du dann, dass diese neue GPO für Reader 11 eine Aktualisierung für das "alte" Reader 10 Paket ist. Damit wird nur noch 11 installiert und nicht mehr 10.
Lies doch mal ein Buch drüber Amazon "Gruppenrichtlinien Server 2012" zum Beispiel...
Moin,
Gruppenrichtlinien Vererbung ist das Stichwort. Google wird helfen. Kurz: Settings werden vererbt und falls nicht anders konfiguriert auf alle unter der GPO liegenden Objekte angewendet. Wie bei Ordnern und Rechtevererbung. Heißt: eine GPO die in SBSComputers verlinkt ist, gilt auch für SBSComputer\Untergruppe.
Hier gilt auch die Vererbungsregel. Heißt: Je höher in der Hierarchie sich ein objekt befindet, desto weniger GPO gelten für es. Jeder schritt nach unten kann eine neue GPO bedeuten also mehr Regeln.
Ich würde sie erstmal nicht löschen, aber das ist deine Sache, man kann es machen, muss man aber nicht.
Am einfachsten wenn du etwas allgemein ausrollst: Vorher Mail verschicken und von den Abteilungsleitern kommunizieren lassen. Wir haben es bei uns so gelöst, das es mehrmals im Jahr Patchdays für alle gibt und ansonsten nur auf Userbedarf installiert wird. Dann kann man es persönlich noch etwas abfedern.
Vielen Dank Chris schonmal für deine Hilfe.
Kein Problem, gerade Softwareinstallationsautomatisierung ist mein Thema :D
Gruß
Chris
Zitat von @113726:
zu 1) Wie meinst du das, In und Unter der OU?
Also in der OU ist klar aber unter? Also nimmt Authentifizierter Benutzer auch die Elemente (Gruppen/Benutzer/Rechner) der
Unter-OUs mit auf?
zu 1) Wie meinst du das, In und Unter der OU?
Also in der OU ist klar aber unter? Also nimmt Authentifizierter Benutzer auch die Elemente (Gruppen/Benutzer/Rechner) der
Unter-OUs mit auf?
Gruppenrichtlinien Vererbung ist das Stichwort. Google wird helfen. Kurz: Settings werden vererbt und falls nicht anders konfiguriert auf alle unter der GPO liegenden Objekte angewendet. Wie bei Ordnern und Rechtevererbung. Heißt: eine GPO die in SBSComputers verlinkt ist, gilt auch für SBSComputer\Untergruppe.
zu 2) Könntest du mir da nochmal ein Idiotensicheres Beispiel nennen ?
Damit ich auch sicher bin, es verstanden zu haben. Zu 1) auch.
Damit ich auch sicher bin, es verstanden zu haben. Zu 1) auch.
Hier gilt auch die Vererbungsregel. Heißt: Je höher in der Hierarchie sich ein objekt befindet, desto weniger GPO gelten für es. Jeder schritt nach unten kann eine neue GPO bedeuten also mehr Regeln.
zu 3) Vielen Dank, hilft mir sehr weiter.
Also werde ich dann neue GPO machen und fertig. Die alte kann ich dann eigentlich löschen oder? Ich kann ja als
Abhängigkeit die alte GPO angeben, dass diese erst deinstalliert sein muss. Aber dann müsste ich die alte doch
löschen können oder?
Also werde ich dann neue GPO machen und fertig. Die alte kann ich dann eigentlich löschen oder? Ich kann ja als
Abhängigkeit die alte GPO angeben, dass diese erst deinstalliert sein muss. Aber dann müsste ich die alte doch
löschen können oder?
Ich würde sie erstmal nicht löschen, aber das ist deine Sache, man kann es machen, muss man aber nicht.
zu 4) Alles klar das hatte ich schon gefunden, aber das sind zu viel Informationen für den User.
Dann lasse ich das einfach erst mal so.
Dann lasse ich das einfach erst mal so.
Am einfachsten wenn du etwas allgemein ausrollst: Vorher Mail verschicken und von den Abteilungsleitern kommunizieren lassen. Wir haben es bei uns so gelöst, das es mehrmals im Jahr Patchdays für alle gibt und ansonsten nur auf Userbedarf installiert wird. Dann kann man es persönlich noch etwas abfedern.
Vielen Dank Chris schonmal für deine Hilfe.
Gruß
Chris