5
Windows Server 2008R2 - GPO mit Autostart
Hallo zusammen,
wir haben derzeit eine GPO, die - unter anderem - Outlook.exe automatisch starten lässt. Dies wird über
Benutzerkonfiguration \ Richtlinien \ Administrative Vorlagen \ System/ Anmelden \ Diese Programme bei der Benutzeranmeldung ausführen
realisiert. Funktioniert auch.
Jetzt kam die Anforderung, dass bei einigen Usern zusätzlich eine Website nach der Anmeldung geöffnet werden soll.
Dafür kam der Vorschlag, eine weitere AD-Gruppe mit den entsprechenden Usern anzulegen. Dann eine weitere GPO mit der administrativen Benutzereinstellungen (System/Anmelden) den link zur Website zu öffnen. Und dann in der Sicherheitsfilterung neue Gruppe mit den entsprechenden zu hinterlegen.
Dies habe ich so gemacht, aber die GPO greift nicht.
Die neue GPO taucht laut gpresult auch nach einen gpupdate /force nicht auf.
Mittlerweile bin ich soweit, dass ich eine eigene OU im AD angelegt habe und dort einen der User dorthin verschoben habe. In der GPO-Verwaltung habe ich dann die Sicherheitsfilterung der GPO wieder auf "Authentifizierte User" zurückgestellt und diese GPO der neuen OU untergeordnet.
Jetzt taucht unter gpresult auf, dass die neue GPO bei diesem Benutzer verarbeitet wurde. Jetzt steht zwar da, dass die Website geöffnet wird, aber Outlook.exe fehlt.
Kann es sein, dass ein und dieselbe Einstellung bei verschiedenen GPO nicht addiert werden?
Und es kann doch nicht korrekt sein, dass ich nicht mit Gruppen arbeiten kann. Sobald der User einer Gruppe angehört und ich diese Gruppe der GPO zuweise und den User aus der OU rausschmeiße, wird die GPO nicht mehr dem User zugewiesen. Und dazu die Frage: Wie würde man es realisieren, wenn ein User mehrere OUs angehört? Geht das überhaupt?
jetzt steh ich da....
wir haben derzeit eine GPO, die - unter anderem - Outlook.exe automatisch starten lässt. Dies wird über
Benutzerkonfiguration \ Richtlinien \ Administrative Vorlagen \ System/ Anmelden \ Diese Programme bei der Benutzeranmeldung ausführen
realisiert. Funktioniert auch.
Jetzt kam die Anforderung, dass bei einigen Usern zusätzlich eine Website nach der Anmeldung geöffnet werden soll.
Dafür kam der Vorschlag, eine weitere AD-Gruppe mit den entsprechenden Usern anzulegen. Dann eine weitere GPO mit der administrativen Benutzereinstellungen (System/Anmelden) den link zur Website zu öffnen. Und dann in der Sicherheitsfilterung neue Gruppe mit den entsprechenden zu hinterlegen.
Dies habe ich so gemacht, aber die GPO greift nicht.
Die neue GPO taucht laut gpresult auch nach einen gpupdate /force nicht auf.
Mittlerweile bin ich soweit, dass ich eine eigene OU im AD angelegt habe und dort einen der User dorthin verschoben habe. In der GPO-Verwaltung habe ich dann die Sicherheitsfilterung der GPO wieder auf "Authentifizierte User" zurückgestellt und diese GPO der neuen OU untergeordnet.
Jetzt taucht unter gpresult auf, dass die neue GPO bei diesem Benutzer verarbeitet wurde. Jetzt steht zwar da, dass die Website geöffnet wird, aber Outlook.exe fehlt.
Kann es sein, dass ein und dieselbe Einstellung bei verschiedenen GPO nicht addiert werden?
Und es kann doch nicht korrekt sein, dass ich nicht mit Gruppen arbeiten kann. Sobald der User einer Gruppe angehört und ich diese Gruppe der GPO zuweise und den User aus der OU rausschmeiße, wird die GPO nicht mehr dem User zugewiesen. Und dazu die Frage: Wie würde man es realisieren, wenn ein User mehrere OUs angehört? Geht das überhaupt?
jetzt steh ich da....
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 340749
Url: https://administrator.de/contentid/340749
Printed on: April 25, 2024 at 17:04 o'clock
5 Comments
Latest comment
Hi
Kopiere es doch via GPP in den Autostart der Benutzergruppe.
Kannst es schön darüber filtern und musst nicht X Policys aufmachen.
Ein User kann nur einer OU angehören.
mit freundlichen Grüßen Nemesis
Kopiere es doch via GPP in den Autostart der Benutzergruppe.
Kannst es schön darüber filtern und musst nicht X Policys aufmachen.
Ein User kann nur einer OU angehören.
mit freundlichen Grüßen Nemesis
Moin,
Also bei den GPOs musst du seit geraumer Zeit folgendes berücksichtigen:
in der SIcherheitsfilterunmg kannst du zwar nur die relevante(n) Gruppe(n) hinterlegen, unter dem Reiter Delegierung muss dennoch die Gruppe "Authetifizierte Benutzer" mit lesenden Rechten eingefügt werden. Ohne diesen Eintrag, wird die GPO so gar nicht gelesen.
Und dann hast du richtig erkannt:
wenn du zwei GPOs hast, die grundsätzlich die selben Settings parametrisiert, gewinnt die, die als letzte (in der Reihenfolge) ausgeführt wird.
In deinem Fall überschreibt der Aufruf der Website den Aufruf von Outlook..
Du kannst es, wie @nEmEsIs schon schrieb, lösen, indem du die relevanten Dateien/ *.lnks in den Autostart-FOlder kopierst.
ODer du bastelst dir ein vbs- oder KIX-Script oder eine Batch, welche die Gruppenzugehörigkit abfragt und anhand dessen dann die Programme entsprechend startet.
Vom Aufwand her dürfte die Autostart-Variante die leichteste sein, da du dies mit einfachen GPOs erledigen kannst...
Gruß
em-pie
Also bei den GPOs musst du seit geraumer Zeit folgendes berücksichtigen:
in der SIcherheitsfilterunmg kannst du zwar nur die relevante(n) Gruppe(n) hinterlegen, unter dem Reiter Delegierung muss dennoch die Gruppe "Authetifizierte Benutzer" mit lesenden Rechten eingefügt werden. Ohne diesen Eintrag, wird die GPO so gar nicht gelesen.
Und dann hast du richtig erkannt:
wenn du zwei GPOs hast, die grundsätzlich die selben Settings parametrisiert, gewinnt die, die als letzte (in der Reihenfolge) ausgeführt wird.
In deinem Fall überschreibt der Aufruf der Website den Aufruf von Outlook..
Du kannst es, wie @nEmEsIs schon schrieb, lösen, indem du die relevanten Dateien/ *.lnks in den Autostart-FOlder kopierst.
ODer du bastelst dir ein vbs- oder KIX-Script oder eine Batch, welche die Gruppenzugehörigkit abfragt und anhand dessen dann die Programme entsprechend startet.
Vom Aufwand her dürfte die Autostart-Variante die leichteste sein, da du dies mit einfachen GPOs erledigen kannst...
Gruß
em-pie
Leute! vielen Dank. Ich habe einfach so kompliziert gedacht. Logisch, der Autostart im Startmenü
C:\users\%username%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
DANKE DANKE!
C:\users\%username%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
DANKE DANKE!
Hi
Nimm aber bitte nicht wie oben den kompletten Pfad.
Ich glaube über F3 kannst du in den GPPs die akzeptieren Variablen abfragen. (Hab gerade keinen Rechner zur Hand. Probier mal die FTasten durch.)
Nimm die Variable für den startup Folder.
mit freundlichen Grüßen Nemesis
Nimm aber bitte nicht wie oben den kompletten Pfad.
Ich glaube über F3 kannst du in den GPPs die akzeptieren Variablen abfragen. (Hab gerade keinen Rechner zur Hand. Probier mal die FTasten durch.)
Nimm die Variable für den startup Folder.
mit freundlichen Grüßen Nemesis
hervorragend! F3 ist korrekt...
%StartUpDir%
nochmal danke!
%StartUpDir%
nochmal danke!
