Windows Server 2008R2 - GPO mit Autostart
Hallo zusammen,
wir haben derzeit eine GPO, die - unter anderem - Outlook.exe automatisch starten lässt. Dies wird über
Benutzerkonfiguration \ Richtlinien \ Administrative Vorlagen \ System/ Anmelden \ Diese Programme bei der Benutzeranmeldung ausführen
realisiert. Funktioniert auch.
Jetzt kam die Anforderung, dass bei einigen Usern zusätzlich eine Website nach der Anmeldung geöffnet werden soll.
Dafür kam der Vorschlag, eine weitere AD-Gruppe mit den entsprechenden Usern anzulegen. Dann eine weitere GPO mit der administrativen Benutzereinstellungen (System/Anmelden) den link zur Website zu öffnen. Und dann in der Sicherheitsfilterung neue Gruppe mit den entsprechenden zu hinterlegen.
Dies habe ich so gemacht, aber die GPO greift nicht.
Die neue GPO taucht laut gpresult auch nach einen gpupdate /force nicht auf.
Mittlerweile bin ich soweit, dass ich eine eigene OU im AD angelegt habe und dort einen der User dorthin verschoben habe. In der GPO-Verwaltung habe ich dann die Sicherheitsfilterung der GPO wieder auf "Authentifizierte User" zurückgestellt und diese GPO der neuen OU untergeordnet.
Jetzt taucht unter gpresult auf, dass die neue GPO bei diesem Benutzer verarbeitet wurde. Jetzt steht zwar da, dass die Website geöffnet wird, aber Outlook.exe fehlt.
Kann es sein, dass ein und dieselbe Einstellung bei verschiedenen GPO nicht addiert werden?
Und es kann doch nicht korrekt sein, dass ich nicht mit Gruppen arbeiten kann. Sobald der User einer Gruppe angehört und ich diese Gruppe der GPO zuweise und den User aus der OU rausschmeiße, wird die GPO nicht mehr dem User zugewiesen. Und dazu die Frage: Wie würde man es realisieren, wenn ein User mehrere OUs angehört? Geht das überhaupt?
jetzt steh ich da....
wir haben derzeit eine GPO, die - unter anderem - Outlook.exe automatisch starten lässt. Dies wird über
Benutzerkonfiguration \ Richtlinien \ Administrative Vorlagen \ System/ Anmelden \ Diese Programme bei der Benutzeranmeldung ausführen
realisiert. Funktioniert auch.
Jetzt kam die Anforderung, dass bei einigen Usern zusätzlich eine Website nach der Anmeldung geöffnet werden soll.
Dafür kam der Vorschlag, eine weitere AD-Gruppe mit den entsprechenden Usern anzulegen. Dann eine weitere GPO mit der administrativen Benutzereinstellungen (System/Anmelden) den link zur Website zu öffnen. Und dann in der Sicherheitsfilterung neue Gruppe mit den entsprechenden zu hinterlegen.
Dies habe ich so gemacht, aber die GPO greift nicht.
Die neue GPO taucht laut gpresult auch nach einen gpupdate /force nicht auf.
Mittlerweile bin ich soweit, dass ich eine eigene OU im AD angelegt habe und dort einen der User dorthin verschoben habe. In der GPO-Verwaltung habe ich dann die Sicherheitsfilterung der GPO wieder auf "Authentifizierte User" zurückgestellt und diese GPO der neuen OU untergeordnet.
Jetzt taucht unter gpresult auf, dass die neue GPO bei diesem Benutzer verarbeitet wurde. Jetzt steht zwar da, dass die Website geöffnet wird, aber Outlook.exe fehlt.
Kann es sein, dass ein und dieselbe Einstellung bei verschiedenen GPO nicht addiert werden?
Und es kann doch nicht korrekt sein, dass ich nicht mit Gruppen arbeiten kann. Sobald der User einer Gruppe angehört und ich diese Gruppe der GPO zuweise und den User aus der OU rausschmeiße, wird die GPO nicht mehr dem User zugewiesen. Und dazu die Frage: Wie würde man es realisieren, wenn ein User mehrere OUs angehört? Geht das überhaupt?
jetzt steh ich da....
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 340749
Url: https://administrator.de/forum/windows-server-2008r2-gpo-mit-autostart-340749.html
Ausgedruckt am: 26.12.2024 um 01:12 Uhr
5 Kommentare
Neuester Kommentar
Moin,
Also bei den GPOs musst du seit geraumer Zeit folgendes berücksichtigen:
in der SIcherheitsfilterunmg kannst du zwar nur die relevante(n) Gruppe(n) hinterlegen, unter dem Reiter Delegierung muss dennoch die Gruppe "Authetifizierte Benutzer" mit lesenden Rechten eingefügt werden. Ohne diesen Eintrag, wird die GPO so gar nicht gelesen.
Und dann hast du richtig erkannt:
wenn du zwei GPOs hast, die grundsätzlich die selben Settings parametrisiert, gewinnt die, die als letzte (in der Reihenfolge) ausgeführt wird.
In deinem Fall überschreibt der Aufruf der Website den Aufruf von Outlook..
Du kannst es, wie @nEmEsIs schon schrieb, lösen, indem du die relevanten Dateien/ *.lnks in den Autostart-FOlder kopierst.
ODer du bastelst dir ein vbs- oder KIX-Script oder eine Batch, welche die Gruppenzugehörigkit abfragt und anhand dessen dann die Programme entsprechend startet.
Vom Aufwand her dürfte die Autostart-Variante die leichteste sein, da du dies mit einfachen GPOs erledigen kannst...
Gruß
em-pie
Also bei den GPOs musst du seit geraumer Zeit folgendes berücksichtigen:
in der SIcherheitsfilterunmg kannst du zwar nur die relevante(n) Gruppe(n) hinterlegen, unter dem Reiter Delegierung muss dennoch die Gruppe "Authetifizierte Benutzer" mit lesenden Rechten eingefügt werden. Ohne diesen Eintrag, wird die GPO so gar nicht gelesen.
Und dann hast du richtig erkannt:
wenn du zwei GPOs hast, die grundsätzlich die selben Settings parametrisiert, gewinnt die, die als letzte (in der Reihenfolge) ausgeführt wird.
In deinem Fall überschreibt der Aufruf der Website den Aufruf von Outlook..
Du kannst es, wie @nEmEsIs schon schrieb, lösen, indem du die relevanten Dateien/ *.lnks in den Autostart-FOlder kopierst.
ODer du bastelst dir ein vbs- oder KIX-Script oder eine Batch, welche die Gruppenzugehörigkit abfragt und anhand dessen dann die Programme entsprechend startet.
Vom Aufwand her dürfte die Autostart-Variante die leichteste sein, da du dies mit einfachen GPOs erledigen kannst...
Gruß
em-pie