Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Grundsätzliches Verständnisproblem bei GPO

4 views
Skip to first unread message

Michael

unread,
Apr 30, 2010, 3:05:39 AM4/30/10
to
Ich denke ich habe eine grunds�tzliches Verst�ndnisproblem bei GPO

GPO = GROUP Policy Object .. Hat also doch was mit Gruppen zu tun wie der
Name schon sagt.
Warum muss ich sowas also eigentlich immer mit einer OU Verlinken in die ich
dann z.b einen Computer aus einer andern OU schieben muss damits
funktioniert?
Warum kann ich nicht einfach eine Gruppe machen die in meiner verlinken OU
liegt die dann als als Member den besagten Computer hat damit die GPO
gezogen wird f�r diesen Computer gezogen wird?

Warum die Frage �berhaupt:

Ich will gezielt steuern User- oder Computerabh�ngig wer welche GPO bekommt.
Wie mache ich das also am besten ?
Evtl dadurch das ich die GPO erstmal allen in einer OU zum kommen lass und
dann Per Sicherheitsfilter beim Gruppenrichtlinienobject eintrage wer es nur
bekommt? Ist das die �bliche Praxis?

Beispiel Computer A soll Drucker B per GPO bekommen , oder User A soll
Drucker B per GPO bekommen

Winfried Sonntag [MVP]

unread,
Apr 30, 2010, 3:25:02 AM4/30/10
to
Michael schrieb:

> GPO = GROUP Policy Object .. Hat also doch was mit Gruppen zu tun wie der
> Name schon sagt.
> Warum muss ich sowas also eigentlich immer mit einer OU Verlinken in die ich
> dann z.b einen Computer aus einer andern OU schieben muss damits
> funktioniert?

Weil Gruppenrichtlinien nicht auf Gruppen wirken. ;)

> Warum kann ich nicht einfach eine Gruppe machen die in meiner verlinken OU
> liegt die dann als als Member den besagten Computer hat damit die GPO

> gezogen wird fï¿œr diesen Computer gezogen wird?

Weil Gruppenrichtlinien nicht auf Gruppen wirken. ;)

> Warum die Frage ï¿œberhaupt:
>
> Ich will gezielt steuern User- oder Computerabhï¿œngig wer welche GPO bekommt.

> Wie mache ich das also am besten ?

Ich wï¿œrde es per Sicherheitsfilterung machen.

> Evtl dadurch das ich die GPO erstmal allen in einer OU zum kommen lass und
> dann Per Sicherheitsfilter beim Gruppenrichtlinienobject eintrage wer es nur

> bekommt? Ist das die ï¿œbliche Praxis?

Ich hab das bisher so bei mir gemacht.



> Beispiel Computer A soll Drucker B per GPO bekommen , oder User A soll
> Drucker B per GPO bekommen

Dafï¿œr verwende ich immer noch ein kleines feines Batch Script.
http://www.gruppenrichtlinien.de/HowTo/Anmelde_Scripts.htm

Servus
Winfried
--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
GPO's: http://www.gruppenrichtlinien.de
Gruppenrichtlinien Mailingliste "gpupdate":
http://frickelsoft.net/cms/index.php?page=mailingliste

Michael

unread,
Apr 30, 2010, 3:30:03 AM4/30/10
to
UBS hab grad die FAQ's bei Gruppenrichtlinien.de entdeckt ..
Ich glaub da hilft mir die eine oder andere weiter .. ;-)

Dank und Gruss

"Michael" <inv...@invalid.com> schrieb im Newsbeitrag
news:83vdq4...@mid.individual.net...

Michael

unread,
Apr 30, 2010, 7:52:48 AM4/30/10
to
Hallo,

>> Evtl dadurch das ich die GPO erstmal allen in einer OU zum kommen lass
>> und
>> dann Per Sicherheitsfilter beim Gruppenrichtlinienobject eintrage wer es
>> nur
>> bekommt? Ist das die ï¿œbliche Praxis?
>
> Ich hab das bisher so bei mir gemacht.

Bei mir funktinoniert das garnicht .. egal ob ich direkt einen User angebe
oder eine Group die den User beinhaltet
Die GPO wird nur gezogen wenn ich dort authentifizierte User als gruppe
stehn hab. Dann ist der Drucker da.
Was is da nun falsch?

"Winfried Sonntag [MVP]" <Winfried...@gmx.de> schrieb im Newsbeitrag
news:974cojlni3qg$.dlg@ID-163725.user.individual.de...

Winfried Sonntag [MVP]

unread,
Apr 30, 2010, 8:49:26 AM4/30/10
to
Michael schrieb:

>>> Evtl dadurch das ich die GPO erstmal allen in einer OU zum kommen lass
>>> und
>>> dann Per Sicherheitsfilter beim Gruppenrichtlinienobject eintrage wer es
>>> nur
>>> bekommt? Ist das die ï¿œbliche Praxis?
>>
>> Ich hab das bisher so bei mir gemacht.
>
> Bei mir funktinoniert das garnicht .. egal ob ich direkt einen User angebe
> oder eine Group die den User beinhaltet
> Die GPO wird nur gezogen wenn ich dort authentifizierte User als gruppe
> stehn hab. Dann ist der Drucker da.

OUstandort
OUBenutzer
MeinBenutzer
MeineBenutzerGruppe (Der Benutzer MeinBenutzer ist Mitglied.)
OUComputer

Nun verlinkst Du die GPO auf die OU OUBenutzer. Du kannst natï¿œrlich auch
die GPO gleich auf die OU OUStandort verlinken. In der
Sicherheitsfilterung trï¿œgst Du die Gruppe MeineBenutzerGruppe ein. die
Benutzer- oder Computerobjekte mï¿œssen natï¿œrlich im Verwaltungsbereich
der GPO liegen. Die Gruppe muᅵ nicht dort liegen. Wenn es eine
Computer-GPO ist, dann muᅵ es genauso mit den Computerobjekten gemacht
werden.

> Was is da nun falsch?

Weiᅵ ich nicht, vermutlich machst Du etwas falsch. Bei mir und bei
Millionen anderer funktionierts. ;) Sieh im Eventlog auf den Clients
nach und benutz auf dem Client RSOP.MSC. Damit siehst Du genau welche
GPOs mit welchen Einstellungen auf diesen Client/Benutzer wirken.

Mark Heitbrink [MVP]

unread,
Apr 30, 2010, 8:29:11 AM4/30/10
to
Hi,

Am 30.04.2010 13:52, schrieb Michael:
> Die GPO wird nur gezogen wenn ich dort authentifizierte User als gruppe
> stehn hab. Dann ist der Drucker da. Was is da nun falsch?

Keine Ahnung, ich weiss ja nicht mal was du tust.

Also:
"mahl" mal deine OU Struktur und GPO links auf, dann wird dir geholfen.

Tschᅵ
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate

Mark Heitbrink [MVP]

unread,
Apr 30, 2010, 8:27:39 AM4/30/10
to
Hi,

Am 30.04.2010 09:05, schrieb Michael:
> GPO = GROUP Policy Object .. Hat also doch was mit Gruppen zu tun wie
> der Name schon sagt.

Eher Nein, Gruppen dienen als Filter, k�nnen aber keine Richtlinien
�bernehmen. Das k�nnen nur die Objekte: Computer und Benutzer

Die "gruppe" in "Group Policy" ist eher die OU in der eine
Gruppierung von Objekten steht.

> Warum muss ich sowas also eigentlich immer mit einer OU Verlinken in die
> ich dann z.b einen Computer aus einer andern OU schieben muss damits
> funktioniert?

Weil es um den CN des Users geht, der steht in einer OU, die Objekte
aber in cn=systen,cN=policies

> Warum kann ich nicht einfach eine Gruppe machen die in meiner verlinken
> OU liegt die dann als als Member den besagten Computer hat damit die GPO
> gezogen wird f�r diesen Computer gezogen wird?

Weil Gruppen keine Richtlinien �bernehmen k�nnen, weil man dann
keinerlei Reihenfolge festlegen k�nnte. Anhand welches Kriteriums
sollten 2 Richtlinien nacheinanderlaufen, wenn der User in 2 Gruppen
Steckt?

�ber die OU, deren Struktur und er Verlinkungsreihenfolge der GPOs
ist das defintiv festegelegt und es gibt kein Vertun.

> Ich will gezielt steuern User- oder Computerabh�ngig wer welche GPO
> bekommt. Wie mache ich das also am besten ?

OU = Meine Benutzer -> alle Benutzer
OU = Meine Computer -> alle Computer

http://www.gruppenrichtlinien.de/HowTo/Erste_Schritte_zum_erstellen_einer_Gruppenrichtlinie.htm

Tsch�

Norbert Fehlauer [MVP]

unread,
May 3, 2010, 2:47:38 AM5/3/10
to
"Michael" <inv...@invalid.com> schrieb
Moins,

> UBS hab grad die FAQ's bei Gruppenrichtlinien.de entdeckt ..
> Ich glaub da hilft mir die eine oder andere weiter .. ;-)

Jupp Nr. 14 z.B. ;)

Bye
Norbert

0 new messages