none
GPO Softwareverteilung / Netzlaufwerke / Drucker RRS feed

  • Frage

  • Hallo TechNet,

     

    ich möchte hier einmal einen Lösungsansatz vorstellen um folgendes zu bewerkstelligen:

    Softwareverteilung (Office, Adobe Illustrator, Flash, Java, Shockwave, UPS, TNT usw.)

    Druckerverteilung (Jedem Benutzer Drucker per GPO zuweisen inklusive Standard Drucker)

    Netzlaufwerke

     

     

    AD OU Struktur:


    Standort (Hamburg)

              Abteilung (EDV)

                        Benutzer

                        Computer

     

              Client Anpassungs- Gruppen (Hier sind Sicherheitsgruppen die mit den GPOs verknüpft sind)

    Drucker einrichten Gruppen (Hier sind Sicherheitsgruppen die mit den GPOs verknüpft sind)

              Netzlaufwerk Gruppen (Hier sind Sicherheitsgruppen die mit den GPOs verknüpft sind)

              Software Installations- Gruppen (Hier sind Sicherheitsgruppen die mit den GPOs verknüpft sind)

     


    Softwareverteilung: Alle GPOs sind auf der OU Abteilungen verknüpft. Bei jeder GPO wird die Sicherheitsfilterung angepasst z.b.

    GPO: Softwareverteilung 7Zip 4.6.5  

    Sicherheitsfilterung: Gr_7Zip465

     

    In die Gruppe Gr_7Zip465 kommen dann die jeweiligen Computerkonten und bekommen somit die Software.

     

    Die Software GPOs sind mit folgender Option konfiguriert: Bereitstellungsoptionen à Anwendung deinstallieren, wenn sie außerhalb des Verwaltungsbereichs liegt

     

    Für jede Software gibt es eine GPO.

     

     

    Bei den Druckern und Netzlaufwerken ist es dasselbe hier werden GPOs aber nur auf die User angewandt.

     

     

    Ist das eine sinnvolle Lösung oder erkennt hier jemand gravierende Fehler.

     

    Bei der Softwareverteilung bin ich mir unsicher ob ich diese Einstellung vornehmen soll „Bereitstellungsoptionen à Anwendung deinstallieren, wenn sie außerhalb des Verwaltungsbereichs liegt“

     

     

    Ich würde mich sehr über eure Meinung freuen.

     

    Donnerstag, 9. Juni 2011 10:38

Antworten

  • > AD OU Struktur:
    > Standort (Hamburg)
     
    Für Standorte brauchst keine OUs, das macht man über dssite.msc
     
    > Abteilung (EDV)
    > Benutzer
    > Computer
     
    Paßt soweit.
     
    > Softwareverteilung: Alle GPOs sind auf der OU Abteilungen verknüpft. Bei
    > jeder GPO wird die Sicherheitsfilterung angepasst z.b.
     
    Paßt auch.
     
    > Die Software GPOs sind mit folgender Option konfiguriert:
    > Bereitstellungsoptionen àAnwendung deinstallieren, wenn sie außerhalb
    > des Verwaltungsbereichs liegt
     
    Da kann man sich streiten - hängt evtl. von der Lizenzierung ab... Ich
    mach's nicht so.
     
    > Für jede Software gibt es eine GPO.
     
    Paßt auch.
     
    > Bei den Druckern und Netzlaufwerken ist es dasselbe hier werden GPOs
    > aber nur auf die User angewandt.
     
    Eine GPO pro Drucker oder Laufwerk? Das würde ich nicht machen - hier
    kannst komfortabel per Item Level Targeting alle Zuordnungen in eine
    einzige GPO stecken ;-) Erhöht die Übersichtlichkeit.
     
     
    > Ist das eine sinnvolle Lösung oder erkennt hier jemand gravierende Fehler.
     
    "Gravierend" - nein.
     
    mfg Martin
     

    Kein MVP, kein MCSE. Nur ein wenig Erfahrung.
    • Als Antwort markiert Patrick Kay Donnerstag, 16. Juni 2011 08:24
    Donnerstag, 9. Juni 2011 11:38
    Beantworter
  • Hi,

    Am 09.06.2011 13:38, schrieb Martin Binder:

    Für Standorte brauchst keine OUs, das macht man über dssite.msc

    Dann versuch mal für den Standort in deiner Site eine Delegation
    einzurichten und erlaube einem "Standortadmin" die Verwaltung
    seiner Konten im Standort ... :-)

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    • Als Antwort markiert Patrick Kay Donnerstag, 16. Juni 2011 08:24
    Donnerstag, 9. Juni 2011 12:16
  • > Eine Zusatzfrage noch: Viele GPOs oder wenige "große" ( Ich habe das
     
    Das ist schon fast eine philosophische Frage ;-)
     
    Für mich hat sich bewährt: Generelle Basis-Settings in wenige große
    GPOs, die sich fast nie ändern. Spezialisierte Settings, die sich ggf.
    auch noch öfter ändern, in viele kleine.
     
    mfg Martin
     

    Kein MVP, kein MCSE. Nur ein wenig Erfahrung.
    • Als Antwort markiert Patrick Kay Donnerstag, 16. Juni 2011 08:23
    Freitag, 10. Juni 2011 06:19
    Beantworter
  • Moin,

    Am 10.06.2011 08:19, schrieb Martin Binder:

    Für mich hat sich bewährt: Generelle Basis-Settings in wenige große
    GPOs, die sich fast nie ändern. Spezialisierte Settings, die sich ggf. auch noch öfter ändern, in viele kleine.

    Bin voll dabei. Ein klares Ja, so find ichs gut. Es ist immer der
    Versuch alles unter einen Hut zu bringen, der am Ende dazu führt, von
    allen Vorteilen, die meisten zu kombinieren.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    • Als Antwort markiert Patrick Kay Donnerstag, 16. Juni 2011 08:24
    Freitag, 10. Juni 2011 21:14

Alle Antworten

  • > AD OU Struktur:
    > Standort (Hamburg)
     
    Für Standorte brauchst keine OUs, das macht man über dssite.msc
     
    > Abteilung (EDV)
    > Benutzer
    > Computer
     
    Paßt soweit.
     
    > Softwareverteilung: Alle GPOs sind auf der OU Abteilungen verknüpft. Bei
    > jeder GPO wird die Sicherheitsfilterung angepasst z.b.
     
    Paßt auch.
     
    > Die Software GPOs sind mit folgender Option konfiguriert:
    > Bereitstellungsoptionen àAnwendung deinstallieren, wenn sie außerhalb
    > des Verwaltungsbereichs liegt
     
    Da kann man sich streiten - hängt evtl. von der Lizenzierung ab... Ich
    mach's nicht so.
     
    > Für jede Software gibt es eine GPO.
     
    Paßt auch.
     
    > Bei den Druckern und Netzlaufwerken ist es dasselbe hier werden GPOs
    > aber nur auf die User angewandt.
     
    Eine GPO pro Drucker oder Laufwerk? Das würde ich nicht machen - hier
    kannst komfortabel per Item Level Targeting alle Zuordnungen in eine
    einzige GPO stecken ;-) Erhöht die Übersichtlichkeit.
     
     
    > Ist das eine sinnvolle Lösung oder erkennt hier jemand gravierende Fehler.
     
    "Gravierend" - nein.
     
    mfg Martin
     

    Kein MVP, kein MCSE. Nur ein wenig Erfahrung.
    • Als Antwort markiert Patrick Kay Donnerstag, 16. Juni 2011 08:24
    Donnerstag, 9. Juni 2011 11:38
    Beantworter
  • Hi,

    Am 09.06.2011 13:38, schrieb Martin Binder:

    Für Standorte brauchst keine OUs, das macht man über dssite.msc

    Dann versuch mal für den Standort in deiner Site eine Delegation
    einzurichten und erlaube einem "Standortadmin" die Verwaltung
    seiner Konten im Standort ... :-)

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    • Als Antwort markiert Patrick Kay Donnerstag, 16. Juni 2011 08:24
    Donnerstag, 9. Juni 2011 12:16
  • > Dann versuch mal für den Standort in deiner Site eine Delegation
    > einzurichten und erlaube einem "Standortadmin" die Verwaltung
    > seiner Konten im Standort ... :-)
     
    Jaaaaa.... Und Mandatory Policies an der Domain sind auch irgendwie
    fragwürdig, wenn ein anderer an ner Site GPOs verlinken darf.
     
    Ich bin stillschweigend davon ausgegangen, daß wir hier eine
    überschaubare Domäne mit nur wenigen, aber globalen Admins haben :)
     
    mfg Martin
     

    Kein MVP, kein MCSE. Nur ein wenig Erfahrung.
    Donnerstag, 9. Juni 2011 12:38
    Beantworter
  • Moin,

    Am 09.06.2011 14:38, schrieb Martin Binder:

    Ich bin stillschweigend davon ausgegangen, daß wir hier eine überschaubare Domäne mit nur wenigen, aber globalen Admins haben :)

    Es wird immer schlimmer, je länger ich das hier mache, desto mehr Angst
    habe ich vor Pauschalaussagen, weil mir zu jeder ein Gegenteil einfällt.
    Fürchterlich ...

    ;-)

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Donnerstag, 9. Juni 2011 14:05
  • > Es wird immer schlimmer,
     
    Na, dann kann's ja irgendwann nur noch besser werden :-)))
     
     

    Kein MVP, kein MCSE. Nur ein wenig Erfahrung.
    Donnerstag, 9. Juni 2011 14:07
    Beantworter
  • Vielen Dank an euch !

    Ich habe mir das mit „item-level targetting“ angeguckt und frage mich wieso ich das übersehen habe! Mein Problem ist das ich bei uns nicht wüsste nach welchen kriterien die Drucker oder Netzlaufwerke zugewiesen werden sollen. Es können 2 Personen im selben Raum verschiedene Drucker und komplett unterschiedliche Netzlaufwerke haben.

    Mein Fazit ist item level targetting gemixed mit meiner Variante !

    Eine Zusatzfrage noch: Viele GPOs oder wenige "große" ( Ich habe das natürlich versucht zu googeln und leider für mich keine richtige Antwort finden können. Also habe ich es einfach ausprobiert und keinen wirklichen unterschied festellen können. Bekomme ich hier erst Probleme bei langsamen Verbindungen?)

    Gruß
    Patrick

    Donnerstag, 9. Juni 2011 22:05
  • Am 09.06.2011 schrieb Martin Binder:

    Es wird immer schlimmer,

     
    Na, dann kann's ja irgendwann nur noch besser werden :-)))

    Die Hoffnung hat wohl jeder. Aber die Erfahrung der letzten Jahre... ;)

    Bye
    Norbert


    Dilbert's words of wisdom #10:
    I don't have an attitude problem. You have a perception problem.

    Donnerstag, 9. Juni 2011 22:44
    Moderator
  • > Eine Zusatzfrage noch: Viele GPOs oder wenige "große" ( Ich habe das
     
    Das ist schon fast eine philosophische Frage ;-)
     
    Für mich hat sich bewährt: Generelle Basis-Settings in wenige große
    GPOs, die sich fast nie ändern. Spezialisierte Settings, die sich ggf.
    auch noch öfter ändern, in viele kleine.
     
    mfg Martin
     

    Kein MVP, kein MCSE. Nur ein wenig Erfahrung.
    • Als Antwort markiert Patrick Kay Donnerstag, 16. Juni 2011 08:23
    Freitag, 10. Juni 2011 06:19
    Beantworter
  • > Die Hoffnung hat wohl jeder. Aber die Erfahrung der letzten Jahre... ;)
     
    Doch so schlimm? Ich hab "eigentlich" nicht den Eindruck - nur ist
    natürlich die Lernkurve beim einen oder anderen unterschiedlich steil...
     
    mfg Martin
     

    Kein MVP, kein MCSE. Nur ein wenig Erfahrung.
    Freitag, 10. Juni 2011 06:20
    Beantworter
  • Moin,

    Am 10.06.2011 08:19, schrieb Martin Binder:

    Für mich hat sich bewährt: Generelle Basis-Settings in wenige große
    GPOs, die sich fast nie ändern. Spezialisierte Settings, die sich ggf. auch noch öfter ändern, in viele kleine.

    Bin voll dabei. Ein klares Ja, so find ichs gut. Es ist immer der
    Versuch alles unter einen Hut zu bringen, der am Ende dazu führt, von
    allen Vorteilen, die meisten zu kombinieren.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    • Als Antwort markiert Patrick Kay Donnerstag, 16. Juni 2011 08:24
    Freitag, 10. Juni 2011 21:14