Window 2008 R2 und Windows 7 GPO Problem

Alle Antworten

• 

  

  1

  Anmelden

  Am 16.02.2014 schrieb mpng2008:

  ich habe einen Windows 2008 R2 Server, auf dem eine Domäne eingerichtet ist. Ich habe einigen GPO eingerichtet, aber es funktioniert keine von denen. Ich bin so vorgegangen, dass ich paar OUs eingerichtet habe und unter diese OUs dann die GPO und die sind auch gelinked. Nun wenn ein Windows 7 Client sich an Domäne verbindet, übernimmt der Windows client nur die Default domäne Policy und nicht die ich selbt definiert habe. Ich habe mehr mals gpupdate /force aufgeführt und den Rechner aus der Domäne genommen und wieder in der Domäne genommen und den Rechner neu gestartet.

  Die Clients müssen logischerweise auch in der OU abgelegt sein, auf
  der die GPOs verlinkt sind. Also immer von oben nach unten. Schau dir
  diese Anleitungen an:
  http://www.gruppenrichtlinien.de/erste-schritte/datum/

  ---

  Servus
  Winfried
  

  Gruppenrichtlinien
  WSUS Package Publisher
  HowTos zum WSUS Package Publisher
  NNTP-Bridge für MS-Foren

  Sonntag, 16. Februar 2014 11:16

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hi

  Am 17.02.2014 08:16, schrieb mpng2008:

  Ich habe ein OU erstellt und habe zwei Gruppen erstellt, in einer
  Gruppe sind die Clients drin und in anderer Gruppe die Users.

  Wozu der Aufwand?
  Benutzer übernehmen keine Computereinstellungen und
  Comptuer übernehmen keinen Benutzereinstellungen.

  Wenn User und Computer in einer OU sind, dann müssen die GPOs nicht gefiltert werden, weil Computereinstellungen nur auf Computern angewendet werden und andersrum.

  Was willst du überhaupt als Ziel erreichen? Welche Einstellung soll an den Clients ankommen?

  Tschö
  Mark

  ---

  Mark Heitbrink - MVP Windows Server - Group Policy

  Homepage: http://www.gruppenrichtlinien.de - deutsch
  GPO Tool: http://www.reg2xml.com - Registry Export File Converter

  Montag, 17. Februar 2014 10:17

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  > So habe ich bei einem Computer und einem USer probiert und es hat

  > funktioniert. Aber ich bin für jede Hilfe dankbar.

   

  Hm - funktioniert es nun oder funktioniert es nicht?

   

  In welcher OU befinden sich die Computerkonten? (NICHT die Gruppe, in

  die Du sie reingesteckt hast - Gruppen wenden keine GPOs an...)

   

  ---

  Martin
  
  Mal ein GUTES Buch über GPOs lesen?
  
  NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
  And if IT bothers me - coke bottle design refreshment :))

  Montag, 17. Februar 2014 12:15

  Antworten

  |

  Zitieren

  Beantworter
• 

  

  0

  Anmelden

  > Ich habe eine OU erstellt und die habe "test" genannt. Unter diese OU

  > "test" habe ich meine Computers hinzugefügt. Und unter diese OU "test"

  > habe ich meine GPO definiert. Liegt es daran, dass sowohl unter OU die

  > Computerkonten als auch in der Gruppe die Computerkonten hinzugefügt habe?

   

  Nein. Poste

   

  gpresult /r

   

  in einer Admin-Commandline.

   

  ---

  Martin
  
  Mal ein GUTES Buch über GPOs lesen?
  
  NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
  And if IT bothers me - coke bottle design refreshment :))

  Montag, 17. Februar 2014 12:38

  Antworten

  |

  Zitieren

  Beantworter
• 

  

  0

  Anmelden

  > USER SETTINGS

   

  Und wo sind die Computersettings? Administrative Commandline, dann

  klappt's :)

   

  ---

  Martin
  
  Mal ein GUTES Buch über GPOs lesen?
  
  NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
  And if IT bothers me - coke bottle design refreshment :))

  Montag, 17. Februar 2014 15:44

  Antworten

  |

  Zitieren

  Beantworter
• 

  

  0

  Anmelden

  Am 17.02.2014 12:51, schrieb mpng2008:

  ich verstehe nicht ganz, was du meinst? I habe zwei Gruppen
  definiert.

  Du brauchst die Gruppen nicht zur Filterung. Du kannst die Auth.Benutzer verwenden.

  Ich will damit erreichen, dass bestimmte User haben auf bestimmte
  Computer Local Admin Rechte und Remote Desktop Zugriff.

  Entweder so, wenn es PRO Computer eine Sicherheitsgruppe gibt:
  http://www.gruppenrichtlinien.de/artikel/lokaler-administrator-install-agent-delegation-pro-computer/

  oder so und Filter per ILT
  http://www.gruppenrichtlinien.de/artikel/verwaltung-der-lokalen-administratoren/

  Tschö
  Mark

  ---

  Mark Heitbrink - MVP Windows Server - Group Policy

  Homepage: http://www.gruppenrichtlinien.de - deutsch
  GPO Tool: http://www.reg2xml.com - Registry Export File Converter

  Montag, 17. Februar 2014 16:13

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  > Rechner(z.B "Test"), dann muss ich 10 verschiedenen GPOs definieren? Ist

  > es korrect so? Oder gibt es eine andere Lösung dafür?

   

  Jein... "Irgendwo" muß natürlich die Info stehen, wer auf welchem PC

  Admin werden soll - ob das jetzt 10 verschiedene GPOs sind oder ob das

  ein Attribut der Accounts im AD wird, ist prinzipiell egal...

   

  http://www.grouppolicy.biz/2010/01/how-to-use-group-policy-preferences-to-secure-local-administrator-groups/

   

  ---

  Martin
  
  Mal ein GUTES Buch über GPOs lesen?
  
  NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
  And if IT bothers me - coke bottle design refreshment :))

  Dienstag, 18. Februar 2014 12:08

  Antworten

  |

  Zitieren

  Beantworter
• 

  

  0

  Anmelden

  > Meine Frage war, das der User(Dummy) soll nur Admin Rechte auf den

  > Rechner(Test) haben und sonst nirgendwo.

  >

  > Muss ich dafür 10 ver. GPOs definieren, weil ich 10 Usern habe.

   

  Die 10 User sollen auf verschiedenen Rechnern Admin werden? Dann muß das

  irgendwo definiert sein... 10 GPOs oder der Name des jeweilgen Computers

  im Attribut wwwHomePage des Users im AD oder eine SQL-Datenbank oder xyz.

   

  Der Link aus dem letzten Post dürfte auch hilfreich sein.

   

  ---

  Martin
  
  Mal ein GUTES Buch über GPOs lesen?
  
  NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
  And if IT bothers me - coke bottle design refreshment :))

  Dienstag, 18. Februar 2014 13:49

  Antworten

  |

  Zitieren

  Beantworter
• 

  

  0

  Anmelden

  Am 18.02.2014 schrieb mpng2008:

  Meine Frage war, das der User(Dummy) soll nur Admin Rechte auf den Rechner(Test) haben und sonst nirgendwo.
  
  Muss ich dafür 10 ver. GPOs definieren, weil ich 10 Usern habe.

  Schau dir doch diesen Artikel an, sollte sein was Du suchst:
  http://www.gruppenrichtlinien.de/artikel/lokaler-administrator-install-agent-delegation-pro-computer/

  ---

  Servus
  Winfried
  

  Gruppenrichtlinien
  WSUS Package Publisher
  HowTos zum WSUS Package Publisher
  NNTP-Bridge für MS-Foren

  Dienstag, 18. Februar 2014 18:35

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hi,

  Am 18.02.2014 12:36, schrieb mpng2008:

  Nun habe ich eine Frage an dich. Ich habe z.B 10 Usern und diese
  Usern haben Client-Computers. Ich habe die wie oben erwähnt sowohl
  die Usern als auch die Computers in zwei Gruppen gepackt. Aber wenn
  ich so haben will, dass ein user(z.B "Dummy") hat local Admin Rechte
  nur auf diesen Rechner(z.B "Test"), dann muss ich 10 verschiedenen
  GPOs definieren?

  Nein, in einer mit 10 Einträgen die per Item Level Target Filter auf den Computername aussortieren. Oder eine einzige Regel und Sicherheitsgruppen. Steht in den Artikeln ...

  Tschö
  Mark

  ---

  Mark Heitbrink - MVP Windows Server - Group Policy

  Homepage: http://www.gruppenrichtlinien.de - deutsch
  GPO Tool: http://www.reg2xml.com - Registry Export File Converter

  Dienstag, 18. Februar 2014 21:26

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  > Computername aussortieren. Oder eine einzige Regel und

  > Sicherheitsgruppen. Steht in den Artikeln ...

   

  Oder eine einzige Regel mit Zielgruppenadressierung auf LDAP-Abfrage

  "msds-PrimaryComputer" :-)

   

  Aber lassen wir das, der TO versteht glaub nicht, was wir mit "irgendwo

  muß es festgelegt sein" meinen...

   

  ---

  Martin
  
  Mal ein GUTES Buch über GPOs lesen?
  
  NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
  And if IT bothers me - coke bottle design refreshment :))

  Mittwoch, 19. Februar 2014 08:22

  Antworten

  |

  Zitieren

  Beantworter
• 

  

  0

  Anmelden

  Am 19.02.2014 09:22, schrieb Martin Binder [MVP]:

  Aber lassen wir das, der TO versteht glaub nicht, was wir mit "irgendwo
  muß es festgelegt sein" meinen...

  Ja, ich glaube es fehlt noch das "klick" . Mir fallen aber auch keine besseren Worte ein, um es mal ganz anders zu erklären.

  Tschö
  Mark

  ---

  Mark Heitbrink - MVP Windows Server - Group Policy

  Homepage: http://www.gruppenrichtlinien.de - deutsch
  GPO Tool: http://www.reg2xml.com - Registry Export File Converter

  Mittwoch, 19. Februar 2014 09:48

  Antworten

  |

  Zitieren