none
USER GPO nur auf bestimmten Clients beschränken RRS feed

  • Frage

  • wie gehe ich am besten vor wenn ich eine USER GPO einsetzen möchte, aber nur wenn der Benutzer an einem Laptop und nicht an einem Desktop eingeloggt ist. Explizit geht es um die CACHE Einstellung in Outlook die ich nur auf Laptops aktivieren möchte. Dies ist eine ADM Vorlage für USERS. Unsere User loggen sich aber manchmal auch auf Desktops an.
    Mittwoch, 7. Dezember 2011 10:32

Antworten

  •  > 1. Loopback:
     
    Nicht zu empfehlen - führt oft zu unerwarteten (aber naheliegenden)
    Ergebnissen.
     > 2. WMI-Filter
     
    Bdingt zu empfehlen - ist oft langsam.
     > 3. GPP
     
    Dem schließe ich mich an - Group Policy Preferences mit einem Item Level
    Targeting entweder auf "Batterie vorhanden" oder "Tragebarer Computer".
    Die notwendigen Regkeys kannst Dir aus der ADM-Vorlage von Office
    raussuchen.
     
    mfg Martin
     

    A bissle "Experience", a bissle GMV...
    • Als Antwort markiert HorNet505 Dienstag, 13. Dezember 2011 01:17
    Mittwoch, 7. Dezember 2011 16:52
    Beantworter
  • >wie erreiche ich das Gegenteil "IST NICHT GLEICH"

    etwas anders:

    Select * from Win32_PhysicalMemory where NOT FormFactor = 12


    MVP - Group Policy http://matthiaswolf.blogspot.com/
    Mittwoch, 4. Januar 2012 17:05
    Beantworter

Alle Antworten

  • Hallo,

    es gibt verschiedene Möglichkeiten:

    1. Loopback:

    Aktiviere Loopback und filtere die Gruppenrichtlinie. (Sicherheitseinstellungen der Richtlinie).
    http://www.msxfaq.de/verschiedenes/gpo.htm

    Allerdings gilt dass immer für alle Richtlinien und ist nicht per GPO einzustellen.

    2. WMI-Filter

    Erstelle einen WMI-Filter, der ein Kennzeichen abfragt, dass nur bei Notebooks vorhanden ist.

    http://blogs.technet.com/b/heyscriptingguy/archive/2004/09/21/how-can-i-determine-if-a-computer-is-a-laptop-or-a-desktop-machine.aspx

    http://blogs.itacs.de/HS/Lists/Beitraege/Post.aspx?ID=52

    3. GPP

    Wenn du Group Policy Preferences verwendest (was bei dir jetzt nicht zutrifft),
    kannst du per Item Level Targeting filtern.

    http://technet.microsoft.com/en-us/library/cc733022.aspx

     


    MVP - Group Policy http://matthiaswolf.blogspot.com/
    Mittwoch, 7. Dezember 2011 12:10
    Beantworter
  •  > 1. Loopback:
     
    Nicht zu empfehlen - führt oft zu unerwarteten (aber naheliegenden)
    Ergebnissen.
     > 2. WMI-Filter
     
    Bdingt zu empfehlen - ist oft langsam.
     > 3. GPP
     
    Dem schließe ich mich an - Group Policy Preferences mit einem Item Level
    Targeting entweder auf "Batterie vorhanden" oder "Tragebarer Computer".
    Die notwendigen Regkeys kannst Dir aus der ADM-Vorlage von Office
    raussuchen.
     
    mfg Martin
     

    A bissle "Experience", a bissle GMV...
    • Als Antwort markiert HorNet505 Dienstag, 13. Dezember 2011 01:17
    Mittwoch, 7. Dezember 2011 16:52
    Beantworter
  • >Nicht zu empfehlen - führt oft zu unerwarteten (aber naheliegenden)
    >Ergebnissen.
     
    Stimme ich zu.
    Allerdings nur dann, wenn sich im Vorfeld nur wenige Gedanken macht wurden.

    Das Ganze umfasst mehr als nur das Aktivieren von Loopback.
    Es gibt keine klare Empfehlung, es kommt darauf an wie euer AD strukturiert ist.
    Wir nutzen z.B. auschließlich Loopback (Replace).
    Ist es also komplizierter? Habe ich dadurch großartige Nachteile? 

    Nein, weil ich weiß es ist völlig egal wo mein
    User steckt (im AD), die Policy wird anhand des Computerobjektes angewandt.
    Wie bei allem, man muss wissen was man tut.

    Für deinen Anwendungsfall wäre evtl. GPP ILT interessant.

    Hier noch einmal eine Übersicht über die Filtermechanismen:

    http://blogs.technet.com/b/grouppolicy/archive/2009/07/30/security-filtering-wmi-filtering-and-item-level-targeting-in-group-policy-preferences.aspx
    Was ich mir gerade als Frage stelle, wie ermittelt eigentlich die CSE für GPP z.B. "Battery-Present" ITL...
    Ich vermute es ist hardcoded in der CSE....

    PS:
    WMI-Filter innerhalb von GPP sind etwas performanter als normale WMI-Filter.

    MVP - Group Policy http://matthiaswolf.blogspot.com/

    Mittwoch, 7. Dezember 2011 20:35
    Beantworter
  • > Was ich mir gerade als Frage stelle, wie ermittelt eigentlich die CSE
    > für GPP z.B. "Battery-Present" ITL...
    > Ich vermute es ist hardcoded in der CSE....
     
    Hab ich mich auch schon gefragt - aber die Jungs von Desktop Standards
    scheinen da großen Wert auf performante Filter gelegt zu haben - ich
    würde spontan raten, dass da entweder direkt im Win32-API oder direkt in
    der Registry nach bestimmten Eigenschaften gesucht wird.
     
    > WMI-Filter innerhalb von GPP sind etwas performanter als normale WMI-Filter.
     
    Win32_Product im Gegensatz zum ILT auf "MSI-Informationen" (:
     
    mfg Martin
     

    A bissle "Experience", a bissle GMV...
    Mittwoch, 7. Dezember 2011 20:52
    Beantworter
  • >  >Nicht zu empfehlen - führt oft zu unerwarteten (aber naheliegenden)
    >  >Ergebnissen.
    > Stimme ich zu.
    > Allerdings nur dann, wenn sich im Vorfeld nur wenige Gedanken macht wurden.
     
    Hi, Matthias. Deshalb ja auch "aber naheliegenden" (: Wenn man weiß (und
    zwar GENAU), was man tut, dann ist Loopback (Merge oder Replace)
    tatsächlich sehr brauchbar. Vor allem - wie wir unlängs ja bemerkt haben
    - mit diesem Feature "Computer braucht Read bei Merge".
     
    mfg Martin
     

    A bissle "Experience", a bissle GMV...
    Mittwoch, 7. Dezember 2011 20:56
    Beantworter
  • BTW ;)


    >mit diesem Feature "Computer braucht Read bei Merge"

    http://matthiaswolf.blogspot.com/2011/11/gpo-loopback-benotigt-leserechte-fur.html

     


    MVP - Group Policy http://matthiaswolf.blogspot.com/
    Mittwoch, 7. Dezember 2011 22:15
    Beantworter
  • Am 07.12.2011 21:52, schrieb Martin Binder:

    Hab ich mich auch schon gefragt - aber die Jungs von Desktop Standards scheinen da großen Wert auf performante Filter gelegt zu haben

    Wenn ich es euch verrate, müsste ich euch hinterher töten ... :-D

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Donnerstag, 8. Dezember 2011 22:47
  • Ok, dann lass uns einfach in dem Glauben dass ITL etwas ganze tolles,

    revolutionäres, bahnbrechend Neues, wahnsinnig performantes ist :)




    MVP - Group Policy http://matthiaswolf.blogspot.com/
    Freitag, 9. Dezember 2011 09:24
    Beantworter
  • Hallo,

    haben die Tipps weitergeholfen?

    Gruss,
    Raul

    Montag, 12. Dezember 2011 12:37
  •  danke für die anregende Diskussion. ILT klingt gut.

    Ich habe im AD jetzt trotzdem alle LAPTOP USER in eine eigene Gruppe gepackt und dieser über die Sicherheitseinstellungen die GPO Zuweisung verweigert.

    Aber ILT muss ich mich mal reinlesen denn wenn der User aus der Gruppe nun an einen Desktop geht sollte die GPO nicht angewandt werden. Wenn das überhaupt geht.....denn wenn die Registry Daten einmal durchgesetzt wurden, werden diese ja nicht Rückgängig gemacht sollte kein Laptop vorhanden sein, oder?

    Dienstag, 13. Dezember 2011 01:22
  • > nun an einen Desktop geht sollte die GPO nicht angewandt werden. Wenn
    > das überhaupt geht.....denn wenn die Registry Daten einmal durchgesetzt
    > wurden, werden diese ja nicht Rückgängig gemacht sollte kein Laptop
    > vorhanden sein, oder?
     
    Deshalb machst Du zwei Reg-Sammlungen, die die Keys entsprechend setzt -
    eine für Laptops, eine für Desktops. Eine mit ILT auf "Tragbarer
    Computer = Wahr", die andere mit ILT auf "Tragbarer Computer = Falsch".
     
    mfg Martin
     

    A bissle "Experience", a bissle GMV...
    Dienstag, 13. Dezember 2011 08:06
    Beantworter
  • ach es geht doch nichts über etwas Erfahrung,

    Danke Martin!!

    Mittwoch, 14. Dezember 2011 13:57
  • wenn ich einen WMI Filter habe der Laptops filter:

    Select * from Win32_PhysicalMemory where FormFactor = 12

     

    wie erreiche ich das Gegenteil "IST NICHT GLEICH"

    Select * from Win32_PhysicalMemory where FormFactor IS NOT 12       ?

    Mittwoch, 4. Januar 2012 14:47
  • >wie erreiche ich das Gegenteil "IST NICHT GLEICH"

    etwas anders:

    Select * from Win32_PhysicalMemory where NOT FormFactor = 12


    MVP - Group Policy http://matthiaswolf.blogspot.com/
    Mittwoch, 4. Januar 2012 17:05
    Beantworter
  • Guck mal hier:
     
    Insbesondere die weiterführenden Links...
     
    mfg Martin
     

    A bissle "Experience", a bissle GMV... Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Donnerstag, 5. Januar 2012 19:21
    Beantworter