none
GPO Reihenfolge RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden
    Hey,
    hab mal ne kleine Frage zur Abarbeitung von GPO's.
    Wir sind aktuell dabei einige GPO's zu mergen/konsolidieren um die Anzahl an GPO's zu reduzieren.
    Wir haben in einer GPO z. B. Makroeinstellungen (Zugriff verweigert) für Office getätigt über admx Templates.
    Jetzt würden wir gerne in der selben GPO in den GPP's (Registry) Makros zulassen und dort mit der Zielgruppenadressierung (anhand von einer AD Gruppe) arbeiten. Wie verhält sich das dann mit der Reihenfolge der Abarbeitung? Danke und Gruß Dennis
    Mittwoch, 22. November 2017 16:19
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Am 22.11.2017 schrieb HaschkeD:

    Wir sind aktuell dabei einige GPO's zu mergen/konsolidieren um die Anzahl an GPO's zu reduzieren.
    Wir haben in einer GPO z. B. Makroeinstellungen (Zugriff verweigert) für Office getätigt über admx Templates.
    Jetzt würden wir gerne in der selben GPO in den GPP's (Registry) Makros zulassen und dort mit der Zielgruppenadressierung (anhand von einer AD Gruppe) arbeiten. Wie verhält sich das dann mit der Reihenfolge der Abarbeitung? Danke und Gruß Dennis

    1:
    https://www.gruppenrichtlinien.de/artikel/client-side-extensions-cses/

    2:
    https://www.gruppenrichtlinien.de/artikel/vererbung-und-hierarchien/

    Servus
    Winfried

    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Mittwoch, 22. November 2017 17:06
    |
  • Question
    Anmelden
    0
    Anmelden
    Hi,
     
    Am 22.11.2017 um 17:19 schrieb HaschkeD:
    > Wir haben in einer GPO z. B. Makroeinstellungen (Zugriff verweigert) für
    > Office getätigt über admx Templates.
    > Jetzt würden wir gerne in der selben GPO in den GPP's (Registry)
     
    Technikwechsel bringt alles durcheinander.
     
    Die Reihenfolge der Richtlinien spielt jetzt keine Rolle mehr. Die CSE
    DLLs verarbeiten die Einstellungen nur "innerhalb" ihrer CSE in der
    "richtigen" Reihenfolge. Die Reihenfolge der CSEs ist aufsteigend
    hardcodiert und unmanipulierbar.
     
    ADM Registry kommt immer VOR GPP Registry. Somit wird GPP immer
    gewinnen, egal ob die ADM GPO erzwungen ist oder nach oben sortiert ist.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT
     
    Mittwoch, 22. November 2017 17:55
    |
  • Question
    Anmelden
    0
    Anmelden

    Hey,
    hab die beiden Links gelesen, soweit klar.
    Wobei da ja nicht drauf eingegangen wird wie sich die Reihenfolge von den CSEs (adm) und GPP verhält.
    Aber das hat Mark ja erklärt.

    @Mark
    Du sagst Technikwechsel bringt alles durcheinander...
    Was würdest du uns empfehlen? Nach Möglichkeit versuchen alles über die CSEs (adms) zu machen soweit möglich auch wenn es mehr GPOs in unserer Domäne bedeutet?
    Und die GPPs (Registry Teil) dann nur nutzen wenn ich das über die adms nicht steuern kann?

    Beispiel Bildschirmschoner:
    Wollen z. B. für Unterschiedl. OU's Bildschirmschoner definieren.
    1. Möglichkeit
    Für jeden Schoner eine eigene GPO mit den Einstellungen über die adms und gebunden an die jeweilige OU
    2. Möglichkeit (meine präferierte)
    Eine GPO und Steuerung über GPPs (Registry Teil) mit Zielgruppenadressierung auf die jeweilige OU.

    Donnerstag, 23. November 2017 11:27
    |
  • Question
    Anmelden
    0
    Anmelden
    Hi,
     
    Am 23.11.2017 um 12:27 schrieb HaschkeD:
    > Was würdest du uns empfehlen? Nach Möglichkeit versuchen alles über die
    > CSEs (adms) zu machen soweit möglich
    Nö. das ist ja schei**egal. Es geht darum, daß du nicht /dieselben/
    Werte mit unterschiedlicher Technik (CSE) definierst.
     
    Gleiche Problem hast du, wenn die Werte einmal per GPO verteilt werden
    und ein anderes mal über das Softwaredeployment ...
     
    Ein Wert = Eine Technik
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT
     
    Donnerstag, 23. November 2017 13:18
    |
  • Question
    Anmelden
    0
    Anmelden
    Am 23.11.2017 um 12:27 schrieb HaschkeD:
    > Beispiel Bildschirmschoner: [...]
     
    Man braucht nur 2 Bildschirmschoner GPOs:
    - an
    - aus
     
    Der REst wird entweder passend verlinkt oder über die Sichrheitsgruppe
    des Users geregelt inkl. Loopback.
     
    Alternativ: Weg mit dem Bildschirmschoner. Ersetze ihn durch dein
    Sperrbildschirm auf Computer Ebene: Sicherheitsoptionen \
     Interaktive Anmeldung: Interaktivitätsgrenze des Computers
     
    Auch hier gilt, es gibt nur An oder Aus ...
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT
     
    Donnerstag, 23. November 2017 13:22
    |
  • Question
    Anmelden
    0
    Anmelden

    Wollen z. B. für Unterschiedl. OU's Bildschirmschoner definieren.

    Schön, wenn man sich selber zitieren kann :-))

    http://evilgpo.blogspot.de/2012/03/how-to-save-my-screen.html

    Entgegen der Meinung von Mark finde ich die Kombination von ADM-Vorlage mit spezialisierter GPP Registry und ILT sehr spannend. Nur mußt Du dann wissen, was Du tust. Ein GPP Registry, der wegen ILT herausgefiltert wurde, taucht im RSoP-Bericht nicht auf, das kann verwirren. Und das, was nicht herausgefiltert wird, taucht zwar auf - aber ohne Begründung.

    Eine GPO und Steuerung über GPPs (Registry Teil) mit Zielgruppenadressierung auf die jeweilige OU.

    Implementiere Shadow Groups und mach das über Gruppenmitgliedschaften. Geht schneller, weil die lokal ausgewertet werden können (TGT/Token Groups). OU muß m.W. zur Laufzeit im AD ermittelt werden.

    Donnerstag, 23. November 2017 15:44
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden
    Servus
     
    Am 23.11.2017 um 16:44 schrieb Martin Binder [MVP]:
    > [...] Nur mußt Du dann wissen, was Du tust.
     
    Das ist ja das Problem :-D
     
    Mark
     
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT
     
    Donnerstag, 23. November 2017 17:15
    |