none
[Gruppenrichtlinien] Windows 7 und Windows XP - additiv? RRS feed

  • Frage

  • Hi!

    Unsere PCs und Nutzer werden über mehrere Gruppenrichtlinien gegängelt. Dies sind noch im Wesentlichen Windows XP (x32) Pro Clients. Nun kommen in diesem Jahr auch schon so einige Windows 7 (x64) Clients dazu, wozu ich schon für den Testlauf GPOs erstellt habe, die z.B. vorher so nicht oder nicht so bequem machbar waren. Das klappt auch soweit auch prima.

    Alles das wird (u.a.) von einem Windows 2008 R2 x64 Enterprise Server aus geregelt. Dabei habe ich mich gefragt, ob die wesentlichen mitgelieferten Gruppenrichtlinien von XP und Windows 7 jetzt sozusagen additiv sind, d.h. sind die für Windows XP enthaltenen GPOs in denen für Windows 7 enthalten? Oder sind die GPOs in vielen Punkten unterschiedlich? Ist die Architektur evtl. unterschiedlich oder Funktionen untereinander nicht kompatibel?

    Die dahinterstehende Frage ist, muss ich evtl. für XP und 7 separate GPOs erstellen oder kann ich die für XP bestehenden einfach erweitern?

    Danke für Eure Hilfe vorab!
    Beste Grüße,
    Holger

    Freitag, 24. August 2012 06:16

Antworten

  • Hallo Holger,

    Okay, also dann doch getrennte Richtlinien für Win7 und XP.

    Wie gesagt, dass kommt immer auf den Einzelfalle an.
    90-95 Prozent deiner Richtlinien wirst du sowohl für XP als auch Win 7 benutzen können.

    Wie macht man das wohl praktisch am besten? Nach OS getrennte OUs erstellen, dann Unter-OUs mit den Einsatzbereichen machen und die Benutzer resp. Clients zuordnen?

    Wie man das organisieren will hängt ganz von deiner Organisation ab.
    Von OUs für einzelne Betriebssysteme halte ich jedoch wenig.
    Das ganze ist einfach sehr statisch.

    Das kann gut gehen, muss aber nicht.
    Spätestens wenn du irgendwann einen Rechner auf ein anderes OS hochziehst, müsstest du wieder daran denken den
    Computeraccount zu verschieben. Das geht auch skriptgesteuert, aber das würde ich eher WMI Filter vorziehen.

    Allgemein zum Thema "Welche AD Struktur soll ich benutzen" hat Alan Burchill einen sehr netten Blogeintrag geschrieben:

    http://www.grouppolicy.biz/2010/07/best-practice-active-directory-structure-guidelines-part-1/

    Hier ein paar Beispiele zum Thema WMI Filter für verschiedene OS Versionen:

    Wenn du z.B. die BuildNumber verwenden willst:

    XP x86:

    select * from Win32_OperatingSystem WHERE BuildNumber = 2600 AND ProductType="1"
    select * from Win32_ComputerSystem WHERE SystemType LIKE "%86%"

    Vista/7 x86:

    select * from Win32_OperatingSystem WHERE BuildNumber > 5999 AND BuildNumber < 7602 AND ProductType="1"
    select * from Win32_ComputerSystem WHERE SystemType LIKE "%86%"

    Vista/7 x64:

    select * from Win32_OperatingSystem WHERE BuildNumber > 5999 AND BuildNumber < 7602 AND ProductType="1"
    select * from Win32_ComputerSystem WHERE NOT SystemType LIKE "%86%"

    Liste der BuildNumbers:

    XP            = 2600
    2003          = 3790
    Vista/2008    = 6000
    Vista/2008SP1 = 6001
    Vista/2008SP2 = 6002
    7/2008R2      = 7600
    7/2008R2SP1   = 7601

    http://www.gaijin.at/lstwinver.php

    Die Unterscheidung x86 und x64 kannst du natürlich entfernen.

    Das war nur ein Beispiel von einem älteren Post von mir.


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!




    Dienstag, 25. September 2012 16:01
    Beantworter
  •  
    > select * from Win32_OperatingSystem WHERE BuildNumber > 5999 AND
    > BuildNumber < 7602 AND ProductType="1"
    >
    > select * from Win32_ComputerSystem WHERE NOT SystemType LIKE "%86%"
    >
     
    Hm - wenn ich das per Copy/Paste in einen Filter übernehme, dann geht
    es?!? Du hast aber schon bei "Queries" zweimal "Add" geklickt und beide
    Abfragen jeweils einzeln eingetragen? Oder hast du eine Abfrage gemacht
    und beide Zeilen in das gleiche Feld reingeschrieben? Das geht nicht...
     
    mfg Martin
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    • Als Antwort markiert HolgerHa Donnerstag, 27. September 2012 08:39
    Mittwoch, 26. September 2012 13:45
    Beantworter
  • Hallo,

    Noch einmal zum Verständnis, select * from Win32_ComputerSystem WHERE NOT SystemType LIKE "%86%" kannst du weglassen.

    Das hatte ich nur gepostet weil ich den ganzen WMI Block kopiert habe.

    WMI Filter sind immer mit einer AND Verknüpfung verbunden.
    Also wie Martin schon sagt, einzelne Filter erstellen.

    Am besten die Filter vorher testen, dann ersparst du dir eine Menge Zeit.

    http://www.gpoguy.com/FreeTools/FreeToolsLibrary/tabid/67/agentType/View/PropertyID/93/Default.aspx


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    • Als Antwort markiert HolgerHa Donnerstag, 27. September 2012 08:39
    Mittwoch, 26. September 2012 14:08
    Beantworter
  • Hallo Holger,

    Der WMI Filter gilt immer für die gesamte Policy.

    Ist der Filter "TRUE" wird die Richtlinie zur GPO-Liste hinzugefügt.
    Bei "FALSE" nicht.


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!


    Mittwoch, 26. September 2012 17:50
    Beantworter
  • reicht es nur den WMI-"Nur Windows 7" auf die für Windows 7 gültigen GPOs zu legen und der Rest wird auf Windows Xp angewandt?

    Nein, das reicht nicht aus.

    Folgendes Beispiel:

    GPO1 + Nur Win 7 Filter
    GPO2 + Nur Win 7 Filter
    GPO3 ohne Filter

    Wenn du jetzt einen Windows 7 Client hast,
    werden alle drei GPOs angewandt.

    Bei einem XP Client nur GPO3.


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    • Als Antwort markiert HolgerHa Dienstag, 2. Oktober 2012 06:04
    Donnerstag, 27. September 2012 20:54
    Beantworter

Alle Antworten

  • Am 24.08.2012 schrieb HolgerHa:

    Die dahinterstehende Frage ist, muss ich evtl. für XP und 7 separate GPOs erstellen oder kann ich die für XP bestehenden einfach erweitern?

    Ich würde für W7 eigene neue GPOs auf einem W7/W2008R2 erstellen. Wenn
    Du XP und W7 in den gleichen OUs verwalten möchtest, so kannst Du das
    tun. Entweder mit Hilfe eines WMI Filters oder einfach so lassen. Ein
    XP kann mit speziellen W7 GPOs nichts anfangen und ignoriert sie
    einfach.

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Freitag, 24. August 2012 13:46
  • Hi,
     
    Am 24.08.2012 08:16, schrieb HolgerHa:
    > muss ich evtl. für XP und 7 separate GPOs erstellen oder kann ich die
    > für XP bestehenden einfach erweitern?
     
    Das liegt am Inhalt deiner vorhandenen Richtlinien und kann nicht
    pauschal beantwortet werden.
     
    Der Bildschirmschoner ist imemr noch der identische Registry Wert, WSUS
    Settings haben sich nicht geändert etc. aber (fast) alles wo Pfade zu
    32Bit Programmen oder zum Benutzerprofil definiert wurden fliegt dir um
    die Ohren.
     
    Aber grundsätzlich, sind nur weitere Einstellungen hinzugekommen, die
    alten sind noch vorhanden.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm
     
    Freitag, 24. August 2012 16:19
  • Hallo!

    Danke für die Antworten!
    Da wir kaum oder garkeine dezidierte GPOs nur für 32bit haben, werde ich sie zusammenfügen. Ggf. muss ich dann evtl. nochmal per WMI unterteilen. In jedem Bereich wird es zukünftig beide OS-Typen geben, so dass ich dann immer in XP und Win7x64-Rechner unterteilen müsste. Das wird warscheinlich mal zu unübersichtlich.

    Beste Grüße & Danke,
    Holger

    Donnerstag, 20. September 2012 11:57
  • Hallo Holger,

    Der Bildschirmschoner ist imemr noch der identische Registry Wert, WSUS

    Settings haben sich nicht geändert etc. aber (fast) alles wo Pfade zu
    32Bit Programmen oder zum Benutzerprofil definiert wurden fliegt dir um

    die Ohren.

    Nicht zu vergessen "Folder Redirection".
    Hier solltest du definitiv eigene Richtlinien für XP und Windows 7 anlegen.

    Der größte Killer sind in der Regel Richtlinien die Skripte enthalten.
    Diese musst du natürlich auf Kompatibilität prüfen.

    (noch besser wenn möglich gleich durch Group Policy Preferences abschaffen, aber dass ist ein anderes Thema)


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!


    Donnerstag, 20. September 2012 20:55
    Beantworter
  • Hallo Matthias!

    Okay, also dann doch getrennte Richtlinien für Win7 und XP.
    Wie macht man das wohl praktisch am besten? Nach OS getrennte OUs erstellen, dann Unter-OUs mit den Einsatzbereichen machen und die Benutzer resp. Clients zuordnen? Gibt's da evtl. irgendwo mal eine Anwendungsbeispiel für das Szenario bei MS?

    Einige der Skripte lassen sich leider nicht per GPO steuern. Zumindest wüsste ich nicht wie, da bei uns nicht nur einige Kopier- und Installationsprozesse, sondern auch einige Reg-Werte nach Benutzer und Computer übergeben werden.
    Dienstag, 25. September 2012 12:52
  • Hallo Holger,

    Okay, also dann doch getrennte Richtlinien für Win7 und XP.

    Wie gesagt, dass kommt immer auf den Einzelfalle an.
    90-95 Prozent deiner Richtlinien wirst du sowohl für XP als auch Win 7 benutzen können.

    Wie macht man das wohl praktisch am besten? Nach OS getrennte OUs erstellen, dann Unter-OUs mit den Einsatzbereichen machen und die Benutzer resp. Clients zuordnen?

    Wie man das organisieren will hängt ganz von deiner Organisation ab.
    Von OUs für einzelne Betriebssysteme halte ich jedoch wenig.
    Das ganze ist einfach sehr statisch.

    Das kann gut gehen, muss aber nicht.
    Spätestens wenn du irgendwann einen Rechner auf ein anderes OS hochziehst, müsstest du wieder daran denken den
    Computeraccount zu verschieben. Das geht auch skriptgesteuert, aber das würde ich eher WMI Filter vorziehen.

    Allgemein zum Thema "Welche AD Struktur soll ich benutzen" hat Alan Burchill einen sehr netten Blogeintrag geschrieben:

    http://www.grouppolicy.biz/2010/07/best-practice-active-directory-structure-guidelines-part-1/

    Hier ein paar Beispiele zum Thema WMI Filter für verschiedene OS Versionen:

    Wenn du z.B. die BuildNumber verwenden willst:

    XP x86:

    select * from Win32_OperatingSystem WHERE BuildNumber = 2600 AND ProductType="1"
    select * from Win32_ComputerSystem WHERE SystemType LIKE "%86%"

    Vista/7 x86:

    select * from Win32_OperatingSystem WHERE BuildNumber > 5999 AND BuildNumber < 7602 AND ProductType="1"
    select * from Win32_ComputerSystem WHERE SystemType LIKE "%86%"

    Vista/7 x64:

    select * from Win32_OperatingSystem WHERE BuildNumber > 5999 AND BuildNumber < 7602 AND ProductType="1"
    select * from Win32_ComputerSystem WHERE NOT SystemType LIKE "%86%"

    Liste der BuildNumbers:

    XP            = 2600
    2003          = 3790
    Vista/2008    = 6000
    Vista/2008SP1 = 6001
    Vista/2008SP2 = 6002
    7/2008R2      = 7600
    7/2008R2SP1   = 7601

    http://www.gaijin.at/lstwinver.php

    Die Unterscheidung x86 und x64 kannst du natürlich entfernen.

    Das war nur ein Beispiel von einem älteren Post von mir.


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!




    Dienstag, 25. September 2012 16:01
    Beantworter
  • Hallo Matthias!

    Danke für Deine Anleitung udn Hilfe.
    Die Struktur ist nach Best Practice bereits angelegt, ist aber eben auch nicht so kompliziert

    - Intranet
    --- Einrichtung
    --- Abteilung
    ---- Usergruppe
    ----- User.

    Das wirklich spezielle sollten die Windows 7-Desktopsymbole und der Bildschirmschoner bzw. Hintergrund sein. Da würde ich mit einem WMI-Filter arbeiten.

    Bei Versuch jedoch mit WMI-Filter und den Vorgaben, die Du als Beispiel (win 7 x64) genannt hast, einen Filter zu erstellen, bekomme ich die Fehlermeldung: "Beim Auswerten der Abfragezeichenfolge ist ein Fehler aufgetreten" Mir ist dabei aber auch nicht klar in welchem Namespace ich das machen soll oder was dort angegeben werden müsste. Dort steht von Vornhinein  "root/CIMv2" . Das soll laut MS für die meisten WMI-Filterungen reichen. Ist evtl. was in der Zeichenfolge falsch? Fehlt ein Zeichen, Seperator?

    Kann man die WMI-Filter auch kombinieren, d.h. wenn ich mich nicht alleine auf die Built-Nr. verlassen möchte, kann ich dann auch z.B. zusätzlich im gleichen Filter "Root\CimV2; Select * from Win32_OperatingSystem where Caption = "Microsoft Windows 7 Professional" benutzen, damit ich wirklich alle Win7-Rechner erfasse (Wir werden nur x64-Bit Win7 einsetzen. Alles andere macht keinen Sinn.)

    Mittwoch, 26. September 2012 08:18

  • welchem Namespace ich das machen soll oder was dort angegeben werden müsste. Dort steht von Vornhinein  "root/CIMv2" . Das soll laut MS für die meisten WMI-Filterungen reichen. Ist evtl. was in der Zeichenfolge falsch? Fehlt ein Zeichen, Seperator?

    CimV2 stimmt. Du hast nen Tippfehler drin - poste doch einfach mal den Query-String...


    Kann man die WMI-Filter auch kombinieren, d.h. wenn ich mich nicht alleine auf die Built-Nr. verlassen möchte, kann ich dann auch z.B. zusätzlich im gleichen Filter "Root\CimV2; Select * from Win32_OperatingSystem where Caption = "Microsoft Windows 7 Professional" benutzen, damit ich wirklich alle Win7-Rechner erfasse (Wir werden nur x64-Bit Win7 einsetzen. Alles andere macht keinen Sinn.)



    Nicht erforderlich - die Buildnummer in Verbindung mit dem ProductType ist eindeutig genug.


    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Mittwoch, 26. September 2012 09:01
    Beantworter
  • Hi Martin!

    Ich habe es einfach so eingefügt, wie im obigen Beispiel:

    select * from Win32_OperatingSystem WHERE BuildNumber > 5999 AND BuildNumber < 7602 AND ProductType="1"
    select * from Win32_ComputerSystem WHERE NOT SystemType LIKE "%86%"

    Damit bekomme ich diese Meldung. Ist darin ein Fehler? Mache ich einen Fehler?

    Das Anlegen eines anderen WMI-Filters
    Select * from win32_service where name=”IMAService”  geht.


    • Bearbeitet HolgerHa Mittwoch, 26. September 2012 12:35
    Mittwoch, 26. September 2012 09:06
  •  
    > select * from Win32_OperatingSystem WHERE BuildNumber > 5999 AND
    > BuildNumber < 7602 AND ProductType="1"
    >
    > select * from Win32_ComputerSystem WHERE NOT SystemType LIKE "%86%"
    >
     
    Hm - wenn ich das per Copy/Paste in einen Filter übernehme, dann geht
    es?!? Du hast aber schon bei "Queries" zweimal "Add" geklickt und beide
    Abfragen jeweils einzeln eingetragen? Oder hast du eine Abfrage gemacht
    und beide Zeilen in das gleiche Feld reingeschrieben? Das geht nicht...
     
    mfg Martin
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    • Als Antwort markiert HolgerHa Donnerstag, 27. September 2012 08:39
    Mittwoch, 26. September 2012 13:45
    Beantworter
  • Hallo,

    Noch einmal zum Verständnis, select * from Win32_ComputerSystem WHERE NOT SystemType LIKE "%86%" kannst du weglassen.

    Das hatte ich nur gepostet weil ich den ganzen WMI Block kopiert habe.

    WMI Filter sind immer mit einer AND Verknüpfung verbunden.
    Also wie Martin schon sagt, einzelne Filter erstellen.

    Am besten die Filter vorher testen, dann ersparst du dir eine Menge Zeit.

    http://www.gpoguy.com/FreeTools/FreeToolsLibrary/tabid/67/agentType/View/PropertyID/93/Default.aspx


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    • Als Antwort markiert HolgerHa Donnerstag, 27. September 2012 08:39
    Mittwoch, 26. September 2012 14:08
    Beantworter
  • Hallo Martin! Hallo Matthias!

    Danke für Eure Tipps und Korrektur.
    Ja, das war mein Fehler: Ich habe beide Parameter in eine Abfrage gepackt.
    Einzeln oder nur alleine geht natürlich.

    Getestet wird nun morgen, aber ich denke, es wird klappen.

    Dennoch noch eine Zusatzfrage, ob ich das richtig verstehe: 
    Werden bei Anwendung des WMI-Filters für "Nur Win 7"-GPO auch alle Benutzervorgaben per GPO für die Windows 7-Nutzer übergeben, so nach der Systematik: WMI-Filter auf das "Nur-Win 7"-GPO-Element ist gesetzt. Es wird geguckt, ob der Nutzer ein Win 7-System nutzt und dann werden ihm alle Benutzereinstellungen für Windows 7, also z.B. Desktophintergrund, BSS und Icons, entsprechend verpasst. Nutzt er hingegen XP, greifen die Benutzerspezifischen GPOs (für Win 7) halt nicht?

    P.S.: Klasse Tool der WMI-Tester!

    • Bearbeitet HolgerHa Mittwoch, 26. September 2012 14:16
    Mittwoch, 26. September 2012 14:15
  • Hi,
     
    Am 26.09.2012 16:15, schrieb HolgerHa:
    > Dennoch noch eine Zusatzfrage, ob ich das richtig verstehe:
     
    Rate mal ... was wäre logisch? wie müsste es sein?
    Nimm die erste Antwort die dir einfällt.
    SCNR
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm
     
    Mittwoch, 26. September 2012 16:06
  • Hallo Holger,

    Der WMI Filter gilt immer für die gesamte Policy.

    Ist der Filter "TRUE" wird die Richtlinie zur GPO-Liste hinzugefügt.
    Bei "FALSE" nicht.


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!


    Mittwoch, 26. September 2012 17:50
    Beantworter
  • Hallo Matthias!

    Das funktioniert soweit. Danke für die Grafik.
    Macht es dahingehend noch Sinn, die einzelnen GPOs mit dem jeweiligen Filter "Nur Windows 7" und "Nur Windows XP" zu belegen oder reicht es nur den WMI-"Nur Windows 7" auf die für Windows 7 gültigen GPOs zu legen und der Rest wird auf Windows Xp angewandt?


    Donnerstag, 27. September 2012 08:14
  • Hallo,

    gut dass es jetzt funktioniert.

    Könntest Du bitte auch die Antworten markieren, die Dir geholfen haben?

    So dass auch andere davon profitieren können.

    Danke & Gruss,
    Raul


    Raul Talmaciu, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Donnerstag, 27. September 2012 08:16
  • reicht es nur den WMI-"Nur Windows 7" auf die für Windows 7 gültigen GPOs zu legen und der Rest wird auf Windows Xp angewandt?

    Nein, das reicht nicht aus.

    Folgendes Beispiel:

    GPO1 + Nur Win 7 Filter
    GPO2 + Nur Win 7 Filter
    GPO3 ohne Filter

    Wenn du jetzt einen Windows 7 Client hast,
    werden alle drei GPOs angewandt.

    Bei einem XP Client nur GPO3.


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    • Als Antwort markiert HolgerHa Dienstag, 2. Oktober 2012 06:04
    Donnerstag, 27. September 2012 20:54
    Beantworter
  • Hallo Matthias!

    Das heißt also im Endeffekt, dass ich jede GPO mit einem entsprechenden WMI-Filter belegen muss, die a) entweder ausschließlich für XP ist oder nur für Win 7 gelten soll. b) Lasse ich den Filter weg, wird die GPO logischerweise auf beide OS angewandt (wenn kompatibel).

    Das macht Sinn. Danke für Deine Antwort. Gehen wir dann mal in die Probephase.

    Beste Grüße & Danke,
    Holger

    Dienstag, 2. Oktober 2012 06:03