none
GPO in mehreren OU's aber nur für bestimmte Server? RRS feed

  • Frage

  • OU: A
    User1
    User2
    GPO1
    
    OU: B
    User 3
    User 4
    GPO1
    
    OU: C
    Server1
    Server2
    Server3

    Nun soll GPO1 allerdings nur für Server2 und Server3 gültig sein. Wie kann ich das am elegantesten lösen? Bisher bin ich nur auf ein WMI Filter gestossen, was ich sehr unpraktisch finde.

    Hintergrund: die GPO's sollen nur auf die Terminal Server genutzt werde

    Danke!

    Mittwoch, 5. Februar 2014 07:02

Antworten

Alle Antworten

  • Hallo,

    Du kannst doch entsprechende OU auch für die Server erstellen und die GPO dann dorthin verknüpfen.

    Als Beispiel kannst du eine zusätzliche OU für die Terminal-Server erstellen.

    Gruß
    Stefan 


    st_fbg

    Mittwoch, 5. Februar 2014 07:22
  • Hallo,

    ich würde zum Beispiel eine OU "TS" unterhablb der OU "C" anlegen und dort die GPO für die Terminalserver verknüpfen.

    Somit hat Stefan mit seiner Aussage in meinen Augen Recht.

    Gruß

    Hannes

    Mittwoch, 5. Februar 2014 07:38
  • Dann greifen aber nicht die Benutzer bezogenen Einstellungen, doch nur die Computereinstellungen oder verstehe ich da was falsch!?
    Mittwoch, 5. Februar 2014 07:41
  • Hallo,

    OU A:
    User1
    User2
    GPO1 verknüpft mit OU A.

    OU C:
    Server1
       - OU TS:
         Server2

         Server3
         GPO1 verknüpft mit OU TS.

    So sollte das funktionieren.

    Gruß
    Stefan


    st_fbg

    Mittwoch, 5. Februar 2014 07:48
  • das würde doch bedeuten das die Usereinstellungen (z.B. Logon Script) der GPO1 für User1 auch auf Server1 genutzt werden, was genau ich damit nicht erreich möchte!?
    Mittwoch, 5. Februar 2014 07:52
  • Hallo,

    da die GPO 1 nicht mit der OU C verknüpft ist gelten die Einstellungen auch nicht für Server 1.

    Versuch es doch einfach mal.

    Gruß
    Stefan


    st_fbg

    Mittwoch, 5. Februar 2014 07:54
  • Hallo,

    da die GPO 1 nicht mit der OU C verknüpft ist gelten die Einstellungen auch nicht für Server 1.

    Versuch es doch einfach mal.

    Gruß
    Stefan


    st_fbg

    Habe ich eben wie folgt:

    root
    Server1
    
    OU1
    --OU2
    ---User1
    ---GPO1
    --OU3
    ---Server2

    Allein damit ist es schon der Fall das egal wo User1 sich anmeldet die GPO1 mit deren Benutzereinstellungen zum tragen kommt... so habe ich GPO's bisher auch verstanden!? (und eben auch getestet)

    Mittwoch, 5. Februar 2014 08:10
  • > Nun soll GPO1 allerdings nur für Server2 und Server3 gültig sein. Wie
    > kann ich das am elegantesten lösen? Bisher bin ich nur auf ein WMI
    > Filter gestossen, was ich sehr unpraktisch finde.
     
    Du meinst nicht "für Server2 und Server3", sondern Du meinst "für User1
    und User2, aber nur, wenn sie sich auf Server2 und Server3 anmelden" :)
     
    Dafür gibt es Loopback...
     
     
    Da findest ne Erklärung dafür und noch ein paar weiterführende Links.
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    • Als Antwort markiert TechNetOrk Mittwoch, 5. Februar 2014 09:22
    Mittwoch, 5. Februar 2014 08:15
    Beantworter
  •  
    Du meinst nicht "für Server2 und Server3", sondern Du meinst "für User1
    und User2, aber nur, wenn sie sich auf Server2 und Server3 anmelden" :)
     
    Dafür gibt es Loopback...
     

    Ja genau, das meinte ich ;-)

    Aber wenn ich es richtig verstehe, definiere ich damit global für alle User auf Server X die Benutzereinstellungen. Aber ich möchte natürlich nicht das ein Admin z.B: am Terminalserver ebenfalls Usereinschränkungen bekommt!? 

    Mittwoch, 5. Februar 2014 08:36
  • Hab selbst die Antwort gefunden: wenn ich den Admins in der GPO das Recht der Übernahme verweigere trifft diese dann nicht mehr die Admins

    Danke an aller Helfer...

    • Bearbeitet TechNetOrk Mittwoch, 5. Februar 2014 09:23
    Mittwoch, 5. Februar 2014 09:23
  • > Hab selbst die Antwort gefunden: wenn ich den Admins in der GPO das
    > Recht der Übernahme verweigere trifft diese dann nicht mehr die Admins
     
    So isses - die Sicherheitsfilter für User sind unabhängig vom Loopback.
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Mittwoch, 5. Februar 2014 10:15
    Beantworter
  • Am 05.02.2014 10:23, schrieb TechNetOrk:

    Hab selbst die Antwort gefunden: wenn ich den Admins in der GPO das
    Recht der Übernahme verweigere trifft diese dann nicht mehr die
    Admins

    Vergiss das mit dem Deny, das macht das Konstrukt zu komplex.
    Bau eine Whitelist für die Rechte, dann muss man nichts verweigern und man sieht es auf den ersten Blick.
    Den Server kannst du per WMI Filter rausnehmen oder generell über die OU Struktur nachdenken: Warum braucht es einen Exclude, wenn der Server in der OU Hirarchie steht?
    Ist der Server dann an der richtigen Stelle?

    http://www.gruppenrichtlinien.de/artikel/filtern-von-gruppenrichtlinien-anhand-von-benutzergruppen-wmi-und-zielgruppenadressierung/

    http://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loopback-processing-mode/

    Ab Server 2008 kannst du für die Computer im Loop auch mit Sicherheitsgruppen arbeiten, aber das ist ein Sonderfall und amcht es nicht leichter. Ich persönlich halte WMI für die einfachste Variante.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Freitag, 7. Februar 2014 09:00