none
Gruppenrichtlinien werden nicht übernommen RRS feed

  • Frage

  • Hallo zusammen,

    ich habe folgendes Problem:

    ich habe in meiner AD eine OU die beispielsweise "User" heißt. In dieser OU sind sämtliche AD Benutzer angelegt. Nun habe ich in den Gruppenrichtlinienverwaltung in dieser OU weitere OUs für Gruppenrichtlinien angelegt (Softwareinstallationen, Sicherheit, Patches, etc.) und in diesen OUs neue Gruppenrichtlinienobjekte hinzugefügt.

    Mein Problem ist, dass diese Objekte nicht übernommen werden. Sie werden erst übernommen, wenn ich auf dem Domainnamen ganz oben (xxx.local) die einzelnen Gruppenrichtlinienobjekte verknüpfe, dann funktioniert es (sprich die Verknüpfungen liegen im root von xxx.local). Lösche ich die Verknüpfungen, werden die Richtlinien wieder nicht übernommen. In den der OU "Gruppenrichtlinienobjekte" werden mir sämtliche Gruppenrichtlinien angezeigt.

    Was könnte hier mein Fehler sein?

    Vielen Dank für eure Hilfe.

    LG

    Christoph 


    Dienstag, 2. Juni 2015 12:14

Antworten

  • Hallo Christoph,

    Du kannst die GPOs auf die OU mit den Computer Konten anwenden. Hierdurch werden die Computer Einstellungen korrekt übernommen. Eine weitere Alternative ist die Verwendung der Loopback Verarbeitung in den GPOs.

    http://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loopback-processing-mode/

    Welches Ziel verfolgst du mit den unter OUs? Wenn es nur um eine Filterung auf bestimmte Personen oder Computer geht kann man die Berechtigungen zum übernehmen der GPO so setzen dass nicht gewünschte Clients diese nicht übernehmen.

    Gruß Benjamin


    Benjamin Hoch
    MCSA: Microsoft Certified Solutions Associate - SQL Server 2012,
    MCSA: Microsoft Certified Solutions Associate - Windows Server 2012,

    Dienstag, 2. Juni 2015 13:16
  • > Mein Ziel war/ist es einfach eine Struktur und bessere Übersicht zu
    > schaffen. Ich habe eine übergeordnete OU, wo alle AD-User drinnen sind.
     
    Das geht nicht. GPOs arbeiten hierarchisch, und wenn sich in der OU, wo
    Du verlinkt hast, nichts befindet, dann wird sie auch nicht angewendet.
     
    > derzeit muss ich eben jede GP in der xxx.local verknüpfen, damit diese
     
    Nein - Du mußt sie da verknüpfen, wo sich der Computer oder User
    befinden (oder oberhalb - aber nicht unterhalb).
     

    Greetings/Grüße, Martin

    Mal ein gutes Buch über GPOs lesen?
    Good or bad GPOs? - my blog…
    And if IT bothers me - coke bottle design refreshment (-:
    Dienstag, 2. Juni 2015 14:26
    Beantworter

Alle Antworten

  • Das kommt jetzt drauf an, meine simpelste Idee wäre jetzt, das du versuchst Computerrichtlinien auf eine Benutzer OU zuzuweisen. Hast du in der GPO Optionen in der Computer- oder Benutzerkonfiguration durchgeführt?


    freundliche Grüße Thomas

    Dienstag, 2. Juni 2015 12:30
  • Hallo Thomas,

    sowohl als auch. Habe GPOs (Softwareinstallationen) Computerbezogen und GPOs (für z.B. lokale Gruppen) Benutzerbezogen, funktioniert beides nicht.

    lg, Christoph


    Dienstag, 2. Juni 2015 12:35
  •  
    > Nun habe ich in den Gruppenrichtlinienverwaltung in dieser OU weitere
    > OUs für Gruppenrichtlinien angelegt (Softwareinstallationen, Sicherheit,
    > Patches, etc.) und in diesen OUs neue Gruppenrichtlinienobjekte hinzugefügt.
     
    Und was befindet sich in diesen untergeordneten OUs?
     
     

    Greetings/Grüße, Martin

    Mal ein gutes Buch über GPOs lesen?
    Good or bad GPOs? - my blog…
    And if IT bothers me - coke bottle design refreshment (-:
    Dienstag, 2. Juni 2015 12:45
    Beantworter
  • Hallo Christoph,

    GPO Richtlinien mit Computer Einstellungen funktionieren so ohne weiteres nicht auf OUs mit nur Benutzer Konten. (Loopback Verarbeitung)

    In den Unter OUs müssen auch die entsprechenden Nutzer Konten liegen. Wenn sich in den Unter OUs keine Konten befinden, werden diese auch nicht übernommen.

    Gruß Benjamin


    Benjamin Hoch
    MCSA: Microsoft Certified Solutions Associate - SQL Server 2012,
    MCSA: Microsoft Certified Solutions Associate - Windows Server 2012,

    Dienstag, 2. Juni 2015 12:46
  • GPO Richtlinien mit Computer Einstellungen funktionieren so ohne weiteres nicht auf OUs mit nur Benutzer Konten. (Loopback Verarbeitung)

    In den Unter OUs müssen auch die entsprechenden Nutzer Konten liegen. Wenn sich in den Unter OUs keine Konten befinden, werden diese auch nicht übernommen.

    Hallo Benjamin,

    OK, danke für die Info, aber wie kann ich das "Problem" nun beheben?

    lg, Christoph

    Dienstag, 2. Juni 2015 13:06
  • Hallo Christoph,

    Du kannst die GPOs auf die OU mit den Computer Konten anwenden. Hierdurch werden die Computer Einstellungen korrekt übernommen. Eine weitere Alternative ist die Verwendung der Loopback Verarbeitung in den GPOs.

    http://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loopback-processing-mode/

    Welches Ziel verfolgst du mit den unter OUs? Wenn es nur um eine Filterung auf bestimmte Personen oder Computer geht kann man die Berechtigungen zum übernehmen der GPO so setzen dass nicht gewünschte Clients diese nicht übernehmen.

    Gruß Benjamin


    Benjamin Hoch
    MCSA: Microsoft Certified Solutions Associate - SQL Server 2012,
    MCSA: Microsoft Certified Solutions Associate - Windows Server 2012,

    Dienstag, 2. Juni 2015 13:16
  • Hallo Benjamin,

    tut mir leid, ich kann dir nicht ganz folgen bzw. weiß ich nicht genau was du meinst.

    Mein Ziel war/ist es einfach eine Struktur und bessere Übersicht zu schaffen. Ich habe eine übergeordnete OU, wo alle AD-User drinnen sind. Ich wollte

    xxx.local

         OUClients

              OUSoftwareinstallationen

                   GPInstallGoogleChrome

                   GPInstallPDFReader

              OUSecurity

                   GPWSUS

                   GPAntivirus

              OUDesktop

                   GPFixTaskbar

                   GPDontShowClock

    Je nachdem um was es sich handelt, kommen sollen die Einstellungen einmal Computergesteuert und einmal Usergesteuert übernommen werden. Und derzeit muss ich eben jede GP in der xxx.local verknüpfen, damit diese übernommen werden.

    lg, Christoph


    Dienstag, 2. Juni 2015 13:42
  • > Mein Ziel war/ist es einfach eine Struktur und bessere Übersicht zu
    > schaffen. Ich habe eine übergeordnete OU, wo alle AD-User drinnen sind.
     
    Das geht nicht. GPOs arbeiten hierarchisch, und wenn sich in der OU, wo
    Du verlinkt hast, nichts befindet, dann wird sie auch nicht angewendet.
     
    > derzeit muss ich eben jede GP in der xxx.local verknüpfen, damit diese
     
    Nein - Du mußt sie da verknüpfen, wo sich der Computer oder User
    befinden (oder oberhalb - aber nicht unterhalb).
     

    Greetings/Grüße, Martin

    Mal ein gutes Buch über GPOs lesen?
    Good or bad GPOs? - my blog…
    And if IT bothers me - coke bottle design refreshment (-:
    Dienstag, 2. Juni 2015 14:26
    Beantworter
  • Hallo

    Dir ist klar das ein Benutzer oder Computer nur in einer einzigen OU sein kann. Deine OUs würden bedeuten dass man einen Benutzer in mehrere OUs einsortieren kann. Es geht nicht das ein Benutzer/Computer gleichzeitig in der OU Desktop und in der OU Security ist. Somit würden immer nur die GPOs für genau diese OUs greifen (unf ggf. alle übergeortneten OUs für die es eine Vererbung gibt.)

    Ein Benutzer in der OU Desktop wird niemals die GPOs der OU Security verarbeiten.

    Zudem ist es ungünstig in einer GPO gleichzeitig Computer und Benutzer Einstellungen zu setzten. Besser ist es diese in getrennte GPOs zu teilen.

    Gruß Benjamin


    Benjamin Hoch
    MCSA: Microsoft Certified Solutions Associate - SQL Server 2012,
    MCSA: Microsoft Certified Solutions Associate - Windows Server 2012,

    Dienstag, 2. Juni 2015 14:26
  • > Ein Benutzer in der OU Desktop wird niemals die GPOs der OU Security
    > verarbeiten.
     
    Doch - wenn Desktop unterhalb von Security ist oder Loopback aktiviert
    wurde. SCNR :-))
     
    > Zudem ist es ungünstig in einer GPO gleichzeitig Computer und Benutzer
    > Einstellungen zu setzten. Besser ist es diese in getrennte GPOs zu teilen.
     
    Spielt technisch keine Rolle - aber Du hast insofern recht, daß es
    übersichtlicher bleibt.
     

    Greetings/Grüße, Martin

    Mal ein gutes Buch über GPOs lesen?
    Good or bad GPOs? - my blog…
    And if IT bothers me - coke bottle design refreshment (-:
    Dienstag, 2. Juni 2015 14:54
    Beantworter