Gruppenrichtlinie auf OU´s

Hallo zusammen,

ich habe ein Problem (eigentlich mehrere s. andere Beiträge ) und zwar, funktionieren meine Gruppenrichtlinien auf Ordnungseinheiten nicht. Ich wollte einen Container Softwareverteilung erstellen und auf diesen verschiedene Gruppenrichtlinien erstellen z.b. Acrobate Reader und Servicepack 4 usw.. Die Idee dabei, die ganzen Softwaregruppenrichtlinien der Ordnung halber aus dem Verzeichnis der Domäne herauszuhalten, die ihrerseits auch schon Gruppenrichtlinien hat (Also die Domäne hat welche und ich wollt auf eine untergeordnete OU auch eine GPO erstellen - geht net).

Hat wer eine Idee?

Interessant, genau damit kämpfe ich auch gerade herum!

Kann es vielleicht mit dem Punkt etwas zu tun haben, bei dem ich selbst etwas unsicher bin? Bei dem Gruppenrichtlinien-Tab der OU gibt es den Punkt Richtlinienvererbung deaktivieren. Ist dieser NICHT angewählt müssten doch eigentlich die übergeordneten Richtlinien auf die untergeordneten Objekte der OU vererbt werden!?

D.h., egal ob man eine separate Gruppenrichtlinie für die OU erstellt oder nicht, die übergeordnete Gruppenrichtlinie wird, wenn die obige Option NICHT angewählt ist, weiterhin vererbt und alle Rechte bleiben unverändert.

Oder?

Fehlende Angaben zum Betriebssystem, dem Domänen-Modus etc. erleichtern die Antworten auf solche Fragen nicht wirklich ;D

Taylor schrieb:

Bei dem Gruppenrichtlinien-Tab der OU gibt es den Punkt Richtlinienvererbung deaktivieren. Ist dieser NICHT angewählt müssten doch eigentlich die übergeordneten Richtlinien auf die untergeordneten Objekte der OU vererbt werden!?

Zum Vergrößern anklicken....

Ja, eigentlich schon, wenn die Verknüpfung gemacht ist.

D.h., egal ob man eine separate Gruppenrichtlinie für die OU erstellt oder nicht, die übergeordnete Gruppenrichtlinie wird, wenn die obige Option NICHT angewählt ist, weiterhin vererbt und alle Rechte bleiben unverändert.

Zum Vergrößern anklicken....

Sofern die seperat erstellte GPO auch korrekt verknüpft ist, ja.

Da sich 2000 und 2003 hier von den Verwaltungsmöglichkeit deutlich unterscheiden, kann ich das nicht konkretisieren.

Cheers,
Joshua

Stimmt, sorry.
Es ist also ein Windows 2000 Server. Ich habe den Fall mal auf zwei Maschinen (Server 2000 + Clinet 2000pro) mit VMWare getestet und dort die Default-Gruppenrichtlinie genommen (Welche ja auf fast allem nicht konfiguriert stehen hat, also für alles offen ist). Weiter habe ich die OU-Richtlinie mal mit Kein Vorrang u. mal ohne getestet aber da war nichts zu holen. Nur wenn ich auf die Domäne eine Gruppenrichtlinie lege, zieht sich der Client beim nächsten Start die Software.

Was genau meintest du mit Verknüpfen?

Hendrik

Mit die Software ziehen meinte ich, dass die Gruppenrichtlinie zieht, welche eine Softwareverteilung beinhaltet.

HendrikO schrieb:

Was genau meintest du mit Verknüpfen?

Zum Vergrößern anklicken....

Genau das ist etwas diffizil zu erläutern, aber ich versuchs mal ;D

Bei Server 2003 sieht die komplette Administration von GPOs dank der GPMC etwas anders aus: Dort legst du alle GPOs in einem Ordner an und verknüpfst sie per Drag&Drop mit der gewünschten/der gewünschten OU und setzt dann die entsprechenden Sicherheitsfilter, welche Gruppen (OUs sollte man NIEMALS user-bezogen anlegen und verknüpfen) diese übernehmen sollen etc.

Bei Server 2000 ist das eher umständlich, hier gibt es keine GPMC, sondern nur die winzige Registerkarte Gruppenrichtlinie, wenn du nen Rechtsklick auf ne OU/die Domäne machst und Eigenschaften wählst.
Bei 2000 ist es so, das die GPO genau dort gespeichert UND verknüpft wird, wo du sie anlegst, d.h. wenn du ne OU Test erstellt hast und diese OU rechts anklickst => Eigenschaften => Gruppenrichtlinien, dann wird das GPO genau dort erstellt UND verknüpft und gilt NUR für diese OU (und auch nur für die User/Gruppen, die bei Sicherheit mit GPO übernehmen eingetragen sind).

Meine Empfehlung daher:
Ändere die Default-Domain-Policy (NICHT die Defauilt-Domain-Controllers) entsprechend deinen Vorgaben ab und teste damit - so ersparst du dir schonmal das Troubleshooting bzgl. Verknüpfung/Berechtigungen von selbsterstellen GPOs.
Ganz wichtiger Punkt ist die DNS-Auflösung - die Clients MÜSSEN als prim. DNS-Server den/einen DC bzw. den für die Domäne zuständigen DNS-Server eingetragen haben !!!
Teste mal mit nslookup an der Console, ob deine Clients eine korrekte DNS-Auflösung machen.

Der nächste Punkt:
Du kannst den Rechner zwingen, die GPOs neu einzulesen (an der Console oder über Start => Ausführen)
Unter Windows 2000:
machine_policy <= GPOs unter Computerkonfiguration
user_policy <= GPOs unter Benutzerkonfiguration
/enforce <= erzwingen

Unter Windows XP:
Beide Konfiguration auf einmal; /force <= erzwingen

Wichtig in diesem Zusammenhang sind auch die Eventlog-Einträge, diese also ggf. mal posten (samt Quelle und ID).

Cheers,
Joshua

So langes Wochenende gehabt  .

Habe heute erneut versucht eine GPO auf eine OU zu legen. Es geht aber leider immer noch nicht. Ich hatte die Gruppenrichtlinie, welche die Softwareverteilung vornehmen soll, bereits auf die Domäne gelegt (Neben die Default GPO) und da ging es noch einwandfrei. Hab die GPO dann einfach auf die OU kopiert und sie aus der Domäne deaktiviert. Aber auf der OU geht es nicht mehr. Muss man noch irgendetwas aktivieren, bzw. eine Gruppenrichtlinie deaktivieren von den anderen, damit Richtlinien auf OU´s übernommen werden? Hatte es auch schon vor deinem Eintrag mal mit dem Secedit-Befehl versucht, ändert leider auch nichts. Die DNS-Auflösung funktioniert wunderbar.
Ich hab ein paar Screenshots gemacht, falls ihr euch ein Bild machen wollt.
Hendrik

HendrikO schrieb:

Ich hab ein paar Screenshots gemacht, falls ihr euch ein Bild machen wollt.

Zum Vergrößern anklicken....

Ähh, schön - und wo ?!? ;D

Cheers,
Joshua

Habs dir zugeschickt. Man kann hier leider keine Fotos einbinden oder?

Mal lesen:
http://www.wintotal.de/Tipps/Eintrag.php?TID=865

Cheers,
Joshua

wenn GPO auf OU Ebene nicht übernommen werden liegt das meist daran daß die OU keine Benutzer bzw. Computerobjekte enthält.

GPOs werden nur auf Benutzer und Computer angewandt die sich von der OU aus in den darunterliegenden Containern befinden.

Also in der OU einen Container mit Computer bzw. Benutzern erstellen, die Objekte in die OU verschieben und die GPO mit der darüberliegenden OU verknüpfen

z.B.

OU mit GPO
 OU Eingeschränkte User
 OU Eingeschränkte Benutzer


Dann läuft das


MFG


Helmut

Moin Goldhelmut,

danke für den Tip, hat aber leider nicht geklappt. Ich habe eine GPO erstellt auf Domänenebene, welche besagt, dass das MSI-Paket Acrobat Reader installiert werden soll. Als Sicherheitsgruppe, hab ich die Gruppe Acrobat Reader angegeben und der hab ich ein Laptop (WS-ZEN014) hinzugefügt. In dieser Konstellation lief es. Auch also ich eine OU Softwareverteilung erstellt habe und die Gruppe hineinschob ging es noch. Erst als ich auf diese OU die GPO gelegt habe und sie von der Domäne gelöscht habe, ging es nicht mehr.

hab auch keine Einstellung vergesessen, weil ich die GPO direkt von der Domäne über Hinzufügen genommen habe.

Für weitere Versuche bin ich dankbar.

Hendrik

Hab natürlich den entscheidenen Teil vergessen

Ich hab dieses Computerkonto WS-ZEN014 in die OU hineingepackt und es ging trotzdem nicht. Dabei klang der Ansatz so gut.

Hast du in der OU mit der die GPO verbunden ist die Computerkonten und Benutzerkonten (versuch doch mal die Softwarezuweisung über die Benutzerkonfiguration in der GPO)
Gibt es ggf eine GPO auf Domänenebene die mit kein Vorrang eingestellt ist?

zum weiteren musst du für die GPO über Eigenschaften dieser die Gruppen definieren die die GPO lesen und GPO übernehmen.


Nach einstellen der Richtlinien musst du noch die GPO aktualisieren (auf dem Server über gpupdate /force oder Secedit (win2k) und Neustart des Testrechners


Hoffe es klappt


Helmut Gold

PCDJoshua schrieb:

Bei Server 2000 ist das eher umständlich, hier gibt es keine GPMC, sondern nur die winzige Registerkarte Gruppenrichtlinie, wenn du nen Rechtsklick auf ne OU/die Domäne machst und Eigenschaften wählst.
Bei 2000 ist es so, das die GPO genau dort gespeichert UND verknüpft wird, wo du sie anlegst, d.h. wenn du ne OU Test erstellt hast und diese OU rechts anklickst => Eigenschaften => Gruppenrichtlinien, dann wird das GPO genau dort erstellt UND verknüpft und gilt NUR für diese OU (und auch nur für die User/Gruppen, die bei Sicherheit mit GPO übernehmen eingetragen sind).

Zum Vergrößern anklicken....

Ich möchte mal den Gedankengang in die richtige Bahn lenken...

Die GPO´s werden im SYSVOL-Verzeichnis im Ordner domain angelegt und dort mit anhand einer SID gespeichert. Egal ob bei 2000 oder 2003 dass Verfahren ist dass gleiche der Unterschied liegt nur in der Darstellung. Die GPMC bildet die LOGIk der GPO´s besser ab als es unter 2000 möglich ist.

Wenn also ein Benutzer sich an seinem PC anmeldet, greift der PC auf die Freigabe SYSVOL zu, in der eine Kopie der GPO aus domain liegt. IM AD selbst wird auf der OU immer nur eine Verknüpfung zur GPO gespeichert. Wenn man unter 2000 auf die GPO´s geht kann man neben den Schalter NEU auch den Schalter Hinzufügen benutzen und dort sich alle GPO´s anzeigen lassen. An dieser Stelle liest er diese aus dem domain Verzeichnis und man wählt eine aus. Dann wird auch wieder eine Verknüpfung erstellt. Es werden keine GPO´s im AD gespeichert, sondern nur der SID verweis.

Wenn Euch dass von der Erklärung zu unklar war, seht einfach selbst nach. ADSI-Edit (Programm zum Bearbeiten des Active Directory) und das Sysvol verzeichnis geben aufschluss.

Eigentlich ist es ganz simpel:

winnt\sysvol\domain\policies\{2323-243324-2...}

Im AD:

domain
     |
    -------- OU Helden (Verknüpfung zu {2323-243324-2}
     |
    -------- OU Krieger {Verknüpfung zu {2323-243324-2}


ich kann also eine GPO auf mehrere OU´s anwenden....

@paule:
Jupp - du hast da etwas missverstanden. Ich wollte die Unterschiede in der Verwaltung herausstellen, nicht die eigentliche Ablage im AD. Und da unterscheiden sich die etwas schmal geratenen GPO-Verwaltung von Win2k und die GPMC eben erheblich.

Cheers,
Joshua

Hi,

Etwas OT, aber für jeden den es interesiert. Auf meinem Server liegt ein Comunity-Cast zum Thema Active Directory & GPO's.

DL hier: http://download.ravens-lan.de

Gruß
Sven

PCDJoshua schrieb:

Bei 2000 ist es so, das die GPO genau dort gespeichert UND verknüpft wird, wo du sie anlegst,...

Zum Vergrößern anklicken....

Ich weiss nicht, ob ich der einzige bin, der dass missverstehen würde.

Deshalb wollte ich dass ganze nochmal mit ein paar Ausführungen ergänzen.

@Goldhelmut

Es gibt tatsächlich GPO´s auf Domänenebene, welche mit Kein Vorrang aktiviert sind, damit sie sich nicht gegenseitig überschreiben. Meinst du, das ist der Grund, warum ich keine GPO´s auf OU´s vergeben kann?

Ich habe das mal unter VW-Ware simuliert, aber es ging dort auch nicht. Ich kann jetzt nicht einfach in unserer Domäne die Haken rausnehmen, weil die sich dann gegenseitig überschreiben.

Was könnte es sein, dass die GPO´s mit Kein Vorrang verhindern, dass GPO´s ziehen, die von der Priorität unter ihnen liegen? Ich habe getestet ob meine Unter-GPO´s ziehen, in den ich Software verteilen wollte. Das war auch in der Domain-GPO freigegeben. Es müsste also eingentlich laufen.

Woran könnte es liegen? Danke für die Hilfe.

Hendrik