Gruppenrichtlinie auf OU´s

Dieses Thema Gruppenrichtlinie auf OU´s im Forum "Windows Server-Systeme" wurde erstellt von HendrikO, 14. Apr. 2005.

Thema: Gruppenrichtlinie auf OU´s Hallo zusammen, ich habe ein Problem (eigentlich mehrere s. andere Beiträge :)) und zwar, funktionieren meine...

  1. Hallo zusammen,

    ich habe ein Problem (eigentlich mehrere s. andere Beiträge :)) und zwar, funktionieren meine Gruppenrichtlinien auf Ordnungseinheiten nicht. Ich wollte einen Container Softwareverteilung erstellen und auf diesen verschiedene Gruppenrichtlinien erstellen z.b. Acrobate Reader und Servicepack 4 usw.. Die Idee dabei, die ganzen Softwaregruppenrichtlinien der Ordnung halber aus dem Verzeichnis der Domäne herauszuhalten, die ihrerseits auch schon Gruppenrichtlinien hat (Also die Domäne hat welche und ich wollt auf eine untergeordnete OU auch eine GPO erstellen - geht net).

    Hat wer eine Idee?
     
  2. Interessant, genau damit kämpfe ich auch gerade herum!

    Kann es vielleicht mit dem Punkt etwas zu tun haben, bei dem ich selbst etwas unsicher bin? Bei dem Gruppenrichtlinien-Tab der OU gibt es den Punkt Richtlinienvererbung deaktivieren. Ist dieser NICHT angewählt müssten doch eigentlich die übergeordneten Richtlinien auf die untergeordneten Objekte der OU vererbt werden!?

    D.h., egal ob man eine separate Gruppenrichtlinie für die OU erstellt oder nicht, die übergeordnete Gruppenrichtlinie wird, wenn die obige Option NICHT angewählt ist, weiterhin vererbt und alle Rechte bleiben unverändert.

    Oder?
     
  3. Fehlende Angaben zum Betriebssystem, dem Domänen-Modus etc. erleichtern die Antworten auf solche Fragen nicht wirklich ;D

    Ja, eigentlich schon, wenn die Verknüpfung gemacht ist.

    Sofern die seperat erstellte GPO auch korrekt verknüpft ist, ja.

    Da sich 2000 und 2003 hier von den Verwaltungsmöglichkeit deutlich unterscheiden, kann ich das nicht konkretisieren.

    Cheers,
    Joshua
     
  4. Stimmt, sorry.
    Es ist also ein Windows 2000 Server. Ich habe den Fall mal auf zwei Maschinen (Server 2000 + Clinet 2000pro) mit VMWare getestet und dort die Default-Gruppenrichtlinie genommen (Welche ja auf fast allem nicht konfiguriert stehen hat, also für alles offen ist). Weiter habe ich die OU-Richtlinie mal mit Kein Vorrang u. mal ohne getestet aber da war nichts zu holen. Nur wenn ich auf die Domäne eine Gruppenrichtlinie lege, zieht sich der Client beim nächsten Start die Software.

    Was genau meintest du mit Verknüpfen?

    Hendrik
     
  5. Mit die Software ziehen meinte ich, dass die Gruppenrichtlinie zieht, welche eine Softwareverteilung beinhaltet.
     
  6. Genau das ist etwas diffizil zu erläutern, aber ich versuchs mal ;D

    Bei Server 2003 sieht die komplette Administration von GPOs dank der GPMC etwas anders aus: Dort legst du alle GPOs in einem Ordner an und verknüpfst sie per Drag&Drop mit der gewünschten/der gewünschten OU und setzt dann die entsprechenden Sicherheitsfilter, welche Gruppen (OUs sollte man NIEMALS user-bezogen anlegen und verknüpfen) diese übernehmen sollen etc.

    Bei Server 2000 ist das eher umständlich, hier gibt es keine GPMC, sondern nur die winzige Registerkarte Gruppenrichtlinie, wenn du nen Rechtsklick auf ne OU/die Domäne machst und Eigenschaften wählst.
    Bei 2000 ist es so, das die GPO genau dort gespeichert UND verknüpft wird, wo du sie anlegst, d.h. wenn du ne OU Test erstellt hast und diese OU rechts anklickst => Eigenschaften => Gruppenrichtlinien, dann wird das GPO genau dort erstellt UND verknüpft und gilt NUR für diese OU (und auch nur für die User/Gruppen, die bei Sicherheit mit GPO übernehmen eingetragen sind).

    Meine Empfehlung daher:
    Ändere die Default-Domain-Policy (NICHT die Defauilt-Domain-Controllers) entsprechend deinen Vorgaben ab und teste damit - so ersparst du dir schonmal das Troubleshooting bzgl. Verknüpfung/Berechtigungen von selbsterstellen GPOs.
    Ganz wichtiger Punkt ist die DNS-Auflösung - die Clients MÜSSEN als prim. DNS-Server den/einen DC bzw. den für die Domäne zuständigen DNS-Server eingetragen haben !!!
    Teste mal mit nslookup an der Console, ob deine Clients eine korrekte DNS-Auflösung machen.

    Der nächste Punkt:
    Du kannst den Rechner zwingen, die GPOs neu einzulesen (an der Console oder über Start => Ausführen)
    Unter Windows 2000:
    Code:
    secedit /refreshpolicy machine_policy /enforce
    secedit /refreshpolicy user_policy /enforce
    machine_policy <= GPOs unter Computerkonfiguration
    user_policy <= GPOs unter Benutzerkonfiguration
    /enforce <= erzwingen

    Unter Windows XP:
    Code:
    gpudate /force
    Beide Konfiguration auf einmal; /force <= erzwingen

    Wichtig in diesem Zusammenhang sind auch die Eventlog-Einträge, diese also ggf. mal posten (samt Quelle und ID).

    Cheers,
    Joshua
     
  7. So langes Wochenende gehabt  :).

    Habe heute erneut versucht eine GPO auf eine OU zu legen. Es geht aber leider immer noch nicht. Ich hatte die Gruppenrichtlinie, welche die Softwareverteilung vornehmen soll, bereits auf die Domäne gelegt (Neben die Default GPO) und da ging es noch einwandfrei. Hab die GPO dann einfach auf die OU kopiert und sie aus der Domäne deaktiviert. Aber auf der OU geht es nicht mehr. Muss man noch irgendetwas aktivieren, bzw. eine Gruppenrichtlinie deaktivieren von den anderen, damit Richtlinien auf OU´s übernommen werden? Hatte es auch schon vor deinem Eintrag mal mit dem Secedit-Befehl versucht, ändert leider auch nichts. Die DNS-Auflösung funktioniert wunderbar.
    Ich hab ein paar Screenshots gemacht, falls ihr euch ein Bild machen wollt.
    Hendrik
     
  8. Ähh, schön - und wo ?!? ;D

    Cheers,
    Joshua
     
  9. Habs dir zugeschickt. Man kann hier leider keine Fotos einbinden oder?
     
  10. Mal lesen:
    http://www.wintotal.de/Tipps/Eintrag.php?TID=865

    Cheers,
    Joshua
     
Die Seite wird geladen...

Gruppenrichtlinie auf OU´s - Ähnliche Themen

Forum Datum
Gruppenrichtlinie auf OU´s Teil 2 Windows Server-Systeme 21. Aug. 2006
Gruppenrichtlinien Rechte für Taskleiste auf Server 2003 Windows Server-Systeme 27. März 2016
Win 7 Prof Defragmentierung durch Gruppenrichtlinie gesperrt Windows 7 Forum 27. Feb. 2012
Gesperrte Gruppenrichtlinien ändern, wie Windows XP Forum 23. Mai 2011
Zeitserver per Gruppenrichtlinie setzen Windows 7 Forum 14. Apr. 2011