Gruppenrichtlinien auf Gruppen einschränken (GPO auf einzelne Räume anwenden)

CJoe · February 22, 2018, 11:14am

Ich möchte in meiner Schule eine Gruppenrichtlinie (GPO) auf einen Computerraum anwenden. In der Richtlinie sind auch Benutzereinstellungen hinterlegt.
In einer herkömmlichen Active Directory Umgebung würde ich die GPO an die Organisationseinheit (OU) des Raumes verknüpfen und damit wäre das Problem erledigt.

Leider gibt es in UCS generell nur eine OU für alle, Benutzer, PCs, usw, d.h. der von Microsoft vorgesehene Weg ist bei UCS ausgeschlossen.

Sicherheitsfilterung führt ebenfalls nicht zum Ziel, da es eine GPO mit Benutzereinstellungen ist. Wenn die GPO auf die Rechner des Raumes wirkt, können die Benutzer Sie nicht lesen. Wenn in der Sicherheitsfilterung auch die Benutzer enthält lesen alle Benutzer die GPO, nicht nur die Benutzer des Raumes. Die einzige Möglichkeit mit Sicherheitsfilterung zu Arbeiten wäre es daher, meiner Einschätzung nach, wenn Benutzer (z.B. automatisch bei der Anmeldung) Mitglied der Raumgruppe wären. (siehe http://www.grouppolicy.biz/2010/05/how-to-apply-a-group-policy-object-to-individual-users-or-computer/)

Letztlich bliebe nur noch ein WMI Filter.
Eine Filterung nach Gruppenzugehörigkeit ist jedoch mit Hilfe von WMI-Filtern nicht möglich, wenn man den Microsoft Foren und vielen Versuchen meinerseits glaubt:
https://social.technet.microsoft.com/Forums/ie/en-US/895a8d44-128d-406f-ac50-d15a6596baeb/wmi-filtering-on-group-membership?forum=ITCG

Einzig einen WMI Filter, welcher ein “Muster” im Namen der einzelnen PCs erkennt, würde das Problem lösen. Damit wäre aber jegliche Steuerung über die Management Console nichtig.

Jetzt meine Frage: Was soll ich tun? Ich will eines der simpelsten Aufgaben der Active Directory erledigen und finde aufgrund der Struktur von UCS keinen Weg! HILFE!

CJoe · February 22, 2018, 11:36am

Ebenfalls ein Weg, welcher Aufgrund der Struktur nicht funktioniert ist Loopback Verarbeitungsmodus, welcher bei der Suche nach einer Lösung immer wieder auftaucht. Auch dieser würde meiner Meinung nach mindestens eine Trennung von Benutzern und Computern in verschiedene OUs voraussetzen.
https://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loopback-processing-mode/

https://social.technet.microsoft.com/Forums/en-US/59f616e7-7f89-459e-9184-577fdededa58/using-wmi-filter-to-apply-group-policy-to-users-on-computers-in-a-security-group?forum=winserverGP

knebb · February 22, 2018, 12:01pm

Hi,

Well, why not create an OU=Computerraum, assign your GPOs and move the needed objects into this OU?
Univention-AD is working just as MS-AD. You can define your structure on your own.

/KNEBB

CJoe · February 22, 2018, 12:07pm

Thank you for your reply. This was one of the first things I did when I got the Server set up. But this breaks UCS scripts that work in the background. If I move PCs out of their default container and the Management Console applies changes, the Computers will get lost in AD and have to be moved back manually. This is the Case in e.G. the Klassenarbeitsmodus, where a Room applies new Settings for writing exams. Afterwards the Room Container has nothing in it and the Management Console refuses to work with that room because it doesn´t have PCs in it. This leads to scenarios where pupils can´t log into any PC in that room at all and the teacher can´t end the exam because the room is empty.

knebb · February 22, 2018, 12:15pm

Hi,

I did not know you are using UCS@school, do you?
And just to make sure we are on the same level: you are sometimes talking about containers. Do you mean OUs? As for containers you can not assign GPOs!

And indeed, ucs@school is very bothersome about the LDAP structure.

/KNEBB

CJoe · February 22, 2018, 12:19pm

Sorry, yes, USC@school. I changed the category, sorry!!
The UCS@school structure categorizes everything in containers instead of OUs. This is where my Problems come from. I only have one main OU where all Users and Clients are kept in, sorted into different containers. So I can apply a GPO to everything, but not specific things like Computers, Users or Groups.

knebb · February 22, 2018, 12:29pm

Ah, ok.

Well, I do not really have an idea as it looks like you have already googled the whole Internet

So I may assume you have seen the old thread here: Multi-Server Umgebung - GPO - selbsterstellte OU ?
If you use as filtering rule the computers, not the users? No way?

BTW: With UCS@school did you buy support? I would suggest to create a support ticket in case you do not find a solution.

/KNEBB

CJoe · February 22, 2018, 12:35pm

Sadly this won´t work. The User Part of the GPO is only applied if the Users are not excluded by the Security Filter. The Answer provided in the Link doesn´t work in my school. I guess because of the infamous GPO security Patch of June 2016.
(more here: https://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/)

I look into opening a support ticket, thank you for your help.

CJoe · March 12, 2018, 8:33am

Hier ein funktionierender Workaround:

Einzelne Benutzereinstellungen können auf Computer eines Raumes mit Hilfe der “Zielgruppenadressierung auf Elementebene” eingeschränkt werden.
Man muss sicherstellen, dass sowohl Benutzer als auch Computer die Richtlinie anwenden können. Danach kann man bei jeder Einstellung den Reiter “Gemeinsame Optionen” öffnen. Dort aktiviert man “Zielgruppenadressierung auf Elementebene”. Bei der Zielgruppenadressierung wählt man als neues Element “Sicherheitsgruppe” aus und wählt die Raumgruppe der Computer. Nun wird die Benutzereinstellung nur angewendet, wenn der Benutzer sich an einem PC der Sicherheitsgruppe anmeldet.