Gruppenrichtlinien auf Gruppen einschränken (GPO auf einzelne Räume anwenden)

gpo
active-directory

#1

Ich möchte in meiner Schule eine Gruppenrichtlinie (GPO) auf einen Computerraum anwenden. In der Richtlinie sind auch Benutzereinstellungen hinterlegt.
In einer herkömmlichen Active Directory Umgebung würde ich die GPO an die Organisationseinheit (OU) des Raumes verknüpfen und damit wäre das Problem erledigt.

Leider gibt es in UCS generell nur eine OU für alle, Benutzer, PCs, usw, d.h. der von Microsoft vorgesehene Weg ist bei UCS ausgeschlossen.

Sicherheitsfilterung führt ebenfalls nicht zum Ziel, da es eine GPO mit Benutzereinstellungen ist. Wenn die GPO auf die Rechner des Raumes wirkt, können die Benutzer Sie nicht lesen. Wenn in der Sicherheitsfilterung auch die Benutzer enthält lesen alle Benutzer die GPO, nicht nur die Benutzer des Raumes. Die einzige Möglichkeit mit Sicherheitsfilterung zu Arbeiten wäre es daher, meiner Einschätzung nach, wenn Benutzer (z.B. automatisch bei der Anmeldung) Mitglied der Raumgruppe wären. (siehe http://www.grouppolicy.biz/2010/05/how-to-apply-a-group-policy-object-to-individual-users-or-computer/)

Letztlich bliebe nur noch ein WMI Filter.
Eine Filterung nach Gruppenzugehörigkeit ist jedoch mit Hilfe von WMI-Filtern nicht möglich, wenn man den Microsoft Foren und vielen Versuchen meinerseits glaubt:
https://social.technet.microsoft.com/Forums/ie/en-US/895a8d44-128d-406f-ac50-d15a6596baeb/wmi-filtering-on-group-membership?forum=ITCG

Einzig einen WMI Filter, welcher ein “Muster” im Namen der einzelnen PCs erkennt, würde das Problem lösen. Damit wäre aber jegliche Steuerung über die Management Console nichtig.

Jetzt meine Frage: Was soll ich tun? Ich will eines der simpelsten Aufgaben der Active Directory erledigen und finde aufgrund der Struktur von UCS keinen Weg! HILFE!


#2

Ebenfalls ein Weg, welcher Aufgrund der Struktur nicht funktioniert ist Loopback Verarbeitungsmodus, welcher bei der Suche nach einer Lösung immer wieder auftaucht. Auch dieser würde meiner Meinung nach mindestens eine Trennung von Benutzern und Computern in verschiedene OUs voraussetzen.
https://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loopback-processing-mode/

https://social.technet.microsoft.com/Forums/en-US/59f616e7-7f89-459e-9184-577fdededa58/using-wmi-filter-to-apply-group-policy-to-users-on-computers-in-a-security-group?forum=winserverGP


#3

Hi,

Well, why not create an OU=Computerraum, assign your GPOs and move the needed objects into this OU?
Univention-AD is working just as MS-AD. You can define your structure on your own.

/KNEBB


#4

Thank you for your reply. This was one of the first things I did when I got the Server set up. But this breaks UCS scripts that work in the background. If I move PCs out of their default container and the Management Console applies changes, the Computers will get lost in AD and have to be moved back manually. This is the Case in e.G. the Klassenarbeitsmodus, where a Room applies new Settings for writing exams. Afterwards the Room Container has nothing in it and the Management Console refuses to work with that room because it doesn´t have PCs in it. This leads to scenarios where pupils can´t log into any PC in that room at all and the teacher can´t end the exam because the room is empty.


#5

Hi,

I did not know you are using UCS@school, do you?
And just to make sure we are on the same level: you are sometimes talking about containers. Do you mean OUs? As for containers you can not assign GPOs!

And indeed, ucs@school is very bothersome about the LDAP structure.

/KNEBB


#6

Sorry, yes, USC@school. I changed the category, sorry!!
The UCS@school structure categorizes everything in containers instead of OUs. This is where my Problems come from. I only have one main OU where all Users and Clients are kept in, sorted into different containers. So I can apply a GPO to everything, but not specific things like Computers, Users or Groups.


#7

Ah, ok.

Well, I do not really have an idea as it looks like you have already googled the whole Internet :smiley:

So I may assume you have seen the old thread here: Multi-Server Umgebung - GPO - selbsterstellte OU ?
If you use as filtering rule the computers, not the users? No way?

BTW: With UCS@school did you buy support? I would suggest to create a support ticket in case you do not find a solution.

/KNEBB


#8

Sadly this won´t work. The User Part of the GPO is only applied if the Users are not excluded by the Security Filter. The Answer provided in the Link doesn´t work in my school. I guess because of the infamous GPO security Patch of June 2016.
(more here: https://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/)

I look into opening a support ticket, thank you for your help.


#9

Hier ein funktionierender Workaround:

Einzelne Benutzereinstellungen können auf Computer eines Raumes mit Hilfe der “Zielgruppenadressierung auf Elementebene” eingeschränkt werden.
Man muss sicherstellen, dass sowohl Benutzer als auch Computer die Richtlinie anwenden können. Danach kann man bei jeder Einstellung den Reiter “Gemeinsame Optionen” öffnen. Dort aktiviert man “Zielgruppenadressierung auf Elementebene”. Bei der Zielgruppenadressierung wählt man als neues Element “Sicherheitsgruppe” aus und wählt die Raumgruppe der Computer. Nun wird die Benutzereinstellung nur angewendet, wenn der Benutzer sich an einem PC der Sicherheitsgruppe anmeldet.