Ich möchte in meiner Schule eine Gruppenrichtlinie (GPO) auf einen Computerraum anwenden. In der Richtlinie sind auch Benutzereinstellungen hinterlegt.
In einer herkömmlichen Active Directory Umgebung würde ich die GPO an die Organisationseinheit (OU) des Raumes verknüpfen und damit wäre das Problem erledigt.
Leider gibt es in UCS generell nur eine OU für alle, Benutzer, PCs, usw, d.h. der von Microsoft vorgesehene Weg ist bei UCS ausgeschlossen.
Sicherheitsfilterung führt ebenfalls nicht zum Ziel, da es eine GPO mit Benutzereinstellungen ist. Wenn die GPO auf die Rechner des Raumes wirkt, können die Benutzer Sie nicht lesen. Wenn in der Sicherheitsfilterung auch die Benutzer enthält lesen alle Benutzer die GPO, nicht nur die Benutzer des Raumes. Die einzige Möglichkeit mit Sicherheitsfilterung zu Arbeiten wäre es daher, meiner Einschätzung nach, wenn Benutzer (z.B. automatisch bei der Anmeldung) Mitglied der Raumgruppe wären. (siehe http://www.grouppolicy.biz/2010/05/how-to-apply-a-group-policy-object-to-individual-users-or-computer/)
Einzig einen WMI Filter, welcher ein “Muster” im Namen der einzelnen PCs erkennt, würde das Problem lösen. Damit wäre aber jegliche Steuerung über die Management Console nichtig.
Jetzt meine Frage: Was soll ich tun? Ich will eines der simpelsten Aufgaben der Active Directory erledigen und finde aufgrund der Struktur von UCS keinen Weg! HILFE!
Ebenfalls ein Weg, welcher Aufgrund der Struktur nicht funktioniert ist Loopback Verarbeitungsmodus, welcher bei der Suche nach einer Lösung immer wieder auftaucht. Auch dieser würde meiner Meinung nach mindestens eine Trennung von Benutzern und Computern in verschiedene OUs voraussetzen. https://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loopback-processing-mode/
Well, why not create an OU=Computerraum, assign your GPOs and move the needed objects into this OU?
Univention-AD is working just as MS-AD. You can define your structure on your own.
Thank you for your reply. This was one of the first things I did when I got the Server set up. But this breaks UCS scripts that work in the background. If I move PCs out of their default container and the Management Console applies changes, the Computers will get lost in AD and have to be moved back manually. This is the Case in e.G. the Klassenarbeitsmodus, where a Room applies new Settings for writing exams. Afterwards the Room Container has nothing in it and the Management Console refuses to work with that room because it doesn´t have PCs in it. This leads to scenarios where pupils can´t log into any PC in that room at all and the teacher can´t end the exam because the room is empty.
I did not know you are using UCS@school, do you?
And just to make sure we are on the same level: you are sometimes talking about containers. Do you mean OUs? As for containers you can not assign GPOs!
And indeed, ucs@school is very bothersome about the LDAP structure.
Sorry, yes, USC@school. I changed the category, sorry!!
The UCS@school structure categorizes everything in containers instead of OUs. This is where my Problems come from. I only have one main OU where all Users and Clients are kept in, sorted into different containers. So I can apply a GPO to everything, but not specific things like Computers, Users or Groups.
Einzelne Benutzereinstellungen können auf Computer eines Raumes mit Hilfe der “Zielgruppenadressierung auf Elementebene” eingeschränkt werden.
Man muss sicherstellen, dass sowohl Benutzer als auch Computer die Richtlinie anwenden können. Danach kann man bei jeder Einstellung den Reiter “Gemeinsame Optionen” öffnen. Dort aktiviert man “Zielgruppenadressierung auf Elementebene”. Bei der Zielgruppenadressierung wählt man als neues Element “Sicherheitsgruppe” aus und wählt die Raumgruppe der Computer. Nun wird die Benutzereinstellung nur angewendet, wenn der Benutzer sich an einem PC der Sicherheitsgruppe anmeldet.
