Multi-Server Umgebung - GPO - selbsterstellte OU

Hallo

Habe mir eine UCS@School Multi-Server Testumgebung gebaut.

Infos zur Test-Umgebung

  1. UCS@School Master = schulmaster.schulserver.at
  2. UCS@School Slave = schule01.schulserver.at
  3. UCS@School Slave = schule02.schulserver.at

Struktur im LDAP

- at.schulserver:/ (Domain)

    • computers (Container)
    • dhcp (Container)
    • dns (Container)
    • Domain Controllers (Organization Unit)
    • groups (Container)
    • usw… (Container)
      - - Schule01 (Organization Unit)
      • computers (Container)
      • dhcp (Container)
      • examusers (Container)
      • groups (Container)
      • usw… (Container)
        - - Schule02 (Organization Unit)
      • computers (Container)
      • dhcp (Container)
      • examusers (Container)
      • groups (Container)
      • usw… (Container)

Die Schul-PC müssen laut Anleitung vor dem DomainJoin über UMC in der jeweiligen Schule (OU) angelegt werden.

  • ComputerName
  • MAC-Adressse
  • IP-Adresse

Nach dem Anlegen bzw. Join sind die jeweiligen PCs nun in der Schul OU unter (Bsp.: Schule01 - computers) zu finden.


Wird nun eine Benutzer-GPO mit Hilfe gpmc.msc (Group Policy Manager) eine neue GPO erstellt,

  • Delegierung Gruppe “schueler-schule01” - GPO lesen

  • Verknüpft auf die OU “Schule01”
    wir diese GPO für ALLE Schüler in Schule01 auf ALLEN PCs angewendet.

  • FUNKTIONIERT!


So nun zum eigentlichen Problem:

Wird eine neue OU unter der OU “Schule01” angelegt - Beispiel OU “EDVRaum01”
und die PCs in den EDV Raum01 in diese OU verschoben und jetzt die GPO angewendet.

GPO Einstellungen

  • Delegierung Gruppe “schueler-schule01” - GPO lesen
  • Verknüpft auf die OU “EDVRaum01”

Sinn: ALLE Schüler sollen nur die GPO erhalten, wenn sie sich auf den PCs im EDV Raum 01 anmelden!

  • FUNKTIONIERT NICHT!

Ich habe es auch mit einer Loopback Policy ausprobiert und zusätzlich die Computer in die Delegierung der GPO hinzugefügt - GPO lesen.
Hat leider alles nichts gebracht.


Ich hoffe ihr könnt euch das soweit vorstellen :slight_smile:
Bei Unklarheiten bitte ich um Fragen.

Danke sehr

Mit freundlichen Grüßen

Hallo,

die Clients sollten nicht verschoben werden da die UCS@school Funktionen davon ausgehen diese an den korrekten Positionen im Verzeichnis finden zu können.
Statt Ihre GPOs auf Basis unterschiedlicher DNs aufzubauen sollten Sie lieber GPO Filter anhand von (Sicherheits-)Gruppen verwenden. Das ist z.b. hier beschrieben: grouppolicy.biz/2010/05/how- … -computer/

Mit freundlichen Grüßen
Janis Meybohm

OK danke für die Info.

Aber wie schaff ich es dann eine Benutzer-konfigurierte-GPO nur für bestimmte Computer zu zulassen ?


Beispiel.: (GPO - Einstellen von Windows Updates deaktivieren)

Delegierung: Gruppe “schueler-schule01” Lesen (durch Sicherheitsfilterung) - Richtlinie zulassen

Die GPO greift jetzt für ALLE Schul-Benutzer auf ALLEN PCs der Schule.
Ich möchte aber zum Beispiel, dass die GPO nur für die PCs von EDVRaum01 gilt, nicht aber für EDVRaum02.

Wie kann ich das Lösen ?

Danke recht herzlichst für Antworten!

MfG

Hallo,

statt der Benutzer-Gruppe sollten Sie die Rechner-Gruppe (Computerraum) als Filter verwenden können.

Mit freundlichen Grüßen
Janis Meybohm

Diese Lösung funktioniert seit dem Sicherheitspatch für GPOs vom Juni 2016 anscheinend nicht mehr.
Siehe https://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/

Mastodon