Skip to content

GPO nicht auf Server anwenden

MCSE Um eine GPO auf allen Computer bis auf den Servern anzuwenden müssen OUs jeweils für Server als auch für die anderen Computer existieren.

So kann man auch GPOs nur auf die Server anwenden, um z. B. nurden Mitarbeitern des Supportteams das Benutzerrecht "lokal anmelden zulassen" zu geben, damit sie alle täglichen Wartungsarbeiten an den Servern durchführen können.

Kennwort-GPOs können nur auf die Domain angewendet werden, daher kann es sein dass man das so machen muss. Dagegen kann man GPOs zur Zuweisung einer Software am besten auf die OU einer Abteilung anwenden, diese sind meist den Standorten untergeordnet.

Alternativ kann man die Discretionary Access Control List (DACL) des GPOs bearbeiten und einer Gruppe die Berechtigungen "verweigern - Lesen" und "verweigern - Gruppenrichtlinie übernehmen" zuweisen.

Eine weitere Möglichkeit besteht darin, mit einem WMI Filter z.B. den Gehäusetyp des Computers zu ermitteln und sicherzustellen, dass sich eine GPO nur auf mobile Computer auswirkt. Achtung: WMI-Filter können nur von Windows XP Professional Maschinen verarbeitet werden, Windows 2000-Clients ignorieren WMI Filter.

Sind die OUs nun nach anderen Kriterien gegliedert, z.B. nach Standorten (üblicher Weg) so muss die GPO auf die ganze Domäne angewendet werden. Danach filtern man das GPO, so dass allen Mitgliedsservern und Domänencontrollern die Rechte lesen und Gruppenrichtlinie übernehmen verweigert werden.

Die Anwendung einer besonderen GPO z. B. mit Sicherheitsvorgaben auf einen Teil der Server erfordert eine weitere OU unterhalb der OU mit den Servern, will man komplizierte Filterungen oder DACL-Einträge vermeiden. Für die untergeordnete OU kann man dann die Vererbung deaktivieren.

Die Zuweisung von Software-Updates erfolgt üblicherweise nicht an die Domäne, sondern z. B. an die OU mit den Client-Computern. Hier würde dann z. B. konfiguriert automatisch Updates von den Microsoft Update Servern über das Internet einem internen Software Update Server (SUS) herunterzuladen.

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Formular-Optionen
tweetbackcheck