AD - Möglichkeit zur dynamischen Verteilung von GPO's ?

[Neo van Matix]

Hallo,...

wir gehen davon aus, dass zwei Standorte existieren. Beide mit einem Domänencontroller, verbunden über eine Internetverbindung (VPN, usw.).

Beide replizieren brav vor sich hin - dennoch gibts an beiden Orten unterschiedliche Gateway's, die den Internetzugang ermöglichen.

Verteilt wird der Internetproxy (= Gateway) per GPO... natürlich nicht optimal gelöst (der Zweite Standort käme erst später dazu ;-)).

Jetzt hat mich das ganze auf eine einfache Frage gebracht... ich kenne das AD bis jetzt nur so, dass ich statisch für Benutzer oder Gruppen Richtlinien verteil. Wie kann ich den auf äußere Umstände eingehen? Also, beispielsweise: Wenn Benutzer X in Standort 2 sich einloggt (zu erkennen an dem Logonserver, der zugeteilten IP da unterschiedliche IP Range), soll er Gateway 2 und nicht 1 zugeteilt bekommen.

Oder, wenn Benutzer X sich in Standort 1 einloggt, soll er ein anderes Userhome zugewiesen bekommen.

Gibts im AD eine Möglichkeit, solche dynamischen Anweisungen auszuführen?

[Das-K]

Sind die Domänen Controller als PDC und BDC eingeteilt, oder wird die domäne über eine vertrauensstellung betrieben?

Ob die einstellungen die du dir vorstellst machbar sind, kannst du dir ja mal in einem GPO unter Computereinstellungen anschauen.

Wenn sie möglich sind, kannst du 2 verschiedene OU´s erstellen, 2 GPO konfigurieren und dann mit den entsprechenden OU´s verknüpfen.

Gruß

Kai

[Neo van Matix]

Ja, ich hab ja auch gedacht, dass ich die einzelnen Benutzer in unterschiedliche Container schmeiß - aber was mach ich mit Notebookbenutzern, die Ihren Standort wechseln? Oder mit Benutzer von Standort 1, die sich in Standort 2 einloggen?

Ich wollte hier explizit auf die Umgebung eingehen... also z.b. anhand von Umgebungsvariablen oder Begebenheiten den Standort herausfinden.

Handelt sich um eine Vertrauensstellung.

[Das-K]

In notebooks kannst du doch zusätzlich alternativ konfigurationen eingeben. musst mal gucken, ob das auch in den gpo´s konfigurierbar ist. ansonsten die notebooks manuell konfigurieren.

Wenn du das per gpo konfigurieren kannst, erstellst du einfach eine 3. ou und schmeißt da die nb´s rein.

[Das-K]

Betreibt ihr in beiden Standorten einen DHCP?

Oder evtl nur in einem?

Dann kann man die NB´s auch Statisch und Dynamisch Konfigurieren.

[Neo van Matix]

Damit bleibt aber eine Frage noch offen *gg*

Diese Dynamik, die ich ansprech... sprich, GPOs durch Verklausulierungen zu vergeben, ist nicht möglich?

(Wenn Systemvariable X = Y, dann setze GPO XYZ)

[Das-K]

Sind es 2 verschiedene Domänen?

Wenn ja, kannst du höhstens in beiden domänen die entsprechenden GPO´s konfigurieren und wenn sich die user an die domänen anmelden, bekommen sie das gateway über gebügelt.

Da sie ja über eine vertrauensstellung miteinander verbunden sind, können sie dann ja je nach vertrauensstellung auf die resourcen der anderen domäne zugreifen.

[Neo van Matix]

Nein, also, es handelt sich um jeweils die gleiche Domäne. Wird halt über n VPN betrieben...

[Das-K]

Ach so, dann ist sie also nicht über eine vertrauenstellung miteinander verbunden, sondern enthält 2 Domänencontroller an jedem standort.

Dann wirst du es nicht über eine GPO regeln können, sondern musst es über den DHCP regeln, bzw. manuell an den rechner konfigurieren.

[robotto7831a]

Hallo,

Du kannst doch pro Standort eine Gruppenrichtlinie vorgeben im AD. Setzt natürlich voraus, dass in der Domäne Standorte gepflegt werden.

Frank

[mamamia]

Sind die Domänen Controller als PDC und BDC eingeteilt, oder wird die domäne über eine vertrauensstellung betrieben?

PDC und BDC gibs seit Server 2000 schon nicht mehr. Die Server sind da alle (mehr oder weniger) gleich gestellt. Nur der erste in der Domäne übernimmt die ganzen Rollen, die man dann ja ändern kann.

Vertrauensstellung? Wozu? Iss doch nur eine Domäne mit 2 DC´s

Dein Problem mit dem Proxy lässt sich prima über DHCP lösen. Wie das geht iss klar.

Mit dem Userhome, dass kannste im Logonscript festlegen.

Du hast ja einerseits die Möglichkeit die Homelaufwerke bei den Usereigenschaften festzulegen. Mach das per Script

Set WSHShell 	= CreateObject("WScript.Shell")

Set objNetwork 	= CreateObject("WScript.Network")


name = WSHShell.ExpandEnvironmentStrings("%USERNAME%")


objNetwork.MapNetworkDrive "H:", "\\Server1\User$\" & name

Call renameVolume("H:", "Homelaufwerk")

So, wenn du jetzt in dem einen Standort bist, kannste ja etliche Sachen auslesen. IP-Range, Name des Anmeldeservers, etc. Da machste dann einfach ne Abfrage rein und verbindest die Laufwerke wie du möchtest..

[Das-K]

PDC und BDC gibs seit Server 2000 schon nicht mehr. Die Server sind da alle (mehr oder weniger) gleich gestellt. Nur der erste in der Domäne übernimmt die ganzen Rollen, die man dann ja ändern kann.

Ich weiß, das der PDC und BDC in der Windows NT Domäne war, in dem hier geschilderten Fall, hast du einen Katalogserver und einen weiteren Domänen Controller

[mamamia]

Ich weiß, das der PDC und BDC in der Windows NT Domäne war, in dem hier geschilderten Fall, hast du einen Katalogserver und einen weiteren Domänen Controller

Und das steht wo?

[Das-K]

Im Buch MS Press 70-299.

Der erste Domänen Controller in einem W2K3 Netzwerk wird zum Globalen Katalogserver wenn mehrere Domänen Controller verfügbar sind.

[mamamia]

Ja das iss klar, dass iss auch bei Windows 2000 Server so.

Aber hier oben steht ja, er hat 2 DC´s, also fällt der Fall PDC und BDC generell aus.

Und der GC hat ja nix mit der Stufe des DC´s zu tun. Iss ja nur zusätzlich.

Denke, es iss jetzt geklärt..

[Das-K]

Das mit dem PDC und BDC hab ich nur wegen der besseren verständlichkeit geschrieben.

Aber genug OT.