Realisierung von Gruppenrichtlinien

[Eichi84]

Hey, kann mir jemand bei der Realisierung von GPO's helfen? 

Ich habe in Hyper-V von Windows eine VM als Server und eine als Client-PC erstellt.

Folgende Situation, vorhanden ist ein Windows-Server mit folgenden Installationen AD,DHCP und DNS.

Ich habe eine Domäne angelegt, Client-PC in diese erhoben und auf dem Server folgende OU's erstellt (siehe Bild1)

Ich habe erst mal eine Gruppe zum Testen erstellt "Benutzer der Domäne" dort befinden sich nur Benutzer drin keine Administratoren oder sonstiges.

Ich habe zwei Benutzer erstellt:
Horst Wurst. Der ist Mitglied in folgenden Gruppen (siehe Bild2) und befindet sich in der OU -> Benutzer -> Verwaltung -> Mitarbeiter
Reiner Zufall. Der ist Mitglied in folgenden Gruppen (siehe Bild3) und befindet sich in der OU -> Benutzer -> Verwaltung -> Azubis
Und mich nochmal als Administrator in folgenden Gruppen (siehe Bild4) und befindet sich in der OU -> Administratoren

DHCP und DNS wurde eingerichtet.

Der Client_PC01 befindet sich in der OU -> Computer -> Verwaltung und ist Mitglied der Gruppe Domänencomputer.

So jetzt möchte ich gerne folgendes Realisieren:

Ich möchte, das Benutzer und Administratoren, jeweils ein anderes Hintergrundbild haben, wenn sie sich an einem Client anmelden. 
Und das jeder Client-Benutzer das gleich Profilbild hat z.B. ein Firmenlogo. Ich würde dies gerne über eine GPO regeln.
Hab es auch schon versucht, aber irgendwie klappt es nicht so ganz. Kann mir jemand dabei Helfen es zu realisieren?

Ich habe die GPO's erstellt und in die jeweiligen OU's gehangen.
Ist das richtig so, vor allem auf die Sicherheitsfilterung bezogen? (siehe Bild5)
Und ist der Pfad richtig angegeben (siehe Bild6)?

Hab jeweils ein Bild für Benutzer und Administratoren auf dem Server gespeichert und eine Netzwerkfreigabe gemacht (siehe Bild7).

Sooo, ich hoffe Ihr habt alle Informationen, um mir zu helfen?!
Wie gesagt hab es schon versucht, aber Erfolg los, das Aamin.jpg wurde zwar geladen, aber halt auch wenn ich mich als Client-Benutzer angemeldet habe, dann hab ich die GPO für das Admins Hintergrundbild gelöscht und plötzlich wurde das Client Hintergrundbild geladen, aber halt auch wenn ich mich als Administrator angemeldet hab.
 

 

 

 

 

Bearbeitet 9. September 2022 von Chief Wiggum
Anonymisiert

[Maniska]

Ich verstehe zwar den Hintergrund hinter deinem AD Aufbau nicht, was du warum mit welchen Gruppen anstellen willst etc.

Ich würde die GPO für die Admins auch direkt auf der OU Admins anhängen, ebenso bei der User OU, da kann sich dann nichts überschrieben/querschießen. Dann benötigst du auch keine Sicherheitsfilterung, keine Gruppenchaos kein nichts. Bau dein AD so auf, dass du möglichst ohne den ganzen Quatsch auskommst, das macht es DEUTLICH einfacher und übersichtlicher.

 

Oh, und in dem einen Screenshot sieht man deinen Klarnamen, deswegen hab ich den mal entfernt

 

[Chief Wiggum]

vor 29 Minuten schrieb Maniska:

Ich verstehe zwar den Hintergrund hinter deinem AD Aufbau nicht

Jupps, etwas schräg ist das schon... vor allem weil eine OU genauso wie die Domäne heisst.

[Leumast]

vor 56 Minuten schrieb Maniska:

Oh, und in dem einen Screenshot sieht man deinen Klarnamen, deswegen hab ich den mal entfernt

In Bild 4 ist der noch drin. 'Eigenschaften von ...'

Bearbeitet 9. September 2022 von Leumast

[Chief Wiggum]

@Leumast: danke für den Hinweis, ist entfernt.

[Eichi84]

vor 6 Stunden schrieb Chief Wiggum:

Jupps, etwas schräg ist das schon... vor allem weil eine OU genauso wie die Domäne heisst.

Ich find das jetzt nicht so schräg...ich hätte sie auch anderst nennen können klar, aber das soll ja nicht so wichtig sein. 

Eigentlich sollte, da noch Musterstadt stehen also MusicTec-Musterstadt, weil später noch ein anderer Standort hinzugefügt werden sollte. Und unser Dozent meinte, es sei so übersichtlicher.🤷🏻

[Eichi84]

vor 6 Stunden schrieb Leumast:

In Bild 4 ist der noch drin. 'Eigenschaften von ...'

Ach Gott, danke das hebt ich gar nicht gesehen...super!

 

[Eichi84]

 

 

vor 7 Stunden schrieb Maniska:

Ich würde die GPO für die Admins auch direkt auf der OU Admins anhängen, ebenso bei der User OU, da kann sich dann nichts überschrieben/querschießen. 

Okay, so hab ich es ja auch oben geschrieben. 

vor 23 Stunden schrieb Eichi84:

Ich habe die GPO's erstellt und in die jeweiligen OU's gehangen.
Ist das richtig so, vor allem auf die Sicherheitsfilterung bezogen? (siehe Bild5)

Also kann ich, dann in den Filtereinstellungen, die Gruppen weg lassen?

Die Gruppe "Benutzer der Domäne", hab ich nur erstellt, weil ich dachte das es da zu Konflikten kommt. Weil der Administrator ja auch automatisch in der Gruppe Domainbenutzer mit drin ist!

Bearbeitet 9. September 2022 von Eichi84
Schreibfehler

[Eichi84]

vor 7 Stunden schrieb Chief Wiggum:

Jupps, etwas schräg ist das schon... vor allem weil eine OU genauso wie die Domäne heisst.

Achso, was mir noch eingefallen ist. Unser Dozent meinte, das er das so macht, um später besser mit den Globalen- und Lokalen Gruppen arbeiten zu können.

Das hätte dann was mit den Freigaben und so zu tun. 🤷🏻 Wie gesagt ich bin erst im ersen Lehrjahr. Also entschuldigt meine "noch" Unwissenheit. Und ich bin ja hier um Tipps und Tricks zu bekommen.

[Chief Wiggum]

vor 2 Minuten schrieb Eichi84:

Wie gesagt ich bin erst im ersen Lehrjahr.

Dann lösch die Systeme wieder und fang erst einmal flach an. Bleibe bei den Standardgruppen und lass die Verschachtelungen alle weg. Komplex kannst du machen, wenn die Basics sitzen.

[Eichi84]

vor 2 Minuten schrieb Chief Wiggum:

Dann lösch die Systeme wieder und fang erst einmal flach an. Bleibe bei den Standardgruppen und lass die Verschachtelungen alle weg. Komplex kannst du machen, wenn die Basics sitzen.

Was wäre denn für dich "flach"?

 

[Chief Wiggum]

vor 2 Minuten schrieb Eichi84:

Was wäre denn für dich "flach"?

Steht doch im Satz danach.

vor 4 Minuten schrieb Chief Wiggum:

Bleibe bei den Standardgruppen und lass die Verschachtelungen alle weg.

Korrektur: Standard-OUs.

[Eichi84]

Okay, also nur Benutze, Computer und Administratoren!

Okay, werd das dann mal versuchen, mit den GPO's, ich muss auch sagen das unser Dozent nicht gerade den hellsten Eindruck macht.

 

Bearbeitet 9. September 2022 von Eichi84

[Maniska]

Am 9.9.2022 um 15:27 schrieb Eichi84:

Ich find das jetzt nicht so schräg...ich hätte sie auch anderst nennen können klar, aber das soll ja nicht so wichtig sein. 

Die Übersichtlichkeit im AD ist das A und O. Darin sollte sich jeder Admin relativ schnell und einfach zurechtfinden können.

Daher ist eine "anständige" Benamung der OUs grundlegend wichtig. Für den strukturellen Aufbau kann ich dir

• https://www.faq-o-matic.net/2020/11/16/active-directory-best-practice-zur-ou-struktur/
• https://openbook.rheinwerk-verlag.de/windows_server_2012r2/08_001.html#dodtp94e359a2-eaa3-44c2-b79b-c8e2ba4ea16c (ja, Server 2012, aber an der Stelle immer noch aktuell)

als Lektüre empfehlen. Alternativ wird wahrscheinlich jeder Treffer mit "Best Practice AD Strukur" die weiterhelfen können.

Am 9.9.2022 um 15:27 schrieb Eichi84:

Eigentlich sollte, da noch Musterstadt stehen also MusicTec-Musterstadt, weil später noch ein anderer Standort hinzugefügt werden sollte. Und unser Dozent meinte, es sei so übersichtlicher.🤷🏻

Für den Aufbau einer AD gibt es unzählige gute Ideen, aber keine davon wird jemals zu 100% auf "deine" Domäne passen. Daher alles was der Dozent sagt abspeichern, aber auch er wird nicht DIE Lösung in Petto haben. Dann wäre er kein Dozent sondern sehr gefragter Consultant.

Am 9.9.2022 um 15:53 schrieb Eichi84:

Also kann ich, dann in den Filtereinstellungen, die Gruppen weg lassen?

Du kannst die Filtereinstellungen komplett weg lassen, was bei GPOs auch durchaus wünschenswert ist. Eine GPO wird nur auf die OU auf der sie verknüpft ist - und alle UnterOUs - angewendet. Man kann dann noch zusätzlich über diverse Arten der Sicherheitsfilterung arbeiten, das macht es aber schwerer beim Troubleshooting.

Also KISS (Keep it simple, stupid), und bau die AD-Struktur so auf, dass du keine (ok, kaum - ganz ohne wird nicht gehen) Klimmzüge über Sicherheitsfilterung machen musst.

Am 9.9.2022 um 15:53 schrieb Eichi84:

Die Gruppe "Benutzer der Domäne", hab ich nur erstellt, weil ich dachte das es da zu Konflikten kommt. Weil der Administrator ja auch automatisch in der Gruppe Domainbenutzer mit drin ist!

Und deine Gruppe "Benutzer der Domäne" soll für wen oder was sein? Eindeutige Benamung! Das bedeutet nicht dass der Gruppenname nur einmal vorkommt, sondern dass aus dem Namen eindeutig hervorgeht wofür diese Gruppe sein soll.

Am 9.9.2022 um 16:04 schrieb Eichi84:

Achso, was mir noch eingefallen ist. Unser Dozent meinte, das er das so macht, um später besser mit den Globalen- und Lokalen Gruppen arbeiten zu können.

Das hätte dann was mit den Freigaben und so zu tun. 🤷🏻

https://www.netwrix.de/verwaltung_von_active_directory-gruppen.html

Lies dir bitte durch, wofür welche Art von Gruppen verwendet wird, und warum. Nur weil der Dozent das macht, muss es noch lange nicht "gut" oder "toll" oder "sinnvoll" sein. Selbst wen es für Schulungszwecke die Anschaulichkeit erhöht (ich wage hier kein Urteil) ist es noch lange nicht praxistauglich.

[Eichi84]

vor 16 Stunden schrieb Maniska:

Dann wäre er kein Dozent sondern sehr gefragter Consultant.

 

Ja, aber ich denke, das man auch als Dozent wenigstens ein paar Fragen beantworten können sollte. Aber das kann er einfach nicht.

Aber danke für eure Tipps, ich werd sie natürlich auch versuchen umzusetzen!

[Eichi84]

Am 9.9.2022 um 16:09 schrieb Chief Wiggum:

Dann lösch die Systeme wieder und fang erst einmal flach an. Bleibe bei den Standardgruppen und lass die Verschachtelungen alle weg. Komplex kannst du machen, wenn die Basics sitzen.

Okay, hab das jetzt alles mal rudimentär aufgebaut. Also nur die OU's Administratoren, Benutzer und Gruppen.

Hab die entsprechenden GPOs unter die OU gehangen. Der Admin zieht sich sein Hintergrund, aber die Clients nicht.

[Maniska]

vor 5 Stunden schrieb Eichi84:

Hab die entsprechenden GPOs unter die OU gehangen. Der Admin zieht sich sein Hintergrund, aber die Clients nicht.

Meinten Sie "User"?

Was spuckt dir ein gpresult auf dem Client als Admin aus, und was als Standarduser?

Was sagt der GPresult-Wizard in der Gruppenrichtlinenverwaltung, bzw. der Modeler? Also die beiden Dinger ganz unten?

[Chief Wiggum]

vor 5 Stunden schrieb Eichi84:

aber die Clients nicht.

Da du ganz oben nur die Freigabeberechtigungen für den Share setzt: die normalen User haben auf NTFS-Ebene auch Leserechte für den Share?