Gruppenrichtlinienobjekt gilt nicht für eine Organisationseinheit

7

Wir haben eine Batch-Datei ( logon.bat ), die Laufwerke zuordnet , wenn sich ein Benutzer anmeldet.

Dieses Skript wird von der Gruppenrichtlinie auf die gesamte Domäne angewendet.

Anfangs funktionierte dies perfekt, da wir immer wollten, dass dieses Skript angewendet wird. Jetzt haben wir jedoch PCs an einem Remote-Standort, die über eine VPN-Verbindung auf die Domäne zugreifen. Die Anmeldung dieser PCs kann aufgrund der Kombination aus Laufwerkszuordnungsskript und langsamer VPN-Verbindung bis zu 5 Minuten dauern. Ich habe experimentiert, indem ich "logon.bat" aus dem Gruppenrichtlinienobjekt "Standarddomänenrichtlinie" entfernt habe, und Benutzer am Remotestandort konnten sich einige Minuten schneller anmelden. Dies ist perfekt. Ich kann Laufwerke am Remote-Standort manuell für die kleine Anzahl von Benutzern zuordnen, die dort Netzwerkzugriff benötigen.

Was ich dann versuchte, war, zwei Organisationseinheiten zu erstellen: "Hauptbüro " (wo wir weiterhin das Laufwerkszuordnungsskript verwenden möchten) und " Off-Site " (für den Remote-Standort und auch Laptops, die domänenübergreifend sind). beigetreten).

Das einzige Problem besteht darin, dass der Verweis auf "logon.bat" aus dem Gruppenrichtlinienobjekt "Standarddomänenrichtlinie" entfernt und zu dem Gruppenrichtlinienobjekt "Laufwerke bei Anmeldung zuordnen" hinzugefügt wird, das auf "Hauptbüro" angewendet wird, nicht mehr angewendet wird zum Hauptbüro. Ich kann die Laufwerkszuordnung nicht selektiv nur auf Benutzer am Hauptstandort anwenden.

Wir können für dieses Anmeldeskript keinen Alles-oder-Nichts-Ansatz mehr verwenden, da sich dies auf die Leistung der Benutzer auswirkt, die remote arbeiten.

Hat jemand eine Idee, warum die Laufwerkszuordnung nicht mehr funktioniert, wenn ich versuche, ein anderes Gruppenrichtlinienobjekt zu erhalten, um damit umzugehen?

Geben Sie hier die Bildbeschreibung ein

Geben Sie hier die Bildbeschreibung ein

group-policy mappeddrive organizational-unit Austin '' Danger '' Powers
quelle

Antworten:

9

Wie bereits erwähnt, werden Benutzerrichtlinieneinstellungen auf Computerkonten festgelegt. Standardmäßig funktioniert dies nicht.

Sie können dies auf diese Weise zum Laufen bringen , indem Sie die Verarbeitung im Loopback-Modus für die von Ihnen erstellte Richtlinie aktivieren , um die Einstellungen für Benutzer zu verarbeiten, die sich bei diesen Computern anmelden . Durch die Loopback-Verarbeitung können die Benutzerrichtlinieneinstellungen auf eine Richtlinie angewendet werden, die auf ein Computerkonto angewendet wird.

Beachten Sie, dass das Aktivieren des Loopback-Modus es für alle Richtlinien in dieser Organisationseinheit aktiviert, die nach dem Aktivieren des Loopback-Modus für Richtlinien angewendet wurden.

Rex
quelle
Vielen Dank. Ich bin ein wenig überrascht, dass Benutzereinstellungen nur angewendet werden, wenn Sie einem Benutzer ein Gruppenrichtlinienobjekt zuweisen (und ebenso Computereinstellungen für ein dem Computer zugewiesenes Gruppenrichtlinienobjekt). Ich hatte angenommen, dass sowohl Benutzer- als auch Computereinstellungen auf jeden Benutzer oder Computer angewendet werden, dem das Gruppenrichtlinienobjekt zugewiesen wurde. Sieht so aus, als hätte ich mich völlig geirrt. Das zu tun, was ich geplant hatte (Anwenden einer Benutzerrichtlinie nur auf bestimmte Computer), ist also nicht so einfach, wie ich dachte.
Austin '' Danger '' Powers
2
Es ist immer noch ziemlich geradlinig. Ändern Sie entweder die vorhandene Richtlinie, um die Verarbeitung im Loopback-Modus zu aktivieren (Computerkonfiguration / Administratorvorlagen / System / GroupPolicy / Loopback-Richtlinie - aktivieren Sie die Einstellung, und stellen Sie sie wahrscheinlich auf Zusammenführen ein), oder erstellen Sie eine neue Richtlinie mit dieser Einstellung und verwenden Sie die neue Richtlinie wird vor Ihrer Laufwerkszuordnungsrichtlinie angewendet.
Rex
Vielen Dank. Ich fand, dass dieses Video jedem, der es zum ersten Mal verwendet, die Gruppenrichtlinien-Loopback-Verarbeitung hervorragend erklärt: youtube.com/watch?v=2bZGMtOCXN0
Austin '' Danger '' Powers
Wenn Sie ein Gruppenrichtlinienobjekt auf eine Computer-Organisationseinheit angewendet und die Loopback-Verarbeitung einfach auf den "Ersetzen" -Modus eingestellt hätten (aber in diesem Gruppenrichtlinienobjekt keine Benutzereinstellungen definiert haben, sodass es nicht mit den Benutzereinstellungen in Konflikt steht), würde dies immer noch der Fall sein Verhindern, dass alle Benutzereinstellungen (von anderen Gruppenrichtlinienobjekten definiert und auf Benutzer angewendet, die sich an diesem Computer anmelden) angewendet werden?
Austin '' Danger '' Powers
1
Wenn Sie den Richtlinienmodus auf "Ersetzen" setzen, werden Benutzerrichtlinieneinstellungen, die in einer anderen Organisationseinheit angewendet wurden, mit allen Benutzerrichtlinieneinstellungen gelöscht, die in Richtlinienobjekten definiert sind, die in der aktuellen Organisationseinheit angewendet werden, nachdem die Loopback-Richtlinie angewendet wurde. Wenn Sie also ein zweites Richtlinienobjekt in der Organisationseinheit des Computers mit Benutzereinstellungen haben, das nach der Richtlinie angewendet wird, die die Loopback-Richtlinie im Ersetzungsmodus aktiviert, werden diese Einstellungen weiterhin angewendet. Richtlinieneinstellungen einer Benutzer-Organisationseinheit werden jedoch nicht angewendet.
Rex
6

Sie haben eine Benutzerrichtlinie , die an eine Computer- Organisationseinheit gebunden ist . Die Einstellungen müssen mit dem Inhalt der Organisationseinheit übereinstimmen, an die sie gebunden sind.

Tim Brigham
quelle
Wenn ich also umgekehrt ein Gruppenrichtlinienobjekt mit Computerrichtlinien habe , die auf eine Benutzer- Organisationseinheit angewendet werden , werden die Computerrichtlinien auch nicht angewendet?
Austin '' Danger '' Powers
1
@Austin Richtig. Wenn eine Richtlinie beide Elemente enthält, muss sie dort angewendet werden, wo der Objekttyp vorhanden ist. Die einzige Ausnahme ist die Loopback-Verarbeitung, wie Rex erwähnt.
Tim Brigham
Gut zu wissen. Die meisten unserer Gruppenrichtlinienobjekte wurden bisher auf Domänenebene angewendet, daher mussten wir dies noch nie berücksichtigen. Danke fürs klarstellen.
Austin '' Danger '' Powers
3

Ein Anmeldeskript ist eine Benutzerrichtlinie. Dies gilt nicht für Computer , die Sie in diese Organisationseinheit einfügen, da dies für Benutzer gilt .

MDMarra
quelle
2

Wie in anderen Antworten angegeben, gelten Benutzerrichtlinien nicht für Computer. Sie können jedoch den Loopback-Verarbeitungsmodus verwenden, um dies zuzulassen.

Wie viel Bandbreite haben Sie zwischen den Standorten und wie viele Benutzer / Computer befinden sich am Remote-Standort?

Ich vermute, dass die Verzögerungen, die Sie sehen, nicht auf die von Ihnen angewendeten Richtlinien zurückzuführen sind, sondern darauf, dass Sie Netzwerklaufwerke über eine langsame WAN-Verbindung zuordnen.

Ich kann es anhand der Details in Ihrer Frage nicht erkennen, aber wenn Sie dies noch nicht getan haben, würden Sie eine große Verbesserung feststellen, wenn Sie einen Domänencontroller an Ihrem Remotestandort installieren, einen AD-Standort und ein Subnetz konfigurieren und DFSR einrichten für Replizieren Sie Ihre Netzwerkfreigaben zwischen den beiden Standorten.

Wir führen seit etwa 2006 eine ähnliche Einrichtung durch und replizieren etwa 500 GB Daten zwischen zwei Dateiservern mit einer Bandbreite von nicht mehr als einem theoretischen Maximum von 384 Kbit / s. Abhängig davon, wie viel Daten / Bandbreite Sie haben, würde ich empfehlen, die erste Replikation mit dem Remote-Standortserver im Hauptbüro zu starten, da Sie sonst möglicherweise lange auf den Abschluss der ersten Synchronisierung warten müssen.

Bryan
quelle
Ich würde gerne einen anderen Server einrichten, aber es ist eine gemeinnützige Organisation mit einem knappen Budget, und ich glaube nicht, dass sie die Kosten rechtfertigen könnten ... vor allem, wenn man bedenkt, dass dies bereits sehr gut funktioniert (abgesehen von der verzögerten Anmeldung). Ich freue mich darauf, heute Abend die GP-Loopback-Verarbeitung zu testen (wahrscheinlich eher "Zusammenführen" als "Ersetzen"), da dies das letzte Problem lösen könnte, das sie mit dieser Konfiguration haben.
Austin '' Danger '' Powers