Ich habe ein Anmeldeskript über GPO angewendet, um BGInfo auszuführen. So wie ich es verstehe, muss das GPO, da ich eine Benutzerkonfiguration einstelle, auf eine Benutzer-OU angewendet werden. Wir haben eine OU namens SERVERS, die die einzige OU ist, auf der dieses GPO ausgeführt werden soll. Als ich das GPO jedoch mit der SERVERS-OU statt mit der USERS-OU verknüpfte, wurde das GPO nicht angewendet. Da das GPO daher mit der USERS-OU verknüpft ist, wird es auf jedem PC/SERVER in unserem Unternehmen ausgeführt – was wir nicht wollen.
Wenn meine Schlussfolgerungen bisher richtig sind, ging ich davon aus, dass ich die Ausführung der Gruppenrichtlinie auf anderen Organisationseinheiten als SERVERN nur über einen WMI-Filter verhindern kann. Allerdings scheint es mir nicht möglich zu sein, einen funktionierenden Filter zu erstellen, da ich auf eine Variable wie %computername% nicht zugreifen kann.
Ich hätte gedacht, ich wollte eine Abfrage wie diese:
gwmi -namespace root\directory\LDAP -query "select * from ds_computer where DS_cn = %computername% AND ds_distinguishedName like '%ou=servers%'"
Dies wäre das Äquivalent zu sagen: „SELECT * FROM ds_Computer where DS_cn = [Current COMPUTER BEING LOGGED ON TO] AND ds_distinguishedName like '%ou=servers%'“
Aber das wird sich natürlich nicht auswerten lassen.
Bin ich hier auf dem richtigen Weg? Oder gibt es eine bessere Lösung?
Jeder Ratschlag ist herzlich willkommen.
Vielen Dank, dotdev
Antwort1
Sie möchten eine Loopback-Verarbeitung. Dabei werden die Elemente der „Benutzerkonfiguration“ ausgeführt, die der Gruppenrichtlinie eines Computers als der Benutzer zugewiesen sind, der sich anmeldet. Ihre Gruppenrichtlinie, die der Organisationseinheit „Server“ mit Konfigurationselementen für Benutzer zugewiesen ist, wird also ausgeführt, wenn sich der Benutzer anmeldet.
Microsoft hat eine bessere Erklärung inWindows Server: „Benutzergruppenrichtlinien-Loopback-Verarbeitungsmodus“ verstehen
Antwort2
Vermeiden Sie Loopback-Verarbeitung. Dies ist eine FehlerbehebungAlptraumund neigt dazu, Sie manchmal Jahre später zu belästigen. Verwenden Sie stattdessen die Zielausrichtung auf Elementebene der Gruppenrichtlinieneinstellungen (GPP). Der grundlegende Prozess ist:
- Erstellen eines neuen Gruppenrichtlinienobjekts
- Navigieren Sie zu Benutzerkonfiguration | Einstellungen | Systemsteuerungseinstellungen | Geplante Aufgaben
- Neue geplante Aufgabe erstellen (zumindest Windows 7)
- Konfigurieren Sie Ihre Aufgabe so, dass entweder das Skript ausgeführt wird oder Ihr Skript direkt gestartet wird.
- Erstellen Sie auf der Registerkarte Trigger einen Trigger, der „Beim Anmelden“ gestartet wird.
- Als Bonus können Sie bginfo regelmäßig „aktualisieren“ lassen, indem Sie die Option „Aufgabe wiederholen alle“ setzen.
- Aktivieren Sie auf der Registerkarte „Allgemein“ die Option „Zielsetzung auf Artikelebene“ und öffnen Sie den Dialog „Zielsetzung“.
- Neues Element auswählen | Organisationseinheit
- Durchsuchen Sie die OU, auf die Sie das GPP anwenden möchten, und wählen Sie sie aus.
- Verknüpfen Sie das Gruppenrichtlinienobjekt mit dem Speicherort Ihrer Benutzerobjekte.