Aktuelle Version vom 19. April 2021, 09:53 Uhr

Grundlagen, Bedingungen

Domäne ist eingerichtet
Domänen Controller ist bei den Clients als erster DNS eingetragen
Client Computer sind zum AD hinzugefügt
Remote Server Administration Tools installieren

- An einem Windows PC (Win7 oder Win8) als Samba-Administrator anmelden

- Unter "Start → Systemsteuerung → Programme → Windows-Funktionen aktivieren und deaktivieren → Remoteserver-Verwaltungstools → Featureverwaltungs-Tools → Tools für die Gruppenrichtlinienverwaltung" aktivieren

- Mit "OK" bestätigen und speichern

Das AD sollte sehr einfach strukturiert werden. Dazu werden eigene Organisationseinheiten (OUs) angelegt, die Standardgruppen von Microsoft werden NICHT genutzt. Die vorhandenen Benutzer und Computer werden in die entsprechenden OUs verschoben.

Sollte man mehrere Benutzergruppen brauchen wird für jede Gruppe eine eigene OU angelegt. Man könnte zwar auch innerhalb der vorhandenen OU Benutzergruppen anlegen, wodurch sich aber später die Verwaltung deutlich erschwert.

Verwaltung

Am Einfachsten verwaltet man seine Gruppenrichtlinien mit der Gruppenrichtlininenverwaltungskonsole von Windows.

"Start" --> ausführen --> gpmc.msc

Erstellen einer Richtlinie

Grundsätzliches

Vorab sollte man sich entscheiden, wie man seine Gruppenrichtlinien organisieren will. Man kann eine Richtlinie erstellen, die viele Einstellungen enthält oder für jede Einstellung eine eigene Richtlinie erstellen. Der Vorteil einer einzigen Richtlinie liegt darin, daß sie schneller erstellt ist. Der Vorteil von mehreren Richtlinien liegt in der einfacheren Verwaltung im laufenden Betrieb. In diesem Artikel nutzen wir füe jede Einstellung eine eigene Richtlinie.

In der Konsole öffnet den Eintrag "Domänen"
Gehe zum Unterordner "Gruppenrichtlinienobjekte"
Rechtsklick und "Neu" auswählen
Nun kann kann man einen Namen vergeben. Den Namen sollte man so wählen, dass eine Zuordnung der Richtlinie später problemfrei möglich ist. z.B.: "Systemsteuerung entfernen"
Je nachdem ob man eine Einstellung an den Computer- oder den Benutzereigenschaften erzwingen will, wählt man den entsprechenden Unterpunkt.
Nun die gewünschte Einstellung auswählen und mit "aktivieren" scharf schalten

Zuweisen einer Richtlinie

Eine Richtlinie ist für alle User auf bestimmten PCs bestimmt:

Die GPO wird der entsprechenden Computer OU zugewiesen

Eine Richtlinie ist für bestimmte User auf allen PCs bestimmt:

Die GPO wird der entsprechenden Benutzer OU zugewiesen

Zertifikat über Gruppenrichtlinien an Clients verteilen

OU-Anlegen

Active Directory-Benutzer als Administrator öffnen

Domaine auswählen
Neu
- Organisationseinheit
  - xunix-user
- Verschieben von usern nach xunix-user
close

Diese OU erscheint dann auch bi den Gruppenrichtlinien

Gpos Beispiele

Gpos Beispiele

Gruppenrichtlinien aktualisieren ohne Wartezeit

Normalerweise werden dei Gruppenrichtliniuen in festgelegten Intervallen abgerufen. Um diese Wartezeit zu umgehen kann auf Clientseite den Befehl "gpupdate /force" benutzen.

Debugging auf Windowsseite

gpresult /H error.html

Debugging auf Sambaseite

Rechte sysvol kontrollieren

samba-tool ntacl sysvolcheck

Rechte auf sysvol zuruecksetzen

samba-tool ntacl sysvolreset

debugging

rsop.msc
gpresult
für 2000
SECEDIT /REFRESHPOLICY MACHINE_POLICY /ENFORCE
SECEDIT /REFRESHPOLICY USER_POLICY /ENFORCE

samba-tool-gpo (linux)

gp-tools (windows)

LINKS

http://www.gruppenrichtlinien.de/artikel/erstellen-einer-gruppenrichtlinie/

http://wiki.univention.de/index.php?title=Samba_4_Quickstart-3.1#Konfiguration_einer_Gruppenrichtlinie

http://chris-blog.net/2014/01/servergespeicherte-profile-auf-einem-samba-4-server-einrichten/

@@ Zeile 1: / Zeile 1: @@
 =Grundlagen, Bedingungen=
@@ Zeile 5: / Zeile 6: @@
 *Client Computer sind zum AD hinzugefügt<br>
 *Remote Server Administration Tools installieren<br>
- - An einem Windows PC (Win7 oder Win8) als Samba-Administrator anmelden
- - Unter "Start → Systemsteuerung → Programme → Windows-Funktionen aktivieren und deaktivieren → Remoteserver-Verwaltungstools → Featureverwaltungs-Tools → Tools für die Gruppenrichtlinienverwaltung" aktivieren
+- An einem Windows PC (Win7 oder Win8) als Samba-Administrator anmelden
- - Mit "OK" bestätigen und speichern
+- Unter "Start → Systemsteuerung → Programme → Windows-Funktionen aktivieren und deaktivieren → Remoteserver-Verwaltungstools → Featureverwaltungs-Tools → Tools für die Gruppenrichtlinienverwaltung" aktivieren
+- Mit "OK" bestätigen und speichern
 <br>
 Das AD sollte sehr einfach strukturiert werden. Dazu werden eigene Organisationseinheiten (OUs) angelegt, die Standardgruppen von Microsoft werden NICHT genutzt. Die vorhandenen Benutzer und Computer werden in die entsprechenden OUs verschoben.
@@ Zeile 27: / Zeile 32: @@
 *Gehe zum Unterordner "Gruppenrichtlinienobjekte"
 *Rechtsklick und "Neu" auswählen
-*Nun kann kann man einen Namen vergeben. Den Namen sollte man so wählen, daß eine Zuordnung der Richtlinie später problemfrei möglich ist. Z.B. "Systemsteuerung entfernen"
+*Nun kann kann man einen Namen vergeben. Den Namen sollte man so wählen, dass eine Zuordnung der Richtlinie später problemfrei möglich ist. z.B.: "Systemsteuerung entfernen"
+*Je nachdem ob man eine Einstellung an den Computer- oder den Benutzereigenschaften erzwingen will, wählt man den entsprechenden Unterpunkt.
+*Nun die gewünschte Einstellung auswählen und mit "aktivieren" scharf schalten
+==Zuweisen einer Richtlinie==
+*Eine Richtlinie ist für alle User auf bestimmten PCs bestimmt:
+ Die GPO wird der entsprechenden Computer OU zugewiesen
+*Eine Richtlinie ist für bestimmte User auf allen PCs bestimmt:
+ Die GPO wird der entsprechenden Benutzer OU zugewiesen
+*[[Zertifikat über Gruppenrichtlinien an Clients verteilen]]
+==OU-Anlegen==
+===Active Directory-Benutzer als Administrator öffnen===
+*Domaine auswählen
+*Neu
+**Organisationseinheit
+***xunix-user
+**Verschieben von usern nach xunix-user
+*close
+Diese OU erscheint dann auch bi den Gruppenrichtlinien
+=Gpos Beispiele=
+*[[Gpos Beispiele]]
+=Gruppenrichtlinien aktualisieren ohne Wartezeit=
+Normalerweise werden dei Gruppenrichtliniuen in festgelegten Intervallen abgerufen. Um diese Wartezeit zu umgehen kann auf Clientseite
+den Befehl "gpupdate /force" benutzen.
+=Debugging auf Windowsseite=
+ gpresult /H error.html
+=Debugging auf Sambaseite=
+==Rechte sysvol kontrollieren==
+ samba-tool ntacl sysvolcheck
+==Rechte auf sysvol zuruecksetzen==
+ samba-tool ntacl sysvolreset
-Angesichts der geschilderten Unübersichtlichkeit sollte man folgende Fallunterscheidungen treffen:
+=debugging=
+ rsop.msc
+ gpresult
+ für 2000
+ SECEDIT /REFRESHPOLICY MACHINE_POLICY /ENFORCE
+ SECEDIT /REFRESHPOLICY USER_POLICY /ENFORCE
-*Eine Verknüpfung ist für alle User auf ausgewählten PCs bestimmt:
- Hier konfiguriert man das GPO über Computerkonfiguration => Einstellungen => Windows-Einstellungen => Verknüpfungen und wählt als Speicherort das öffentliche Profil (Speicherorte, die mit Alle Benutzer bezeichnet sind).
-*Eine Verknüpfung ist für ausgewählte User auf allen PCs bestimmt:
- Hier nimmt man die Einstellungen unter Benutzerkonfiguration und schreibt die Verknüpfung in das Profil der jeweiligen Benutzer.
-Nach der Entscheidung kann man unter "Gruppenrichtlinienobjekte" neue erstellen.
+=[[samba-tool-gpo]] (linux) =
+=[[gp-tools]] (windows) =
 =LINKS=
-*http://www.gruppenrichtlinien.de/artikel/erstellen-einer-gruppenrichtlinie/
+: http://www.gruppenrichtlinien.de/artikel/erstellen-einer-gruppenrichtlinie/
-*http://wiki.univention.de/index.php?title=Samba_4_Quickstart-3.1#Konfiguration_einer_Gruppenrichtlinie
+: http://wiki.univention.de/index.php?title=Samba_4_Quickstart-3.1#Konfiguration_einer_Gruppenrichtlinie
-*
+: http://chris-blog.net/2014/01/servergespeicherte-profile-auf-einem-samba-4-server-einrichten/

Gruppenrichtlinien: Unterschied zwischen den Versionen