Gruppenrichtlinien - Ausnahmen Benutzer am Notebook

[2-frozen]

Hallo zusammen,

in unserer ADS (2003) mit Gruppenrichtlinienerweiterungen für Vista/2008, haben wir folgende Struktur:

Maincontainer mit allg. Richtlinie. Darunter kommen alle anderen Container, inkl. der verschiedenen Abteilungen, in denen die Benutzer hinterlegt sind. Ebenfalls sind die OUs für die Computerkonten unterhalb des Maincontainers. Unsere Notebooks befinden sich in einer separaten OU, für die die Vererbung der allg. Richtlinie deaktiviert ist. In dieser OU befindet sich eine eigene Richtlinie speziell für Notebooks.

Nun das Problem: Die Gruppenrichtlinie ist ja aufgeteilt in eine Computer- und einenBenutzerteil. Der Computerteil wird korrekt aus der OU Notebooks übernommen, da die vererbung ja deaktviert ist und sich da Notebook in dieser OU befindet. Da aber das Benutzerkonto nicht unterhalb von der OU Notebooks liegt, sondern eine Ebene höher, greift dort weiterhin die allg. Richtlinie.

Die betroffenen Benutzer haben zusätzlich alle auch einen festen Arbeitsplatz und benötigen somit die allg. Richtlinie, zudem dürfen Sie nicht aus deren Abteilungs OUs herausgezogen werden.

Wie erreiche ich es jetzt dennoch, dass wenn der Benutzer sich am Notebook anmeldet, die allg. Richtlinie für Ihn aufgehoben wird und der Benutzerteil der Richtlinie von der OU Notebooks greift?

Anbei eine kleine Grafik zur Veranschaulichung.

Da die Computernamen unserer Notebooks alle mit NB beginnen, bin ich am überlegen, ob ich auf die allg. Richtlinie noch einen WMI Filter setze, der die Richtlinie nur greifen lässt, wenn der Computername NICHT mit NB beginnt. Damit müsste ich doch das greifen der Allg. Richtlinie für das Notebook komplett ausschalten, oder? Wenn ich dann noch in der OU Notebooks eine Benutzergruppe anlege und die entsprechenden Benutzer zu dieser Gruppe hinzufüge, müsste doch auch der Benutzerspezifische Teil der OU für diese gelten, oder?

Gruß, 2-frozen

[Tiro]

Wäre die Lösung nicht einfach die Notebook-OU unterhalb der anderen OU anzusiedeln?

Wer "oben" ist bekommt die Desktop-GPOs, wer drunter ist, die Notebook-GPOs. Die Vererbung ist ja ausgeschaltet.

Oder habe ich die Aufgabe nur nicht verstanden :confused:

T

[2-frozen]

Naja, alle Notebooks sind in einer OU, aber nicht jedes Notebook gehört zur Abteilung 1. Dann müsste ja unter jede Abteilung, in der ein Notebookbenutzer ist eine OU für Notebooks angelegt und mit den Policies verknüpft werden. Und zusätzlich müsste ich dann diese Gruppen auch noch im WSUS abbilden. Ich muss schon unsere Organisationsstruktur beibehalten.