OPSI und GPO

[reneschmidt]

Hallo zusammen,

ich würde mich freuen, wenn ich einen Tipp zur folgender Frage bekommen könnte

Wie verteile ich am besten Gruppenrichtlinien?
(Klar, per AD...)

Kurz zum Hintergrund:
wir betreiben zwei komplett von einander getrennte Umgebungen (jeweils über mehrere Standorte verteilt). In der eine Umgebung (Umgebung A) setzten wir seit langen OPSI ein. Die andere Umgebung (Umgebung B) soll jetzt nach uns nach umgebaut werden.
Umgebung A verfügt über eine Domäne mit der wir unsere Gruppenrichtlinien verteilen. Umgebung B nicht. Umgebung B soll auch keine Domäne bekommen. Hier sollen die Geräte mit lokalen Anmeldungen ausgestattet werden.
Um den Administrativen Aufwand möglichst gering zu halten, wollen wir gerne möglichst die selben Gruppenrichtlinien in beiden Umgebungen einsetzten. Dabei geht es z.B. darum, dass die Einstellungen für den Edge vorgegeben sind; Deaktivierung der Microsoft-Konto Anmeldung; Coronta deaktivieren, etc.

Gibt es eine Möglichkeit, diese Rechtlinie quasi in der Umgebung A zu exportieren und in der Umgebung B mit OPSI zu verteilen?

Vielen Dank für Eure Tipps...

[SisterOfMercy]

Why not use registry settings for both environments?
When using gpedit.msc it justs changes a few registry keys. Using opsi to set these registry keys will also mean you will not have problems with group policies not being applied on a certain client.

Most of what you named is readily available: https://download.uib.de/4.2/stable/pack ... 1.2-2.opsi
Either extract it on your opsi server or use 7zip to delve into it, to find the script.

[Jan.Schmidt]

Um den Administrativen Aufwand möglichst gering zu halten, wollen wir gerne möglichst die selben Gruppenrichtlinien in beiden Umgebungen einsetzten.

Der AnSatz ist leider falsch gedacht...

Um überall eine eindeutige Gruppenrichtlinie zu haben und damit den Adminisrativen Aufand gering zu halten braucht man eine AD.
Man kann eine policy aus einem AD exportieren, diese / irgendeine kann aber nicht in eine Maschine importiert werden die kein AD Member ist.

Wenn man den Ast policy der Registry aus einem AD Member in ein NICHT AD Member importiert dann dauert das 2-3 reboots und der ganze Ast ist wieder weg.

Da ist der Aufwand "was verbiegt die GPO wo und baut da so um, das OPSI das dann AUF BEIDEN Standortenin die Reg schreibt und wir redden hier ausschliesslich von HKLM! HKCU kannst du so nicht abfrühstücken - deutlich größer.

[Jan.Schmidt]

Using opsi to set these registry keys will also mean you will not have problems with group policies not being applied on a certain client.

sorry your wrong
Die zeiten sind vorbei - einmal windoof 10 build inplace upgrade machen und mit Glück bleiben Änderungen von NICHT HKLM\Microweich\usw,\Software danach noch da.
Per GPO verteilte dagegen werden immer wieder auf den Client gebügelt und das funktioniert tatsächlich.

[SisterOfMercy]

Die zeiten sind vorbei - einmal windoof 10 build inplace upgrade machen und mit Glück bleiben Änderungen von NICHT HKLM\Microweich\usw,\Software danach noch da.
Per GPO verteilte dagegen werden immer wieder auf den Client gebügelt und das funktioniert tatsächlich.

Yes, that is why I reinstall those packages after I run win10-upgrade.

[Jan.Schmidt]

Yes, that is why I reinstall those packages after I run win10-upgrade.

Your a lucky Guy - depends on the View
100% of our Notebook get their inpce upgrade from Microsodt and WIndowsupdate
+40 % of our Notebooks get their Inplace Upgrade when the User is in his Homeoffice so we didnt really know WHEN a single Notebook would need these OPSI Packages so we dont have these things.

[reneschmidt]

Hallo zusammen,

vielen Dank für den Austausch.

Das die Variante ohne AD nicht Glücklich ist, ist mir auch klar.

Ich habe mir jetzt die Mühe gemacht und habe unsere AD Richtlinien in ein OPSI Script übersetzte. Das funktioniert tatsächlich nur so 90% da einige Einstellungen sogar bei der Benutzer Anmeldung überschrieben werden. Letztendlich, kann ich aber damit leben.

Für alle, die sich ggf. auch noch einmal mit diesem Thema beschäftigen: hier einmal ein ganz nützlicher Link, der mit sehr geholfen hat:
https://gpsearch.azurewebsites.net/

Hier findet man die Reg Keys zu den GPOs.
Sehr nützlich

[ewimar]

Hallo Rene,
wenn Du Dich tatsächlich mit AD-Richtlinien und lokalen Richtlinien auseinandersetzen möchtest/musst, dann könnte sich für Dich ein Blick auf

LGPO.exe (Teil des Microsoft Security Compliance Toolkits)

lohnen. Damit kannst Du Import und Export lokaler GPOs vornehmen, sowie .pol-Dateien in .txt-Dateien umwandeln und umgekehrt.

Viele Grüße
Martin

[SisterOfMercy]

100% of our Notebook get their inpce upgrade from Microsodt and WIndowsupdate
+40 % of our Notebooks get their Inplace Upgrade when the User is in his Homeoffice so we didnt really know WHEN a single Notebook would need these OPSI Packages so we dont have these things.

You could always create a package that checks for the existence of some registry keys, and if not, tell the config server to set a couple of packages to setup. Either with an always action or upon user login.