OPSI und GPO

Antworten
reneschmidt
Beiträge: 34
Registriert: 04 Aug 2015, 18:49

OPSI und GPO

Beitrag von reneschmidt »

Hallo zusammen,

ich würde mich freuen, wenn ich einen Tipp zur folgender Frage bekommen könnte ;)

Wie verteile ich am besten Gruppenrichtlinien?
(Klar, per AD...)

Kurz zum Hintergrund:
wir betreiben zwei komplett von einander getrennte Umgebungen (jeweils über mehrere Standorte verteilt). In der eine Umgebung (Umgebung A) setzten wir seit langen OPSI ein. Die andere Umgebung (Umgebung B) soll jetzt nach uns nach umgebaut werden.
Umgebung A verfügt über eine Domäne mit der wir unsere Gruppenrichtlinien verteilen. Umgebung B nicht. Umgebung B soll auch keine Domäne bekommen. Hier sollen die Geräte mit lokalen Anmeldungen ausgestattet werden.
Um den Administrativen Aufwand möglichst gering zu halten, wollen wir gerne möglichst die selben Gruppenrichtlinien in beiden Umgebungen einsetzten. Dabei geht es z.B. darum, dass die Einstellungen für den Edge vorgegeben sind; Deaktivierung der Microsoft-Konto Anmeldung; Coronta deaktivieren, etc.

Gibt es eine Möglichkeit, diese Rechtlinie quasi in der Umgebung A zu exportieren und in der Umgebung B mit OPSI zu verteilen?

Vielen Dank für Eure Tipps...
Benutzeravatar
SisterOfMercy
Beiträge: 1522
Registriert: 22 Jun 2012, 19:18

Re: OPSI und GPO

Beitrag von SisterOfMercy »

Why not use registry settings for both environments?
When using gpedit.msc it justs changes a few registry keys. Using opsi to set these registry keys will also mean you will not have problems with group policies not being applied on a certain client.

Most of what you named is readily available: https://download.uib.de/4.2/stable/pack ... 1.2-2.opsi
Either extract it on your opsi server or use 7zip to delve into it, to find the script.
Bitte schreiben Sie Deutsch, when I'm responding in the German-speaking part of the forum!
Jan.Schmidt
Beiträge: 439
Registriert: 08 Jul 2017, 12:02

Re: OPSI und GPO

Beitrag von Jan.Schmidt »

reneschmidt hat geschrieben: 30 Sep 2022, 22:12Um den Administrativen Aufwand möglichst gering zu halten, wollen wir gerne möglichst die selben Gruppenrichtlinien in beiden Umgebungen einsetzten.
Der AnSatz ist leider falsch gedacht...

Um überall eine eindeutige Gruppenrichtlinie zu haben und damit den Adminisrativen Aufand gering zu halten braucht man eine AD.
Man kann eine policy aus einem AD exportieren, diese / irgendeine kann aber nicht in eine Maschine importiert werden die kein AD Member ist.

Wenn man den Ast policy der Registry aus einem AD Member in ein NICHT AD Member importiert dann dauert das 2-3 reboots und der ganze Ast ist wieder weg.

Da ist der Aufwand "was verbiegt die GPO wo und baut da so um, das OPSI das dann AUF BEIDEN Standortenin die Reg schreibt und wir redden hier ausschliesslich von HKLM! HKCU kannst du so nicht abfrühstücken - deutlich größer.
Jan.Schmidt
Beiträge: 439
Registriert: 08 Jul 2017, 12:02

Re: OPSI und GPO

Beitrag von Jan.Schmidt »

SisterOfMercy hat geschrieben: 01 Okt 2022, 14:55Using opsi to set these registry keys will also mean you will not have problems with group policies not being applied on a certain client.
sorry your wrong
Die zeiten sind vorbei - einmal windoof 10 build inplace upgrade machen und mit Glück bleiben Änderungen von NICHT HKLM\Microweich\usw,\Software danach noch da.
Per GPO verteilte dagegen werden immer wieder auf den Client gebügelt und das funktioniert tatsächlich.
Benutzeravatar
SisterOfMercy
Beiträge: 1522
Registriert: 22 Jun 2012, 19:18

Re: OPSI und GPO

Beitrag von SisterOfMercy »

Jan.Schmidt hat geschrieben: 01 Okt 2022, 23:03 Die zeiten sind vorbei - einmal windoof 10 build inplace upgrade machen und mit Glück bleiben Änderungen von NICHT HKLM\Microweich\usw,\Software danach noch da.
Per GPO verteilte dagegen werden immer wieder auf den Client gebügelt und das funktioniert tatsächlich.
Yes, that is why I reinstall those packages after I run win10-upgrade.
Bitte schreiben Sie Deutsch, when I'm responding in the German-speaking part of the forum!
Jan.Schmidt
Beiträge: 439
Registriert: 08 Jul 2017, 12:02

Re: OPSI und GPO

Beitrag von Jan.Schmidt »

SisterOfMercy hat geschrieben: 02 Okt 2022, 02:41
Yes, that is why I reinstall those packages after I run win10-upgrade.
Your a lucky Guy - depends on the View ;-)
100% of our Notebook get their inpce upgrade from Microsodt and WIndowsupdate
+40 % of our Notebooks get their Inplace Upgrade when the User is in his Homeoffice so we didnt really know WHEN a single Notebook would need these OPSI Packages so we dont have these things.
reneschmidt
Beiträge: 34
Registriert: 04 Aug 2015, 18:49

Re: OPSI und GPO

Beitrag von reneschmidt »

Hallo zusammen,

vielen Dank für den Austausch.

Das die Variante ohne AD nicht Glücklich ist, ist mir auch klar.

Ich habe mir jetzt die Mühe gemacht und habe unsere AD Richtlinien in ein OPSI Script übersetzte. Das funktioniert tatsächlich nur so 90% da einige Einstellungen sogar bei der Benutzer Anmeldung überschrieben werden. Letztendlich, kann ich aber damit leben.

Für alle, die sich ggf. auch noch einmal mit diesem Thema beschäftigen: hier einmal ein ganz nützlicher Link, der mit sehr geholfen hat:
https://gpsearch.azurewebsites.net/

Hier findet man die Reg Keys zu den GPOs.
Sehr nützlich ;)
ewimar
Beiträge: 14
Registriert: 10 Aug 2018, 10:19

Re: OPSI und GPO

Beitrag von ewimar »

Hallo Rene,
wenn Du Dich tatsächlich mit AD-Richtlinien und lokalen Richtlinien auseinandersetzen möchtest/musst, dann könnte sich für Dich ein Blick auf

LGPO.exe (Teil des Microsoft Security Compliance Toolkits)

lohnen. Damit kannst Du Import und Export lokaler GPOs vornehmen, sowie .pol-Dateien in .txt-Dateien umwandeln und umgekehrt.

Viele Grüße
Martin
Benutzeravatar
SisterOfMercy
Beiträge: 1522
Registriert: 22 Jun 2012, 19:18

Re: OPSI und GPO

Beitrag von SisterOfMercy »

Jan.Schmidt hat geschrieben: 02 Okt 2022, 11:08 100% of our Notebook get their inpce upgrade from Microsodt and WIndowsupdate
+40 % of our Notebooks get their Inplace Upgrade when the User is in his Homeoffice so we didnt really know WHEN a single Notebook would need these OPSI Packages so we dont have these things.
You could always create a package that checks for the existence of some registry keys, and if not, tell the config server to set a couple of packages to setup. Either with an always action or upon user login.
Bitte schreiben Sie Deutsch, when I'm responding in the German-speaking part of the forum!
Antworten