Zentraler Trigger damit die Clients ihre GPOs aktualisieren

01/02/2010 - 12:41 von Udo Linnenschmidt | Report spam
Hallo,

ich hab' da mal wieder 'ne Frage...

Standardmàßig (ich weiß man kann es für die diversen Policybereiche àndern)
aktualisieren die Clients ihre Gruppenrichtlinien ja nur dann, wenn auf dem
Server eine neue Version vorliegt. D.h. auch beim Neustart werden die Gruppenrichtlinien
nicht aktualisiert, wenn die Versionen Client & Server identisch sind (Ausnahme
sind nach meinen Testings [zumindest teilweise] die Preferences). Somit kann
es ja sein, dass ein User gewisse Einstellungen lokal geàndert hat, die erst
dann wieder "korrigiert" werden, wenn die GPOs auf dem Server modifiziert
wurden und somit eine neuere Version vorliegt.

Gibt's eine Art Trigger, sodass alle Clients beim nàchsten "Nachfragen" oder
zumindest beim nàchsten Neustart ihre GPOs aktualisieren? Ein "gpupdate /force"
im Anmeldescript möchte ich eigentlich nicht haben. Irgendeinen Wert in der
GPO àndern und wieder "zurückàndern", damit die Versionsnummer sich àndert,
ist auch ein wenig umstàndlich... Vielleicht gibt's da ja was, was ich eigentlich
kennen sollte.

Thx
Udo L
 

Lesen sie die antworten

#1 Mark Heitbrink [MVP]
01/02/2010 - 13:51 | Warnen spam
Hi,

Am 01.02.2010 12:41, schrieb Udo Linnenschmidt:
(Ausnahme sind nach meinen Testings [zumindest teilweise]
die Preferences).



Richtig, oder zB Scripte kaufen auch immer etc.

Somit kann es ja sein, dass ein User gewisse Einstellungen lokal geàndert
hat, die erst dann wieder "korrigiert" werden, wenn die GPOs auf dem
Server modifiziert wurden und somit eine neuere Version vorliegt.



Reden wird von "echten" Policies? (Adm.Vorlagen ...)
Bei AdmVorlagen oder Security, Software und div. anderen kritischen
Bereichen kann ein Benutzer die Einstellungen nicht àndern, also
braucht man den Trigger nicht.

Wenn der User diese àndern kann, dann liegt der Fehler darin, daß du
ihn zum lokalen Admin gemacht hast und dagegen ist kein Kraut gewachsen
der Fehler liegt(sitzt) definitiv "vor" dem Server.

Ein "gpupdate /force" im Anmeldescript möchte ich eigentlich nicht haben.



Wàre aber beim Einsatz von Lokalen Admins, die einzig sinnvolle
Variante, denn alle deine Trigger könnten lokal vom Admin geàndert
worden sein. Er ist schliesslich Lokaler Admin.

Du erkennst das Problem?
Entweder hast du Benutzer und keine Probleme, oder du hast lokale Admins
und dafür keine Lösung, ausser: Mache sie zu Benutzern

Es gibt nur einen einzigen Grund für den Einsatz von lokalen Admins:
Faulheit des Administrators.
Jede schlechte Software làsst sich als Benutzer ausführen, wenn man die
fehlenden Rechte hinzufügt. Man (DU!) must es nur tun.

Dafür gibt es einen einfachen Weg:
http://www.gruppenrichtlinien.de/Ho...gungen.htm


Tschö
Mark
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate

Ähnliche fragen