Gruppenrichtlinien und Sicherheitsvorlagen ?

[Thyral 10]

Hallo,

 

fröhliche Weihnachten und eiin guten Rutsch :-)) (bei 5 Grad und ohne Schnee) ins neue Jahr !! Danke für die gute Hilfe an alle LeserInnen.

 

Ich habe ein Verständnisproblem.

 

GPO = Gruppenrichtlinien, die gebunden sind in der Domäne oder an einer OU, damit kann ich regeln, was der Benutzer oder Computer in der Domäne oder Controller darf. Soweit habe ich es versucht zu verstehen.

Die Vorlagen dazu heissen .adm und finden sich im INF Ordner.

 

Sicherheitsvorlagen, kann ich bearbeiten mit einen Snap-in, mit Analyse und ... kann ich die geänderten Einstellungen kontrollieren und auch in die Registry schreiben lassen. Auch soweit verstanden.

 

Aber was hat beides miteinander zu tun ?

 

Sicherheitsvorlagen = Lokal ? oder auch in der DOMÄNE ?

Welchen zusammenhang haben beide miteinander ?

 

UND !! Wie kann ich GPOs Impertieren und Exportieren ?

 

Danke, bitte etwas Licht ins Dunkel.

 

THX

[patrick210778 10]

Ich habe ein Verständnisproblem.Aber was hat beides miteinander zu tun ?

 

Sicherheitsvorlagen = Lokal ? oder auch in der DOMÄNE ?

Welchen zusammenhang haben beide miteinander ?

 

 

SNIP:

Standardreihenfolge : LSDOU - diese Abkürzung steht für (1) Lokal, (2) Site, (3) Domäne, (4) Organisationseinheit. Die zu einem späteren Zeitpunkt angewendeten Richtlinien haben Vorrang vor den zuvor angewendeten Richtlinien. Wenn ein Computer einer Domäne angehört und ein Konflikt zwischen Domänen- und lokalen Computerrichtlinien auftritt, hat die Domänenrichtlinie Vorrang. Gehört ein Computer einer Domäne jedoch nicht mehr an, wird die lokale Gruppenrichtlinie angewendet.

 

QUELLE https://www.microsoft.com/germany/technet/datenbank/articles/900221.mspx

 

Ich denke dort ist es besser erklärt als ich das jetzt machen könnte.

 

Gruß

[IThome 10]

Du kannst Dir eine Sicherheitsvorlage erzeugen und diese in eine Gruppenrichtlinie importieren, indem Du mit rechts innerhalb der Gruppenrichtlinie auf Sicherheitseinstellungen klickst und diese Richtlinie importierst. Es gibt auch schon eine Menge vordefinierte Sicherheitsvorlagen, die Du benutzen kannst. Es werden solche vordefinierten Richtlinien von Windows benutzt (z.B. Defltwk.inf usw.), bei der Installation, beim Hochstufen zum DC...

[Thyral 10]

@all

Danke für die Antworten.

Soweit Verstanden, wenn ich eine Sicherheitsrichtlinie in eine Gruppenrichtlinie importiere, dann greift sie dort wo ich sie importiert habe ? Richtig, z.B. an einer GPO !

[IThome 10]

Korrekt, dafür ist sie da. Du kannst eine Sicherheitsvorlage (das ist eine Vorlage, keine Richtlinie) aber auch via SECEDIT anwenden, wie hier z.B.

https://www.mcseboard.de/windows-forum-ms-backoffice-31/ris-images-hauptbenutzerrechte-fehlen-neuem-rechner-82232.html?highlight=AREAS+FILESTORE

[Thyral 10]

@all

 

Danke für die Hilfe !

 

Ich habe es jetzt noch einmal probiert, ich habe auf einen DC eine Sicherheitsvorlage erstellt, habe dort die Kennwortrichtlinien die Kontosperrrichtlinien und die Überwachungsrichtlinien geändert, habe sie auch anwenden lassen, sieht bis dahin alles gut aus.

ABER !!

Die Kennwort und Konto... finde ich in AD in der Gruppenrichtlinie für Domänen und die Überwachungsrichtlinien in der Gruppenrichtlinie für DCs.

 

Wieso ist das so ? Wo kann man solche Erkentnisse herbekommen ohne es zu Probieren ?

Wieso wird ein Teil der Sicherheitsvorlage in die DOM... und der andere Teil in die des DCs geschrieben ?

 

ganz ganz dollen Dank !!

[IThome 10]

Kennwortrichtlinien für Domänenkonten MÜSSEN auf Domänenebene angewendet werden, jedoch nicht zwingend in der Default Domain Policy. Diese Einstellungen werden vererbt, die DCs erben sie also und wenden sie für alle Domänenkonten an. Jedes Computerkonto dieser Domäne erbt ebenfalls diese Einstellung (sofern sie nicht von einer näher liegenden Richtlinie ausser Kraft gesetzt wird), so dass diese Kennwortrichtlinien auch für lokale Konten des entsprechenden Computers gelten.

Überwachungsrichtlinien werden dort angewendet, wo sich Computerkonten befinden, auf denen etwas überwacht werden soll. Da die Domänencontroller sich in der Domain Controllers OU befinden und die Default Domain Controllers Policy in diese OU gelinkt ist, wirken sich diese Einstellungen nur auf die Domänencontroller aus (bei denen der Grad der Überwachung höher sein sollte). Würde man sowas auf Domänenebene konfigurieren, würden die Einstellungen der Überwachung auf jedem Computer der Domäne angewendet werden.

[patrick210778 10]

Kennwortrichtlinien für Domänenkonten MÜSSEN auf Domänenebene angewendet werden, jedoch nicht zwingend in der Default Domain Policy.

 

Darüber hinaus gilt, möchtest Du also zwei verschiedene Kennwortrichtlinien gleichzeitig verwenden, brauchst Du für jede Kennwortrichtlinie eine eigene Domäne :wink2:

Was bedeutet wenn Du für unterschiedliche OU´s innerhalb einer Domäne unterschiedliche Kennwortrichtlinien verwenden möchtest, ist dies so nicht möglich! Da brauchst Du schon für jede betroffene OU eine eigene Domäne! :eek:

Das gehört zu den Dingen über die man sich immer besonders freuen kann:cry:

[IThome 10]

Sicher kann man auf OUs Kennwortrichtlinien wirken lassen, sie wirken nur nicht auf Domänenkonten. Ich glaube, ich habe hier im Board in einem Beitrag gelesen, dass es Software gibt, die diese Beschränkung aufheben soll (ich finde das nur nicht wieder, vielleicht habe ich mich aber auch nur verlesen) ...

[Thyral 10]

@all

 

Danke, Danke, das hat mir sehr geholfen !

Ich finde das Thema ist sehr schwer zu verstehen und nachzuvollzihen, aber mit eurer Hilfe wird es langsam.

 

guten Rutsch !!