GPO Frage

[retofischer 10]

Hallo Community

 

kleine Frage:

Wenn ich 2 Gruppenrichtlinien mit eingeschränkten Gruppen auf ein OU wirken habe, werden die Einstellungen der eingeschränkten Gruppen addiert oder wirkt einfach nur die stärkere?

 

MfG

[Sternenkind 11]

Wenn sie auf der gleichen OU liegen addieren sie sich grundsätzlich...

Wenn zwei auf der gleichen OU gegesätzliche Einstellungen haben, scheint das "random" Prinzip zu greifen (bei div. Kunden gesehen, das einige PCs das eine und andere das andere tun)

Wenn du sauber trennst

- Firewall OU

- Ordnerumleituns OU

- ...

 

greifen alle

[Errazzor 10]

Ich würde behaupten, die GPO's mit den eingeschränkten Gruppen ersetzen sich gegenseitig.

 

Da kommt es dann auf die Link Order an, diejenige GPO welches als letztes ausgeführt wird, gewinnt.

[Sternenkind 11]

Wenn du sagst, um welche Einstellungen es sich handelt, können wir das rekonstruieren und eine definitive Antwort geben :)

[Errazzor 10]

Wenn du sagst, um welche Einstellungen es sich handelt, können wir das rekonstruieren und eine definitive Antwort geben :)

 

Ähhm.. um eingeschränkte Gruppen?

 

Kannst mir aber ruhig glauben, es ist so wie oben geschrieben ;)

[Sternenkind 11]

Ich meinte inwiefern eingeschränkt :)

Es sei denn ich lege deine GPO anders aus als du

[Stephan Betken 43]

Ich meinte inwiefern eingeschränkt :)

Nicht eingeschränkte GPO. Eingeschränkte Gruppen. Gruppenrichtlinien - Übersicht, FAQ und Tutorials

[Bytecode 10]

hallo,

 

also sprichst du von benutzer gpos.

wenn die benutzer objekte auch in der ou sind,

addieren sich die einstellungen aller richtlinien.

 

du siehst doch die reihenfolge der anwendungen.

hast du in zwei gpos dieselbe richtlinie mit verschiedenen einstellungen,

gewinnt die mit der höheren priorität.

 

wenn die vererbung nicht manuell deaktiviert wurde,

überschreibt immer die default domain policy.

die ddp hat immer die höchste priorität bei konflikten.

 

um es abzuschließen:

 

und wenn deine benutzer objekte nicht in dieser ou liegen,

greifen deine gpos dort gar nicht erst.

dann musst du den loopback modus aktivieren auf authentifizierte benutzer...

 

dort kannst Du dann sogar definieren,

was bei konflikten passiert.

zusammenführen oder ersetzen.

 

ich hoffe das hilft dir bei der frage.

[blub 115]

hallo,

 

wenn die vererbung nicht manuell deaktiviert wurde,

überschreibt immer die default domain policy.

die ddp hat immer die höchste priorität bei konflikten.

 

Ich denke, da verwechselt du ein bischen was. So ist das jedenfalls falsch. Wieso kann man sonst überhaupt die Priorität der ddp verändern?

 

und wenn deine benutzer objekte nicht in dieser ou liegen,

greifen deine gpos dort gar nicht erst.

dann musst du den loopback modus aktivieren auf authentifizierte benutzer...

 

ähnliches Problem wie oben: Warum und vor allem WIE willst du den Loopbackmodus " ausgerechnet auf authentifizeirte benutzer" aktivieren?

 

 

ich hoffe das hilft dir bei der frage.

 

eher nicht!

 

cu

blub

[Errazzor 10]

Also ich geb nochmal kurz meinen Senf hierzu ..

 

@Bytecode: Du scheinst leider etwas falsch verstanden zu haben

 

Hier geht es um die "Eingeschränkten Gruppen", welche man in der GPO definieren kann.

 

Gibt es mehrere Policies, in denen diese Einstellung gesetzt ist, und wirken mehrere dieser Policies auf ein und dasselbe Computerobjekt, so gewinnt die Richtlinie, welches als *letztes* ausgeführt wird.

 

Beispiel:

 

GPO1: (Linkorder 1)

 

Mitglieder der lokalen Gruppe der Administratoren:

 

Domäne\Domain Admins

Domäne\Harald Schmidt

 

GPO2: (Linkorder 2)

 

Mitglieder der lokalen Gruppe der Administratoren:

 

Domäne\Domain Admins

Domäne\Helmut Kohl

 

Wirken nun beide GPOs auf Computer A, so gewinnt GPO2, da diese als letzte ausgeführt wird (Linkorder 2).

Das heisst, lediglich die Domain Admins und Helmut Kohl sind in der Gruppe der lokalen Admins.

 

Hoffe das hilft :)

[grizzly999 11]

hallo,

 

also sprichst du von benutzer gpos.

wenn die benutzer objekte auch in der ou sind,

addieren sich die einstellungen aller richtlinien.

1.) Spricht er nicht von Benutzer GPOs, nur weil das Wort Gruppen drin vorkommt :suspect:

Die betreffende GPO ist eine Computerrichtlinie

 

2.) Ob Benutzer oder Computer, das ist egal, wenn mehrere GPOs die selbe Einstellung anfassen, und das ist hier in dem Ausgangsbeispiel der Fall, dann wirkt die zuletzt angewendete Richtlinie.

 

Ich hoffe, damit die Frage des TO ausreichend beantwortet zu haben ;)

 

grizzly999

[Bytecode 10]

Hallihallo,

 

 

ich mache das mal ganz kurz,

denn hier verstehen manche etwas falsch und behaupten dann das wäre das einzig richtige.

 

 

Ich denke, da verwechselt du ein bischen was. So ist das jedenfalls falsch. Wieso kann man sonst überhaupt die Priorität der ddp verändern?

 

Erstmal kann man nichts falsch verstehen.

1. die abschaltung der vererbung,

schaltet die vererbung ab.

 

damit stellt man sicher, dass in etwa ein konzept,

was mit den anderen ous, etc nichts zu tun hat,

sauber die einstellungen zieht.

Beispiele sind Notebook Konzepte,

Citrix OUs, etc.

 

ich denke so versteht es jeder. :-)

ich hoffe es zumindest.

 

2. das man prioritäten verändern kann

hat ganz andere ursachen.

da sind zum einen die logischen abläufe wichtig,

dann spezielle abläufe, wo die einen gpos einfach eher laufen müssen.

 

Des Weiteren:

 

ähnliches Problem wie oben: Warum und vor allem WIE willst du den Loopbackmodus " ausgerechnet auf authentifizeirte benutzer" aktivieren?

 

Wie? Ganz einfach, ist die std einstellung.

Bedeutet, dass Rechner und User gleichermaßen darauf anspringen.

 

Warum?

Habe ich doch ein Beispiel genannt? Benutzer, die nicht in der Ou abgelegt sind.

Genauer?

Wenn Sie sich an speziellen Nbs anmelden,

die im Konzept eine besondere Rolle spielen,

benötigen sie andere richtlinien.

 

Weiteres Beispiel?

Terminal und Citrix server.

 

 

Leute,

sagt nicht einfach jemand versteht etwas nicht,

wenn ihr euch nicht genau mit der materie auskennt.

so jedenfalls ist das zu dumm.

[grizzly999 11]

sagt nicht einfach jemand versteht etwas nicht,

wenn ihr euch nicht genau mit der materie auskennt.

so jedenfalls ist das zu dumm.

Ui, das sind aber starke Worte von jemandem, der sich selber nicht so richtig auskennt. Anders kann ich mir dieses Zitat (von dir ) nicht erklären:

wenn die vererbung nicht manuell deaktiviert wurde,

überschreibt immer die default domain policy.

die ddp hat immer die höchste priorität bei konflik

Falscher geht's schließlich nimmer :nene:

 

grizzly999

[blub 115]

und der Satz:

dann musst du den loopback modus aktivieren auf authentifizierte benutzer...

ist sowohl für sich genommen als auch auf die Frage des TOs bezogen genauso Schwachfug! Ich denke, wenn du mal in einer Testumgebung versuchst, den "Loopback modus auf authentifizierte benutzer" zu aktivieren, wirst du es auch verstehen.

 

cu

blub

[NorbertFe 2.045]

2.) Ob Benutzer oder Computer, das ist egal, wenn mehrere GPOs die selbe Einstellung anfassen, und das ist hier in dem Ausgangsbeispiel der Fall, dann wirkt die zuletzt angewendete Richtlinie.

 

;) Ich misch mich auch mal noch mit ein. Und behaupte, dass deine Aussage zwar prinzipiell stimmt, aber wie immer gibts auch Ausnahmen. Beispiel: Die Firewall Richtlinien der XP Firewall wirken additiv. ;)

 

Changes to Group Policy behavior after installing Windows XP Service Pack 2

Before Windows XP SP2, the ADDITIVE keyword was rarely used. However, many more Group Policies now use this keyword. For example, the Windows Firewall Define Port Exceptions setting uses this new behavior.

 

Für den OP sollte es doch eigentlich ein Einfaches sein, das ganze Szenario mal kurz zu testen. Ich würde behaupten, dass das nicht länger als 1h dauert.

 

Bye

Norbert