Jump to content
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

hallo,

 

also sprichst du von benutzer gpos.

wenn die benutzer objekte auch in der ou sind,

addieren sich die einstellungen aller richtlinien.

 

du siehst doch die reihenfolge der anwendungen.

hast du in zwei gpos dieselbe richtlinie mit verschiedenen einstellungen,

gewinnt die mit der höheren priorität.

 

wenn die vererbung nicht manuell deaktiviert wurde,

überschreibt immer die default domain policy.

die ddp hat immer die höchste priorität bei konflikten.

 

um es abzuschließen:

 

und wenn deine benutzer objekte nicht in dieser ou liegen,

greifen deine gpos dort gar nicht erst.

dann musst du den loopback modus aktivieren auf authentifizierte benutzer...

 

dort kannst Du dann sogar definieren,

was bei konflikten passiert.

zusammenführen oder ersetzen.

 

ich hoffe das hilft dir bei der frage.

Link zu diesem Kommentar
hallo,

 

wenn die vererbung nicht manuell deaktiviert wurde,

überschreibt immer die default domain policy.

die ddp hat immer die höchste priorität bei konflikten.

 

Ich denke, da verwechselt du ein bischen was. So ist das jedenfalls falsch. Wieso kann man sonst überhaupt die Priorität der ddp verändern?

 

und wenn deine benutzer objekte nicht in dieser ou liegen,

greifen deine gpos dort gar nicht erst.

dann musst du den loopback modus aktivieren auf authentifizierte benutzer...

 

ähnliches Problem wie oben: Warum und vor allem WIE willst du den Loopbackmodus " ausgerechnet auf authentifizeirte benutzer" aktivieren?

 

 

ich hoffe das hilft dir bei der frage.

 

eher nicht!

 

cu

blub

Link zu diesem Kommentar

Also ich geb nochmal kurz meinen Senf hierzu ..

 

@Bytecode: Du scheinst leider etwas falsch verstanden zu haben

 

Hier geht es um die "Eingeschränkten Gruppen", welche man in der GPO definieren kann.

 

Gibt es mehrere Policies, in denen diese Einstellung gesetzt ist, und wirken mehrere dieser Policies auf ein und dasselbe Computerobjekt, so gewinnt die Richtlinie, welches als *letztes* ausgeführt wird.

 

Beispiel:

 

GPO1: (Linkorder 1)

 

Mitglieder der lokalen Gruppe der Administratoren:

 

Domäne\Domain Admins

Domäne\Harald Schmidt

 

GPO2: (Linkorder 2)

 

Mitglieder der lokalen Gruppe der Administratoren:

 

Domäne\Domain Admins

Domäne\Helmut Kohl

 

Wirken nun beide GPOs auf Computer A, so gewinnt GPO2, da diese als letzte ausgeführt wird (Linkorder 2).

Das heisst, lediglich die Domain Admins und Helmut Kohl sind in der Gruppe der lokalen Admins.

 

Hoffe das hilft :)

Link zu diesem Kommentar
hallo,

 

also sprichst du von benutzer gpos.

wenn die benutzer objekte auch in der ou sind,

addieren sich die einstellungen aller richtlinien.

1.) Spricht er nicht von Benutzer GPOs, nur weil das Wort Gruppen drin vorkommt :suspect:

Die betreffende GPO ist eine Computerrichtlinie

 

2.) Ob Benutzer oder Computer, das ist egal, wenn mehrere GPOs die selbe Einstellung anfassen, und das ist hier in dem Ausgangsbeispiel der Fall, dann wirkt die zuletzt angewendete Richtlinie.

 

Ich hoffe, damit die Frage des TO ausreichend beantwortet zu haben ;)

 

grizzly999

Link zu diesem Kommentar

Hallihallo,

 

 

ich mache das mal ganz kurz,

denn hier verstehen manche etwas falsch und behaupten dann das wäre das einzig richtige.

 

 

Ich denke, da verwechselt du ein bischen was. So ist das jedenfalls falsch. Wieso kann man sonst überhaupt die Priorität der ddp verändern?

 

Erstmal kann man nichts falsch verstehen.

1. die abschaltung der vererbung,

schaltet die vererbung ab.

 

damit stellt man sicher, dass in etwa ein konzept,

was mit den anderen ous, etc nichts zu tun hat,

sauber die einstellungen zieht.

Beispiele sind Notebook Konzepte,

Citrix OUs, etc.

 

ich denke so versteht es jeder. :-)

ich hoffe es zumindest.

 

2. das man prioritäten verändern kann

hat ganz andere ursachen.

da sind zum einen die logischen abläufe wichtig,

dann spezielle abläufe, wo die einen gpos einfach eher laufen müssen.

 

Des Weiteren:

 

ähnliches Problem wie oben: Warum und vor allem WIE willst du den Loopbackmodus " ausgerechnet auf authentifizeirte benutzer" aktivieren?

 

Wie? Ganz einfach, ist die std einstellung.

Bedeutet, dass Rechner und User gleichermaßen darauf anspringen.

 

Warum?

Habe ich doch ein Beispiel genannt? Benutzer, die nicht in der Ou abgelegt sind.

Genauer?

Wenn Sie sich an speziellen Nbs anmelden,

die im Konzept eine besondere Rolle spielen,

benötigen sie andere richtlinien.

 

Weiteres Beispiel?

Terminal und Citrix server.

 

 

Leute,

sagt nicht einfach jemand versteht etwas nicht,

wenn ihr euch nicht genau mit der materie auskennt.

so jedenfalls ist das zu dumm.

Link zu diesem Kommentar

sagt nicht einfach jemand versteht etwas nicht,

wenn ihr euch nicht genau mit der materie auskennt.

so jedenfalls ist das zu dumm.

Ui, das sind aber starke Worte von jemandem, der sich selber nicht so richtig auskennt. Anders kann ich mir dieses Zitat (von dir ) nicht erklären:

wenn die vererbung nicht manuell deaktiviert wurde,

überschreibt immer die default domain policy.

die ddp hat immer die höchste priorität bei konflik

Falscher geht's schließlich nimmer :nene:

 

grizzly999

Link zu diesem Kommentar

und der Satz:

dann musst du den loopback modus aktivieren auf authentifizierte benutzer...

ist sowohl für sich genommen als auch auf die Frage des TOs bezogen genauso Schwachfug! Ich denke, wenn du mal in einer Testumgebung versuchst, den "Loopback modus auf authentifizierte benutzer" zu aktivieren, wirst du es auch verstehen.

 

cu

blub

Link zu diesem Kommentar
2.) Ob Benutzer oder Computer, das ist egal, wenn mehrere GPOs die selbe Einstellung anfassen, und das ist hier in dem Ausgangsbeispiel der Fall, dann wirkt die zuletzt angewendete Richtlinie.

 

;) Ich misch mich auch mal noch mit ein. Und behaupte, dass deine Aussage zwar prinzipiell stimmt, aber wie immer gibts auch Ausnahmen. Beispiel: Die Firewall Richtlinien der XP Firewall wirken additiv. ;)

 

Changes to Group Policy behavior after installing Windows XP Service Pack 2

Before Windows XP SP2, the ADDITIVE keyword was rarely used. However, many more Group Policies now use this keyword. For example, the Windows Firewall Define Port Exceptions setting uses this new behavior.

 

Für den OP sollte es doch eigentlich ein Einfaches sein, das ganze Szenario mal kurz zu testen. Ich würde behaupten, dass das nicht länger als 1h dauert.

 

Bye

Norbert

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...