retofischer 10 Geschrieben 2. Mai 2008 Melden Teilen Geschrieben 2. Mai 2008 Hallo Community kleine Frage: Wenn ich 2 Gruppenrichtlinien mit eingeschränkten Gruppen auf ein OU wirken habe, werden die Einstellungen der eingeschränkten Gruppen addiert oder wirkt einfach nur die stärkere? MfG Zitieren Link zu diesem Kommentar
Sternenkind 11 Geschrieben 2. Mai 2008 Melden Teilen Geschrieben 2. Mai 2008 Wenn sie auf der gleichen OU liegen addieren sie sich grundsätzlich... Wenn zwei auf der gleichen OU gegesätzliche Einstellungen haben, scheint das "random" Prinzip zu greifen (bei div. Kunden gesehen, das einige PCs das eine und andere das andere tun) Wenn du sauber trennst - Firewall OU - Ordnerumleituns OU - ... greifen alle Zitieren Link zu diesem Kommentar
Errazzor 10 Geschrieben 2. Mai 2008 Melden Teilen Geschrieben 2. Mai 2008 Ich würde behaupten, die GPO's mit den eingeschränkten Gruppen ersetzen sich gegenseitig. Da kommt es dann auf die Link Order an, diejenige GPO welches als letztes ausgeführt wird, gewinnt. Zitieren Link zu diesem Kommentar
Sternenkind 11 Geschrieben 3. Mai 2008 Melden Teilen Geschrieben 3. Mai 2008 Wenn du sagst, um welche Einstellungen es sich handelt, können wir das rekonstruieren und eine definitive Antwort geben :) Zitieren Link zu diesem Kommentar
Errazzor 10 Geschrieben 3. Mai 2008 Melden Teilen Geschrieben 3. Mai 2008 Wenn du sagst, um welche Einstellungen es sich handelt, können wir das rekonstruieren und eine definitive Antwort geben :) Ähhm.. um eingeschränkte Gruppen? Kannst mir aber ruhig glauben, es ist so wie oben geschrieben ;) Zitieren Link zu diesem Kommentar
Sternenkind 11 Geschrieben 3. Mai 2008 Melden Teilen Geschrieben 3. Mai 2008 Ich meinte inwiefern eingeschränkt :) Es sei denn ich lege deine GPO anders aus als du Zitieren Link zu diesem Kommentar
Stephan Betken 43 Geschrieben 3. Mai 2008 Melden Teilen Geschrieben 3. Mai 2008 Ich meinte inwiefern eingeschränkt :) Nicht eingeschränkte GPO. Eingeschränkte Gruppen. Gruppenrichtlinien - Übersicht, FAQ und Tutorials Zitieren Link zu diesem Kommentar
Bytecode 10 Geschrieben 3. Mai 2008 Melden Teilen Geschrieben 3. Mai 2008 hallo, also sprichst du von benutzer gpos. wenn die benutzer objekte auch in der ou sind, addieren sich die einstellungen aller richtlinien. du siehst doch die reihenfolge der anwendungen. hast du in zwei gpos dieselbe richtlinie mit verschiedenen einstellungen, gewinnt die mit der höheren priorität. wenn die vererbung nicht manuell deaktiviert wurde, überschreibt immer die default domain policy. die ddp hat immer die höchste priorität bei konflikten. um es abzuschließen: und wenn deine benutzer objekte nicht in dieser ou liegen, greifen deine gpos dort gar nicht erst. dann musst du den loopback modus aktivieren auf authentifizierte benutzer... dort kannst Du dann sogar definieren, was bei konflikten passiert. zusammenführen oder ersetzen. ich hoffe das hilft dir bei der frage. Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 3. Mai 2008 Melden Teilen Geschrieben 3. Mai 2008 hallo, wenn die vererbung nicht manuell deaktiviert wurde, überschreibt immer die default domain policy. die ddp hat immer die höchste priorität bei konflikten. Ich denke, da verwechselt du ein bischen was. So ist das jedenfalls falsch. Wieso kann man sonst überhaupt die Priorität der ddp verändern? und wenn deine benutzer objekte nicht in dieser ou liegen, greifen deine gpos dort gar nicht erst. dann musst du den loopback modus aktivieren auf authentifizierte benutzer... ähnliches Problem wie oben: Warum und vor allem WIE willst du den Loopbackmodus " ausgerechnet auf authentifizeirte benutzer" aktivieren? ich hoffe das hilft dir bei der frage. eher nicht! cu blub Zitieren Link zu diesem Kommentar
Errazzor 10 Geschrieben 4. Mai 2008 Melden Teilen Geschrieben 4. Mai 2008 Also ich geb nochmal kurz meinen Senf hierzu .. @Bytecode: Du scheinst leider etwas falsch verstanden zu haben Hier geht es um die "Eingeschränkten Gruppen", welche man in der GPO definieren kann. Gibt es mehrere Policies, in denen diese Einstellung gesetzt ist, und wirken mehrere dieser Policies auf ein und dasselbe Computerobjekt, so gewinnt die Richtlinie, welches als *letztes* ausgeführt wird. Beispiel: GPO1: (Linkorder 1) Mitglieder der lokalen Gruppe der Administratoren: Domäne\Domain Admins Domäne\Harald Schmidt GPO2: (Linkorder 2) Mitglieder der lokalen Gruppe der Administratoren: Domäne\Domain Admins Domäne\Helmut Kohl Wirken nun beide GPOs auf Computer A, so gewinnt GPO2, da diese als letzte ausgeführt wird (Linkorder 2). Das heisst, lediglich die Domain Admins und Helmut Kohl sind in der Gruppe der lokalen Admins. Hoffe das hilft :) Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 4. Mai 2008 Melden Teilen Geschrieben 4. Mai 2008 hallo, also sprichst du von benutzer gpos. wenn die benutzer objekte auch in der ou sind, addieren sich die einstellungen aller richtlinien. 1.) Spricht er nicht von Benutzer GPOs, nur weil das Wort Gruppen drin vorkommt :suspect: Die betreffende GPO ist eine Computerrichtlinie 2.) Ob Benutzer oder Computer, das ist egal, wenn mehrere GPOs die selbe Einstellung anfassen, und das ist hier in dem Ausgangsbeispiel der Fall, dann wirkt die zuletzt angewendete Richtlinie. Ich hoffe, damit die Frage des TO ausreichend beantwortet zu haben ;) grizzly999 Zitieren Link zu diesem Kommentar
Bytecode 10 Geschrieben 4. Mai 2008 Melden Teilen Geschrieben 4. Mai 2008 Hallihallo, ich mache das mal ganz kurz, denn hier verstehen manche etwas falsch und behaupten dann das wäre das einzig richtige. Ich denke, da verwechselt du ein bischen was. So ist das jedenfalls falsch. Wieso kann man sonst überhaupt die Priorität der ddp verändern? Erstmal kann man nichts falsch verstehen. 1. die abschaltung der vererbung, schaltet die vererbung ab. damit stellt man sicher, dass in etwa ein konzept, was mit den anderen ous, etc nichts zu tun hat, sauber die einstellungen zieht. Beispiele sind Notebook Konzepte, Citrix OUs, etc. ich denke so versteht es jeder. :-) ich hoffe es zumindest. 2. das man prioritäten verändern kann hat ganz andere ursachen. da sind zum einen die logischen abläufe wichtig, dann spezielle abläufe, wo die einen gpos einfach eher laufen müssen. Des Weiteren: ähnliches Problem wie oben: Warum und vor allem WIE willst du den Loopbackmodus " ausgerechnet auf authentifizeirte benutzer" aktivieren? Wie? Ganz einfach, ist die std einstellung. Bedeutet, dass Rechner und User gleichermaßen darauf anspringen. Warum? Habe ich doch ein Beispiel genannt? Benutzer, die nicht in der Ou abgelegt sind. Genauer? Wenn Sie sich an speziellen Nbs anmelden, die im Konzept eine besondere Rolle spielen, benötigen sie andere richtlinien. Weiteres Beispiel? Terminal und Citrix server. Leute, sagt nicht einfach jemand versteht etwas nicht, wenn ihr euch nicht genau mit der materie auskennt. so jedenfalls ist das zu dumm. Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 4. Mai 2008 Melden Teilen Geschrieben 4. Mai 2008 sagt nicht einfach jemand versteht etwas nicht, wenn ihr euch nicht genau mit der materie auskennt. so jedenfalls ist das zu dumm. Ui, das sind aber starke Worte von jemandem, der sich selber nicht so richtig auskennt. Anders kann ich mir dieses Zitat (von dir ) nicht erklären: wenn die vererbung nicht manuell deaktiviert wurde,überschreibt immer die default domain policy. die ddp hat immer die höchste priorität bei konflik Falscher geht's schließlich nimmer :nene: grizzly999 Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 4. Mai 2008 Melden Teilen Geschrieben 4. Mai 2008 und der Satz: dann musst du den loopback modus aktivieren auf authentifizierte benutzer... ist sowohl für sich genommen als auch auf die Frage des TOs bezogen genauso Schwachfug! Ich denke, wenn du mal in einer Testumgebung versuchst, den "Loopback modus auf authentifizierte benutzer" zu aktivieren, wirst du es auch verstehen. cu blub Zitieren Link zu diesem Kommentar
NorbertFe 2.045 Geschrieben 4. Mai 2008 Melden Teilen Geschrieben 4. Mai 2008 2.) Ob Benutzer oder Computer, das ist egal, wenn mehrere GPOs die selbe Einstellung anfassen, und das ist hier in dem Ausgangsbeispiel der Fall, dann wirkt die zuletzt angewendete Richtlinie. ;) Ich misch mich auch mal noch mit ein. Und behaupte, dass deine Aussage zwar prinzipiell stimmt, aber wie immer gibts auch Ausnahmen. Beispiel: Die Firewall Richtlinien der XP Firewall wirken additiv. ;) Changes to Group Policy behavior after installing Windows XP Service Pack 2 Before Windows XP SP2, the ADDITIVE keyword was rarely used. However, many more Group Policies now use this keyword. For example, the Windows Firewall Define Port Exceptions setting uses this new behavior. Für den OP sollte es doch eigentlich ein Einfaches sein, das ganze Szenario mal kurz zu testen. Ich würde behaupten, dass das nicht länger als 1h dauert. Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.