GPO Verständniss Frage

[~~M*C*S*B~~ 10]

hallo,

 

folgende Frage

 

wenn ich zb auf eine OU Vertrieb eine GPO Verlinke mit irgendeiner aktion

 

in dieser OU zb 5 Leude von Vertrieb sind und 2 User (Vertrieb extern)

 

und ich eine GOp auf die OU setzte gilt das ja für alle IN DIESER OU!!!

 

wenn NUN aber für diese 2 User(Vertrieb ext) die GPO NICHT gelten soll

 

kann ich doch dann

 

a) in den Sicherheitseinstellungen der GPO das Gruppenrichtlinen übernehmen verweigern!!

b) die 2 User zu dieser GPO hinzufügen und auf Lesen Verweigern oder?

 

geht doch beides oder?

oder wie wäre der "the best way"

 

ich freue mich auf antworten

 

ps

 

kann man im gruppenrichtlinien verwaltungseditor gpedit

suchen, oder einen Filter verwenden, da sucht mann sich ja nen wolf :(

–

zu meiner frage

 

ich habe eine OU Warehouse habe eine GPO verlinkt, sie is aktiv "eigene datei entfernen vom desktop"

in der OU habe ich 3 testuser

die eigenen Datei ist weg von desktop!! funktioniert doch, wenn ich nun

einen user in der OU warehouse in den Sicherheitseinstellungen der GPO das Gruppenrichtlinen übernehmen verweigern einstelle und ich mit gpupdate oder gpupdate/ force oder mich ab/ anmelde ist das eigene datei icon IMMERNOCH verschwunden, sollte nun doch für diesen EINEN User wieder da sein?

was mache ich falsch liebe leudde?

 

nachtrag

 

wie kann ich über die gpmc konsole bei einer GPO kein Vorrag No overrite einstellen oder ist erzwungen das selbe?

mfg

[Andi S. 10]

Soweit ich das verstanden habe überschreibt eine GPO auf Dom-Ebene die GPO auf Ordnerebene. Könnte also sein dass da noch eine DOM-GPO ist die den Ordner verschwinden lässt.

[~~M*C*S*B~~ 10]

du meinst die

lsdo regel?

 

lokal

site

domäne

ou

 

?

nun nocheinmal

 

ich habe eine OU, darin sind 3 User ich hab die GPO verlink und aktiviert "entferne Icon eigene datei am desktop"

das geht!!

 

aber nun

 

habe ich bei einem User aus DIESER OU in den Sicherheitseinstellungen verweigern angeklickt => eigentlich sollte der User nun vor der GPO "geschützt" sein das heisst

für eben diesen einen User sollte sollte eigene Datei am Desktop wieder erscheinen

tut`s aber leider nicht?

weitere Ideen?

mfg

[IThome 10]

Entweder wird diesem einen Benutzer die Berechtigung "Gruppenrichtlinie übernehmen" verweigert oder man arbeitet nicht mit den "Authentifizierten Benutzern", sondern mit einer Gruppe, die nur die Benutzer enthält, für die die Richtlinien wirken soll. Die Berechtigung wird z.B. mittels GPMC.MSC bei der GPO-Verknüpfung im Reiter "Delegierung" durchgeführt. Prüfe mit RSOP.MSC, ob diese Richtlinie wirksam ist oder nicht ...

Soweit ich das verstanden habe überschreibt eine GPO auf Dom-Ebene die GPO auf Ordnerebene.

Nein, tut sie nicht, genau andersrum (je näher am Objekt, desto höher die Priorität) ...

[Andi S. 10]

du meinst die

lsdo regel?

 

lokal

site

domäne

ou

 

?

 

Hmm, soweit ich das weiß kommt als niedrigste lokal, dann OU und dann Dom. Dom überschreibt also die OU und die OU überschreibt die lokal.

 

nun nocheinmal

 

ich habe eine OU, darin sind 3 User ich hab die GPO verlink und aktiviert "entferne Icon eigene datei am desktop"

das geht!!

 

aber nun

 

habe ich bei einem User aus DIESER OU in den Sicherheitseinstellungen verweigern angeklickt => eigentlich sollte der User nun vor der GPO "geschützt" sein das heisst

für eben diesen einen User sollte sollte eigene Datei am Desktop wieder erscheinen

tut`s aber leider nicht?

weitere Ideen?

mfg

 

An dem verteilen der GPO kanns nicht liegen. Kannst du nicht einfach die User aus der GPO rausnehmen? Zumindest ist das hier auf W2K8 so dass man da explizit angeben kann für wen die GPO gilt. Also womit sie verknüpft wird (Dom;OU) und für wen sie dann in der OU gilt. Gibts das bei dir als option in der Gruppenrichtlinienverwaltung?

–

 

Nein, tut sie nicht, genau andersrum (je näher am Objekt, desto höher die Priorität) ...

 

Hmm, das würde ja heißen dass eine lokale vorrang vor der OU hat. Wieso geht das dann bei mir nicht? Ich kann lokal sagen dass der Papierlorb weg kommt, kommt er aber nicht weil die in der OU des Benutzers sagt dass er nicht weg kommt.

 

Läuft da was schief?

 

Hey! Uns sogar die default Domain Policy überschreibt die lokale und die ist ja ziemlich weit weg.

 

 

Ok. Reihenfolge "lsdo" ist richtig. Hab jetzt alles durchgetestet und genau so ist es.

[~~M*C*S*B~~ 10]

@ ITHOME

 

ich hab gelesen das es best practise ist so vorzugehen?

 

 

 

wie gesagt ist nur eine TESTumgebung

 

also mit gpresult

 

wird mit die GPO noch angezeit was ja auch fast klar is !!

 

den nur weil ich den User Gruppenrichtlinie verweigert habe is mir fast kla das sie mit gpresult noch angezeigt wird

 

und wo bitte is der unterschied zwischen gpresult und rosp.msc meiner meinung nach keiner!! gpresult finde ich übersichtlich ist halt textbasiert

 

ps

 

ich verwende dc gc mit sever2008!! sowie xp als client!!

[Andi S. 10]

Tja, nimm doch einfach mal die User, die die GPO nicht bekommen sollen, aus der Sicherheitsfilterung raus. Dann sind sie in der OU, bekommen aber die GPO nicht ab da sie als User nicht eingetragen sind. Probiers einfach und wenns bei dir nicht geht kannst mich immer noch was schimpfen ;)

[~~M*C*S*B~~ 10]

Sicherheitsfilterung was soll ich machen?

 

ahhh

 

doch unter der SF

kann ich doch NUR user, gruppen reinnehmen welche expliziet die GPO erhalten sollen NICHT aber welche die die GPO NICHT erhalten sollen, oder irre ich mich da?

 

 

ich hab den User der KEINE Gpo bekommen soll auf dem DC in der GPMC in der OU Warehouse in der GPO unter Deligierung ist der User drin mit verweigern?

 

was genau meinst du?

 

hast du nen messi?

 

geht vielleicht schneller als hier zu schreiben ?

 

ich schick dir meine per pn

[~~M*C*S*B~~ 10]

bin am verzweiflen,

 

denn ich habe nur die GPO(unter Gruppenrichtlinienobjekte ) gelöscht

sowie die verknüpfung

habe am server und client gpupdate gemacht server und client neugestart

 

und nun wenn ich auf dem client gpresult eingeb bekomme ich

 

meine gpo "eigene-datei"

 

??? wie ist das möglich?

[Andi S. 10]

Tja, könnte an der eingestellten Verteilzeit liegen. Gabs da nicht den Befehl "/force" oder so?

[~~M*C*S*B~~ 10]

hab ich auch schon durch

[Andi S. 10]

Also wenn du die Verknüpfung der GPO (in der Gruppenrichtlinienverwaltung wenn du deine OU erweiterst siehst du sie) mit deiner OU und die GPO im Ordner Gruppenrichtlinien gelöscht hast, dann sollte sie eigentlich weg sein. Kannst du in gpresult (hab ich noch nicht getestet) sehen wo diese GPO "eigene-Datei" liegt? Also OU oder Dom?

[~~M*C*S*B~~ 10]

so

 

nun hab ich alles nochma neu gemacht

 

doch oh wunder

 

wenn ich auf dem client gpresult ausführe zeigt der mir eine gpo die es auf dem server gar NICHT mehr gibt!!!

 

wie is das denn möglich?

 

bei 2 anderen usern welche auch in der ou sind (melden sich immer mit dem entsprechenden Userprofil am SELBEN Client an)

kann ich gar KEINE geresult erhalten bekomme da ne fehlermeldung!!

hab nun die schna** voll gehe schlafen

 

hoffe ihr habr noch ideen

 

bis morgen

:confused::confused::confused::confused:

[IThome 10]

Hmm, soweit ich das weiß kommt als niedrigste lokal, dann OU und dann Dom. Dom überschreibt also die OU und die OU überschreibt die lokal.

Die Priorität von niedrig bis hoch ist: Lokal, Standort, Domäne, OU, wobei nur die letzten 3 Domänenrichtlinien sind, bei denen gilt ... je näher am Objekt, desto höher die Priorität ...

 

Hmm, das würde ja heißen dass eine lokale vorrang vor der OU hat.

[/Quote]

Nein, das heisst es nicht, siehe oben ...

[~~M*C*S*B~~ 10]

irgendjemand ne idee?

grizzly oder so?