Jump to content

GPO werden überschrieben

Bergvogel

Von Bergvogel
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Bergvogel Contributor

Bergvogel   10

Geschrieben
Geschrieben (bearbeitet)

Hallo zusammen

 

Zuerst zur Umgebung:

-DC mit Windows 2003 R2

-Clients zu 99% Windows XP

-Einige Test Win7 Clients in eigener OU "Win7" mit eigenen Richtlinien

-Die Win7 GPO's verwalte ich von einem Win7 Client aus, da der Win2003 Server diese zum teil noch nicht kennt.

 

Nun habe ich folgendes Problem:

Einige GPO's werden auf meinen Windows 7 Clients immer vo der "Default Domain Policy" überschrieben. In dieser haben wir für die WinXP Clients z.B. definiert, dass der Theme vom Benutzer nicht gewechselt werden darf. (EDIT: Stimmt nicht ganz, siehe dritter Post)

(Prevent changing theme - Aktiviert)

 

Jetzt wird diese GPO auch auf active gesetzt, wenn ich in den Win7-Richtlinien das Gegenteil konfiguriere. Die Vererbung habe ich deaktiviert und nach der Hierarchie sollte die Win7-GPO ja auch höher gewertet werden. Trotzdem wird mit gpresult angezeigt, dass die Richtlinie vom Default überschrieben wird.

 

Kann mir jemand sagen wo das Problem liegen könnte?

 

Merci und Gruss,

Bergvogel

bearbeitet von Bergvogel
Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   806

Geschrieben
Geschrieben

Nun habe ich folgendes Problem:

Einige GPO's werden auf meinen Windows 7 Clients immer vo der "Default Domain Policy" überschrieben. In dieser haben wir für die WinXP Clients z.B. definiert, dass der Theme vom Benutzer nicht gewechselt werden darf.

(Prevent changing theme - Aktiviert)

 

Du hast den Fehler ja schon gefunden. In der Default Domain Policy stellt man auch nur das SMB-Signing und die Kennwortrichtlinien ein. Für alles andere erstellt man eigene GPOs, die kannst Du auf die passenden OUs verlinken.

Link zu diesem Kommentar
Bergvogel Contributor

Bergvogel   10

Geschrieben
  • Autor
Geschrieben

Sorry da ist mir ein Fehler unterlaufen. Zwar haben wir in der Default Policy einiges konfiguriert, die besagte GPO aber nicht.

>Benutzerkonfig./Administraive Vorlagen/Control Panel/Personalization/prevent changing theme.

 

Dieser genaue Pfad existiert auf dem 2003 Server noch gar nicht (Nur via Remote Policy Manager von Win7 Client aus), was es für mich noch unverständlicher macht, warum die GPO überschrieben wird...

Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   806

Geschrieben
Geschrieben
Sorry da ist mir ein Fehler unterlaufen. Zwar haben wir in der Default Policy einiges konfiguriert, die besagte GPO aber nicht.

>Benutzerkonfig./Administraive Vorlagen/Control Panel/Personalization/prevent changing theme.

 

Dieser genaue Pfad existiert auf dem 2003 Server noch gar nicht (Nur via Remote Policy Manager von Win7 Client aus), was es für mich noch unverständlicher macht, warum die GPO überschrieben wird...

 

Wenn die GPO1 von der GPO2 überschrieben wird, mußt Du in der GPO2 den Wert suchen und ändern. Ob GPO2 auch GPO2 heißt, siehst Du u.a. mittels RSOP.MSC direkt am Client.

Link zu diesem Kommentar
Bergvogel Contributor

Bergvogel   10

Geschrieben
  • Autor
Geschrieben

Wenn die Einstellungen nun aber vom Default überschrieben werden, müsste ich das dort konfigurieren wonach es für jeden Client im Netzwerk geltend würde. (Und für WinXP möchte ich die Einstellungen belassen)

Gibt es keine Möglichkeit, dass die Defaults nicht auf mein Win7 OU greifen? Vererbung ausschalten hat's offenbar nicht gebracht..

 

Es geht darum, dass Windows 7 mit Aero verteilt werden soll und die Benutzer im Gegensatz zum XP die Möglichkeit haben, das Theme zu wechseln. Deshalb will/kann ich das in der Default GPO nicht anpassen da sonst alle XP Rechner umschalten würden.

 

Oder sehe ich da irgendwas falsch?

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   2.027

Geschrieben
Geschrieben
Gibt es keine Möglichkeit, dass die Defaults nicht auf mein Win7 OU greifen? Vererbung ausschalten hat's offenbar nicht gebracht..

 

Was ja auch ziemlich logisch ist, dass Vererbung deaktivieren nicht "Vorrang" deaktiviert, oder? Sonst würde es ja Vorrang deaktivieren heißen. ;)

 

Es geht darum, dass Windows 7 mit Aero verteilt werden soll und die Benutzer im Gegensatz zum XP die Möglichkeit haben, das Theme zu wechseln. Deshalb will/kann ich das in der Default GPO nicht anpassen da sonst alle XP Rechner umschalten würden.

 

So ein Bl...s...n. Definiere es korrekt (nämlich nicht in der Default Domain Policy) und bau dir für XP und Win7 eigene GPOs die du entweder per Security oder WMI oder OU filterst. Ganz einfach.

 

Grundlagen findest du hier:

Gruppenrichtlinien - Übersicht, FAQ und Tutorials

 

Bye

Norbert

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   2.027

Geschrieben
Geschrieben
Danke für die Antworten. Also führt kein Weg an der "Neukonfiguration" der GPO's vorbei? Da wird sich mein Mitarbeiter der alles eingerichtet freuen ;-)

 

Tja, dann sag ihm er soll es das nächste Mal gleich richtig konfigurieren, dann spart man hinterher Arbeit. ;)

 

Bye

Norbert

 

PS: Abgesehen davon klicken fast nur Leute die GPOs nicht verstehen auf "Vererbung unterbrechen" und "Kein Vorrang". ;)

Link zu diesem Kommentar
Bergvogel Contributor

Bergvogel   10

Geschrieben
  • Autor
Geschrieben

Trotzdem nochmals kurz ne Frage zum Verständnis.

Eigentlich ist doch die Gruppenrichtlinie welche näher am Objekt liegt gültig.

Von daher müsste in folgendem Fall doch die Richtlinien der "Win7 Policy" für alle Objekte in der "OU Test" überwiegen, nicht? (Ich hoffe man versteht die Darstellung)

 

-Default Domain Policy

.+OU Zuerich

..+OU Test

...-Win7 Policy

 

Dass das nicht sauber ist und die ganze Sache verkompliziert leuchtet mir ein, keine Frage. Warum bei mir eine solche Änderung in der "Win7 Policy" die Richtlinien in der "Default Domain Policy" nicht überschreibt greift verstehe ich noch nicht ganz.

Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   806

Geschrieben
Geschrieben

Eigentlich ist doch die Gruppenrichtlinie welche näher am Objekt liegt gültig.

 

Wenn nichts anderes deaktiviert oder aktiviert ist, ist jede GPO gültig. Die Objekte übernehmen die GPOs in dessen Verwaltungsbereich sie liegen. Den Verwaltungsbereich kann man mit Sicherheitsgruppen filtern oder auch mittels WMI einschränken.

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   2.027

Geschrieben
Geschrieben
Hm "No Override" ist auf der "Default Domain Policy" nicht aktiviert.

Mit den Security-Einstellungen kann ich die Übernahme der "Default Domain Policy" auf einen best. Benutzer allerdings verhindern. Nur ist das natürlich noch weniger elegant. ;)

 

Es wäre nicht nur wenig elegant es wäre gerade bei der DefDomPol auch noch was anderes. Ich sags aber lieber nicht. ;)

 

Bye

Norbert

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...