Jump to content

Abarbeitung Gruppenrichtlinien verhindern

StefanWe

Von StefanWe
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

StefanWe Veteran

StefanWe   14

Geschrieben
Geschrieben

Hallo zusammen,

 

kennt jemand eine Möglichkeit, auf einem Win 7 Client, auf welchem man Domänen Admin Rechte hat, die Abarbeitung bestimmter GPO's zu verhindern ?

 

Klar kann ich den User bzw. PC in eine Extra OU schieben, oder über die GPO Berechtigungen dies lösen. Aber gibt es diese Möglichkeit auch am Client, das der User dies selbst entscheiden kann, ob er die GPO nutzen möchte oder nicht ?

Fragt nicht warum, es geht hier um Entwickler Maschinen ;)

Link zu diesem Kommentar
P.Foeckeler Fellow

P.Foeckeler   11

Geschrieben
Geschrieben

Gruppenrichtlinien haben ja gerade den Sinn, dass sie stets diejenige Konfiguration herstellen, die von der Administration festgelegt wird, und dem Benutzer selbst keinerlei Spielraum zur eigenen Entscheidung geben. Dementsprechend gibt es auf dem Client selbst keinen "Trick", der die Ababeitung von GPOs (die aus der Domäne kommen) verhindert...

 

Also über Berechtigungen lösen oder getrennte OUs für die Entwickler....

 

Gruß,

Philipp

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.930

Geschrieben
Geschrieben

Moin,

 

sagen wir es so: Ein Admin ist ein Admin ist ein Admin. Selbstverständlich kann der die Abarbeitung von GPOs am Client verhindern. Das ist einer der vielen Gründe, warum man Usern keine Adminrechte gibt.

 

Eine Anleitung dazu werde ich aus nachvollziehbaren Gründen nicht geben. Mir geht es mit meinem Hinweis um das Problembewusstsein.

 

Gruß, Nils

Link zu diesem Kommentar
Coloneltw Enthusiast

Coloneltw   10

Geschrieben
Geschrieben

Aber Gruppenrichtlinien werden immer von oben nach unten verarbeitet. Wenn also auf GPO Ebene der Domäne etwas verboten wird, kann die lokale Clientrichtlinie es wieder aufheben.

Wenn ein Do-Admin dann unbedingt etwas durchdrücken möchte kann er es erzwingen, dann wird diese GPO als letztes durchgeführt und gewinnt das Match.

Wenn also etwas auf Domänen Ebene verboten ist kannst du es am Client wieder erlauben sofern es nicht erzwungen wurde.

 

Dies ist auch nix böses sondern von MS gewollt. Es mag durchaus Umgebungen geben wo diverse Admins diverse Rechteebenen haben also einen Gott Admin der Domänenweite Richtlinien vergibt aber auch viele kleine Admins die für Ihren Standort oder Abteilung oder Firmenbereich zuständig sind und eigene GPOs haben.

 

Dies kann man natürlich auch verwenden um zuvor eingestellte Dinge wieder zu entsperren.

Ist halt aufwendig wenn du viele Gruppenrichtlinien entsperren möchtest.

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   2.027

Geschrieben
Geschrieben
Aber Gruppenrichtlinien werden immer von oben nach unten verarbeitet. Wenn also auf GPO Ebene der Domäne etwas verboten wird, kann die lokale Clientrichtlinie es wieder aufheben.

 

LOL you wish. Vielleicht schaust du ja bevor du solche Schoten raushaust doch nochmal in die Grundlagen. Abarbeitungsreihenfolge: Lokal, Site, Domain, OU, Sub-OU usw.

 

Wenn ein Do-Admin dann unbedingt etwas durchdrücken möchte kann er es erzwingen, dann wird diese GPO als letztes durchgeführt und gewinnt das Match.

 

Prinzipiell richtig, aber wenn en Do-Admin sowas nötig hat, hat er meist entweder keinen Plan oder das falsche Design. Oder beides. ;)

 

Wenn also etwas auf Domänen Ebene verboten ist kannst du es am Client wieder erlauben sofern es nicht erzwungen wurde.

 

Na dann führ mal vor. Würde mich echt interessieren.

 

 

Dies ist auch nix böses sondern von MS gewollt.

 

Nö, denn wenn das so wäre, wäre die ganze Sache mit den GPOs ziemlich für den Ar...h.

 

Dies kann man natürlich auch verwenden um zuvor eingestellte Dinge wieder zu entsperren.

Ist halt aufwendig wenn du viele Gruppenrichtlinien entsperren möchtest.

 

Siehe oben, du bist auf dem ganz falschen Dampfer.

 

Bye

Norbert

Link zu diesem Kommentar
Coloneltw Enthusiast

Coloneltw   10

Geschrieben
Geschrieben
LOL you wish. Vielleicht schaust du ja bevor du solche Schoten raushaust doch nochmal in die Grundlagen. Abarbeitungsreihenfolge: Lokal, Site, Domain, OU, Sub-OU usw.

 

Da hast du Recht, das tut mir Leid. Kann dir aber nur ein mehrtägiges Seminar zum Thema Umgangsformen empfehlen. Und Englisch und Deutsch muss man nicht in einem Satz zuammen verwenden, man kann gern bei einer Sprache bleiben.

Aber gut dann die lokalen Richtlinien zuerst und dann von oben nach unten.

 

Nö, denn wenn das so wäre, wäre die ganze Sache mit den GPOs ziemlich für den Ar...h.

 

Es ist von MS so gewollt, damit die Richtlinienkompetenz aufgeteilt werden kann und jeder Admin in seinem bereich eigene Einstellungen machen kann.

Das hat auch nichts mit falschen Design zu tun!

 

Man kann z.B. einen Konzern wie VW oder MS oder Apple, der in vielen Ländern, an vielen Standorten vorhanden ist nur von einem Admin verwalten lassen. Jeder Standort hat eigene Anforderungen von der gesetzlichen Lage der einzelenen Länder ganz abgesehen.

 

Daher kann man sie aufteilen und der oberste Admin hat die Möglichkeiten Konzernrichtlinien, die global gelten, mittels erzwingen durchzudrücken.

 

Oder warum glaubst du gibt es diese Option?

 

Ich hatte mich nur in der untersten Richtlinienverarbeitung geirrt, was vielleicht auch daran liegen kann, dass man im Normalfall keine Clientrichtlinie hat bzw. mir sie so noch nie unter gekommen ist.

 

Aber es spielt auch keine Rolle, so muss er eben nach MS Konzept sich eine GOU geben lassen, die er selbst bearbeiten darf, sofern das seine Konzernrichtlinien gestatten. Diese kann er dann auf die Clients, die es betrifft, anwenden lassen.

Der Admin kann dann seine Richtlinien bei Bedarf erzwingen.

 

Und jetzt braucht auch keiner damit zu kommen, dass das nicht sehr gut aussieht. In der Realität muss sich die Technik den Umgebungsbedingungen anpassen, nicht anders herum! Bei uns steigt/sinkt die Macht der kleinen Admins mit der Höhe des Umsatzes, die ihr Tochterunternehmen erziehlt. Wer viel Geld verdient darf auch mitreden unabhängig davon ob das nun hinterher im AD gut aussieht. Mit einem super durchstrukturiertem AD ohne irgendwelche Sonderlocken kann man kein Geld verdienen!

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.930

Geschrieben
Geschrieben

Moin Coloneltw,

 

das mit den Umgangsformen können wir direkt an dich zurückgeben ... am besten wir lassen das und bemühen uns einfach alle. Danke.

 

Ich denke, dass du Norbert die Funktionsweise der Gruppenrichtlinien nicht erklären musst. Als Gruppenrichtlinien-MVP weiß er durchaus, wovon er spricht. ;)

 

Abgesehen davon, behandelt dieser Thread eine andere Fragestellung. Vielleicht liest du noch einmal von Anfang an. Nur soviel: Wenn man will, kann man die vorgegebene Anwendung von Gruppenrichtlinien durchaus umgehen.

 

Gruß, Nils

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   2.027

Geschrieben
Geschrieben
Da hast du Recht, das tut mir Leid. Kann dir aber nur ein mehrtägiges Seminar zum Thema Umgangsformen empfehlen. Und Englisch und Deutsch muss man nicht in einem Satz zuammen verwenden, man kann gern bei einer Sprache bleiben.

 

Du meinst jetzt lokal und site? ;)

 

Es ist von MS so gewollt, damit die Richtlinienkompetenz aufgeteilt werden kann und jeder Admin in seinem bereich eigene Einstellungen machen kann.

Das hat auch nichts mit falschen Design zu tun!

 

Das hab ich auch nicht so geschrieben!EinsElf

 

Man kann z.B. einen Konzern wie VW oder MS oder Apple, der in vielen Ländern, an vielen Standorten vorhanden ist nur von einem Admin verwalten lassen. Jeder Standort hat eigene Anforderungen von der gesetzlichen Lage der einzelenen Länder ganz abgesehen.

 

Nicht möglich. :eek:

 

 

Daher kann man sie aufteilen und der oberste Admin hat die Möglichkeiten Konzernrichtlinien, die global gelten, mittels erzwingen durchzudrücken.

 

Richtig, und?

 

Oder warum glaubst du gibt es diese Option?

 

Was genau willst du jetzt von mir?

 

Ich hatte mich nur in der untersten Richtlinienverarbeitung geirrt, was vielleicht auch daran liegen kann, dass man im Normalfall keine Clientrichtlinie hat bzw. mir sie so noch nie unter gekommen ist.

 

Lassen wir das, ok?

 

Aber es spielt auch keine Rolle,

 

Doch, du stelltest hier einfach mal eine ziemliche Falschaussage als Fakt hin.

 

m AD gut aussieht. Mit einem super durchstrukturiertem AD ohne irgendwelche Sonderlocken kann man kein Geld verdienen!

 

Und wo war jetzt noch mal die Relevanz? ;)

 

Bye

Norbert

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...