Jump to content

Gruppenrichtlinien- lokal gegen Domäne

bernardo

Von bernardo
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

bernardo Proficient

bernardo   10

Geschrieben
Geschrieben

Hallo zusammen,

 

ich habe eine Frage zum Thema Gruppenrichtlinien.

 

Ich habe ein Gruppenrichtlinienobjekt mit der Domäne verknüpft. In der GPO werden die Richtlinien aktiviert, die es verbieten den Bildschrimschoner anzupassen.

 

Es handelt sich dabei um folgende Richtlinien aus dem Knoten Benutzerkonfiguration-Richtlinien-Administrative Vorlagen-systemsteuerung/Anpassung:

 

1. Kennwortschutz für den Bildschirmschoner Status = aktiviert

2. Zeitlimit für Bildschirmschoner Status = aktiviert

 

Wenn ich mich jetzt an einem Client mit Windows 7 als Domänen-Admin anmelde, kann ich wie gewünscht keine Änderungen am Bildschirmschoner vornehmen. Dies soll heißen das die Optionen "Anmeldeseite bei Reaktivierung" und "Wartezeit" ausgegraut sind.

 

Die Richtlinie hat also gewirkt, bzw. wurd vom Client gezogen.

 

Jetzt zum Problem:

Ich habe nun den Rechner vom Netzwerk getrennt, neu gestartet und mit dem Domänen-Adminkonto lokal (d.h. ohne Verbindung zur Domäne) angemeldet.

 

Die Bildschirmschoner Optionen sind weiterhin ausgegraut. Jetzt möchte ich es schaffen diese Optionen wieder ändern zu können.

 

Ich war der Meinung, dass wenn ich nun auf dem Rechner gpedit.msc aufrufe, ich dann durch bearbeiten der lokalen Gruppenrichtlinien dies wieder Rückgängigmachen kann und zwar in folgendem Knoten mit folgenden Richtlinien:

 

Benutzerkonfiguration-Richtlinien-Administrative Vorlagen-systemsteuerung/Anpassung:

 

1. Kennwortschutz für den Bildschirmschoner Status = deaktiviert

2. Zeitlimit für Bildschirmschoner Status = deaktiviert

 

 

Ich habe also die selben Richtlinien die in der Domäne auf "aktiviert" stehen, am lokalen Client von "Nicht konfiguriert" in "deaktiviert" geändert.

 

Leider hatte dies aber auch nach einem neu start keine Auswirkungen auf die Bildschirmoptionen.

 

Woher weis der Client jetzt, da er keine Verbindung zur Domäne hat, welche Richtlinien gelten, und warum wird die von der Domäne über ein GPO zugewiesene Richtlinie nicht von der lokalen Gruppenrichtlinie überschrieben?

 

Irgendwo habe ich einen Denkefehler, denn ich dachte das wenn einem Client Richtlinien über die Domäne zugewiesen werden, dass diese Änderung dann auf die lokalen Gruppenrichtlinien des Client übernommen werden, und so auch die Richtlinien greifen wenn der Client nicht mit der Domäne verbunden ist. Dies hieße ja dann auch das ich aktiv am Client in den lokalen Gruppenrichtlinien sehen kann welche Gruppenrichtlinien von der Domäne übernommen wurden.

 

Ich habe da wohl ein kleines aber feines Verständnisproblem.

 

Was ich zudem auch nicht verstehe sind die Administativen Vorlagen. Hier steht immer folgender Beisatz: Vom lokalen Computer abgerufene Richtliniendefinitionen (ADMX-Dateien).

 

Was ADMX- und ADML-Dateien sind weiß ich, aber ich verstehe den Hinweis nicht das diese vom lokalen Computer aufgerufen werden, wenn die GPO doch auf dem Domänencontroller erstellt wird.

 

Wäre super wenn mir jemand helfen könnte ein wenig Licht ins Dunkel zu bringen.

 

Vielen Dank an euch und ein schönes WE

 

Grüße

 

Bernardo

Link zu diesem Kommentar
dmetzger Veteran

dmetzger   10

Geschrieben
Geschrieben
Die Bildschirmschoner Optionen sind weiterhin ausgegraut. Jetzt möchte ich es schaffen diese Optionen wieder ändern zu können.

 

Ich war der Meinung, dass wenn ich nun auf dem Rechner gpedit.msc aufrufe, ich dann durch bearbeiten der lokalen Gruppenrichtlinien dies wieder Rückgängigmachen kann.

 

http://www.mcseboard.de/windows-forum-allgemein-83/local-policy-override-domain-policy-74150.html#post443859

 

Was ADMX- und ADML-Dateien sind weiß ich, aber ich verstehe den Hinweis nicht das diese vom lokalen Computer aufgerufen werden, wenn die GPO doch auf dem Domänencontroller erstellt wird.

 

Die Vorlagen werden lokal auf dem Domänencontroller (oder Verwaltungsclient -> RSAT) aus %windir%\PolicyDefinitions ausgelesen, wenn keine zentrale Ablage für die Vorlagen existiert.

 

How to create a Central Store for Group Policy Administrative Templates in Window Vista

Link zu diesem Kommentar
olc Veteran

olc   18

Geschrieben
Geschrieben

Hi,

 

schau Dir einmal die Erklärung zum "central store" an, das sollte bezüglich der Editor Ansicht erklärend sein. :)

 

How to create a Central Store for Group Policy Administrative Templates in Window Vista

 

Zu dem anderen Problem: Domänenrichtlinien haben eine höhere Wertigkeit als lokale Richtlinien. D.h. die Richtlinien aus der Domäne überschreiben die lokalen Richtlinien bei Konflikten. Sinn der Policies ist, daß sie auch "offline" wirken, d.h. auch ohne Domänenanmeldung. Das ist bei Dir der Fall.

 

Mir ist nicht klar, warum Du bei "offline Anmeldung" andere Einstellungen wirken lassen möchtest als "online". Das hat m.E. keinen Sinn.

 

[Edit] Wer zu lange schreibt, den bestraft das Leben (oder dmetzger). ;) [/Edit]

 

Viele Grüße

olc

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...