AD Berechtigungen von GPOs

[Rumak18 11]

Hallo,

 

zu einer AD 2008 R2 hätte ich folgende Fragen :

 

1. Wenn ich eine GPO auf einer OU (Kunde1-OU) erzwinge, wirken dann auch die nicht konfigurierten GPOs dieser KUNDE1-OU oder nur diejenigen, die konfiguriert (aktiviert/deaktiviert) sind im Vergleich zu den GPO Einstellungen einer übergeordneten OU (Kunden-OU)?

 

Domain

GPOs

             Kunden-OU

             GPOs

                                 KUNDE1-OU

                                 GPOs

 

 

2. Wenn einer User sich in einer OU befindet in der GPOs auf die Benutzer wirken und dann gleichzeitig Mitglied einer Gruppe ist, die sich in einer anderen OU befindet, auf die andere GPOs wirken...welche OU GPOs wirken dann unterm Strich?

 

Hoffe ich hab mich verständlich ausgedrückt.

[NilsK 2.930]

Moin,

 

deine erste Frage verstehe ich nicht.

 

Zu deiner zweiten Frage: Es zählt ausschließlich der Speicherort des Benutzerkontos.

 

[Die Anwendung von Gruppenrichtlinien steuern | faq-o-matic.net]
http://www.faq-o-matic.net/2014/04/07/die-anwendung-von-gruppenrichtlinien-steuern/

 

Gruß, Nils

[testperson 1.674]

Zu deiner zweiten Frage: Es zählt ausschließlich der Speicherort des Benutzerkontos.

Außer beim Loopbackverarbeitungsmodus (Wie auch im verlinkten Artikel erwähnt) ;)

[NorbertFe 2.027]

Hallo,

 

zu einer AD 2008 R2 hätte ich folgende Fragen :

 

1. Wenn ich eine GPO auf einer OU (Kunde1-OU) erzwinge, wirken dann auch die nicht konfigurierten GPOs dieser KUNDE1-OU oder nur diejenigen, die konfiguriert (aktiviert/deaktiviert) sind im Vergleich zu den GPO Einstellungen einer übergeordneten OU (Kunden-OU)?

 

Domain

GPOs

             Kunden-OU

             GPOs

                                 KUNDE1-OU

                                 GPOs

Wozu willst du auf der untersten Ebene etwas erzwingen? Darunter kommt ja nix mehr. ;) Wieder einer der das Prinzip noch nicht verinnerlicht hat? ;)

 

Bye

Norbert

 

PS: "Kein Vorrang" und "Erzwingen" sollte man genau lesen und verstehen, bevor man es einsetzt. Denn es funktioniert in den meisten Fällen ohne deren Verwendung logischer. ;)

bearbeitet 14. Dezember 2015 von NorbertFe

[NilsK 2.930]

Moin,

 

Außer beim Loopbackverarbeitungsmodus (Wie auch im verlinkten Artikel erwähnt) ;)

 

ja, aber auch dann wirken sich Gruppenmitgliedschaften nicht in der angefragten Weise aus. :D

 

Gruß, Nils

[daabm 1.348]

Hm - wenn ich mir die Grafik im ersten Post anschaue: Willst Du ein Multi-Mandanten-AD bauen? Dafür würden Dir noch sehr viele Grundlagen fehlen.

 

Zum Thema "Erzwingen": http://evilgpo.blogspot.de/2012/02/loopback-demystified.html - erklärt ein wenig dazu.

[MHenning 11]

                   

Hallo Zusammen,

 

um vielleicht erstmal in die richtige Richtung zu Zeigen.

 

 

Domain

GPO1   diese GPO wirkt auf die OU "Domain" und auf alle unter-OUs

             Kunden-OU

             GPO2    diese GPO wirkt auf die OU "Kunden-OU" und auf alle unter-OUs, nicht aber auf die OU "Domain"

                                  KUNDE1-OU

                                 GPO3    diese GPO wirkt auf die OU "KUNDE1-OU" und auf alle unter-OUs wenn vorhanden, nicht aber auf die OU "Domain" und auch nicht auf "Kunden-OU"

 

 

 

Wir machen es hier bei uns wie folgt

Domain

default-domainpolicy GPO

            Niederlassung1

                       Computers

                        GPO1  

                       Groups

                       Users

                        GPO2

                       Contacts

           Niederlassung2

                       Computers

                        GPO3

                       Groups

                       Users

                        GPO4

                       Contacts

           Niederlassung3

                       Computers

                        GPO5

                       Groups

                       Users

                        GPO6

                       Contacts

 

usw.

Warum unterschiedliche GPOs pro Niederlassung? Weil unterschiedliche Sprachen und völlig andere Konfigurationen.

 

Vielleicht hilft Dir das ja deine Denkweise etwas zu lenken.

 

Gruß Martin

 

 

 

     

bearbeitet 16. Dezember 2015 von MHenning

[NorbertFe 2.027]

Aha, hat jetzt was mit der Ursprungsfrage zu tun?

[Rumak18 11]

Hallo,

 

@NorbertFe: "MHenning" wollte einfach aufzeigen, wie sich die GPOs auswirken. @MHenning: Das ist mir schon bewusst. Schliesslich machen wir das ja auch so seit 5 Jahren (-:    ; Dennoch danke!

@daabm : Ich denke nicht, dass der Term "Mandant" in eine AD passt. Das Konstrukt hat GPOs , die sich auf alle Kunden OUs beziehen und eben spezielle GPOs, die sich auf einzelne Kunden beziehen. Hierzu hilft eben MHennings Erläuterung, um das zu verstehen. 

 

@NilsK:

Erst mal danke für die Beantwortung der zweiten Frage. Also doch so simpel.

 

Nun zur ersten Frage: 

Naja, stelle dir wie schon oben beschrieben meine Domain vor:

 

Domain

GPOs

             Kunden-ALLGEMEIN-OU

             GPOs

                                 KUNDE1-OU ; Kunde2-OU ; Kunde3-OU

                                 GPOs              GPOs             GPOs

Nun hat die "Kunden-ALLGEMEIN-OU" -GPO die Einstellung Profilgröße zu beschränken und bsp. Systemsteuerung zu deaktivieren. Für einen Kunden (Beispiel Kunde3-OU) möchte ich die Profilgröße nicht beschränken und ändere das in der "Kunde3-OU"-GPO ab. Die Systemsteuerung Einstellung lasse ich bei dieser GPO aber unberührt (Nicht aktiviert) und erzwinge nun die "Kunde3-OU"-GPO. 

-> Welche Systemsteuerung Einstellung zieht nun für Kunde3-OU User? Hat er sie oder sie deaktiviert?

Mir geht es darum zu wissen, ob "erzwungene" GPOs auch die "nicht konfigurierten" Einstellungen der GPOs anwenden oder nur die "aktivierten" bzw. "deaktivierten" Einstellungen. 

bearbeitet 17. Dezember 2015 von Rumak18

[NilsK 2.930]

Moin,

 

"nicht konfiguriert" heißt immer: Es gilt entweder der Wert eines vorher angewendeten GPOs oder der Grundzustand des Betriebssystems. Es wird an der zuletzt gesetzten Einstellung nichts geändert. Willst du einen bestimmten Zustand, dann musst du ihn ausdrücklich setzen.

 

In deinem Konstrukt willst du dir evtl. auch das Blocking noch mal ansehen.

 

Gruß, Nils

[testperson 1.674]

Hi,

 

hier solltest du Infos finden: http://www.gruppenrichtlinien.de/artikel/vererbung-und-hierarchien/

 

Ich würde das mit den KundenOU schon "Mandant" nennen. Aber hier käme es wohl auf eure Anforderungen (oder die der Kunden) an und was diese sehen sollen / düren.

 

Gruß

Jan

[Sunny61 806]

Eine weitere Möglichkeit wäre die Sicherheitsfilterung auf Sicherheitsgruppen.

[daabm 1.348]

Nils hats schon gesagt - wenn eine Einstellung mal "konfiguriert" ist, kriegt man sie weiter unten nicht mehr "nicht konfiguriert", bestenfalls noch "anders". Es sei denn, man löscht den zugehörigen Reg-Wert über GPP Registry

[Rumak18 11]

@Nils / daabm:

 

Und wenn die darunterliegenede GPO im Kontextmenü "erzwungen" wird und diese erzwungene GPO hat eben "nicht konfiguriert" in einer Einstellung (Bsp.: Systemsteuerung ausblenden) , dann gilt also die darüber liegende GPO mit der "konfigurierten" (Systemsteuerung) Einstellung dennoch korrekt?

[NilsK 2.930]

Moin,

 

"nicht konfiguriert" heißt: Dieser Wert "fehlt" in der Policy. Er wird nicht angefasst. So etwas kann man nicht erzwingen. Es gilt dann der letzte konfigurierte Wert - entweder vom letzten angewendeten GPO oder von der Grundkonfiguration des Systems.

 

Irgendwie schrieb ich das aber schon ...

 

Gruß, Nils