Rumak18 11 Geschrieben 14. Dezember 2015 Melden Teilen Geschrieben 14. Dezember 2015 Hallo, zu einer AD 2008 R2 hätte ich folgende Fragen : 1. Wenn ich eine GPO auf einer OU (Kunde1-OU) erzwinge, wirken dann auch die nicht konfigurierten GPOs dieser KUNDE1-OU oder nur diejenigen, die konfiguriert (aktiviert/deaktiviert) sind im Vergleich zu den GPO Einstellungen einer übergeordneten OU (Kunden-OU)? Domain GPOs Kunden-OU GPOs KUNDE1-OU GPOs 2. Wenn einer User sich in einer OU befindet in der GPOs auf die Benutzer wirken und dann gleichzeitig Mitglied einer Gruppe ist, die sich in einer anderen OU befindet, auf die andere GPOs wirken...welche OU GPOs wirken dann unterm Strich? Hoffe ich hab mich verständlich ausgedrückt. Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 14. Dezember 2015 Melden Teilen Geschrieben 14. Dezember 2015 Moin, deine erste Frage verstehe ich nicht. Zu deiner zweiten Frage: Es zählt ausschließlich der Speicherort des Benutzerkontos. [Die Anwendung von Gruppenrichtlinien steuern | faq-o-matic.net]http://www.faq-o-matic.net/2014/04/07/die-anwendung-von-gruppenrichtlinien-steuern/ Gruß, Nils Zitieren Link zu diesem Kommentar
testperson 1.708 Geschrieben 14. Dezember 2015 Melden Teilen Geschrieben 14. Dezember 2015 Zu deiner zweiten Frage: Es zählt ausschließlich der Speicherort des Benutzerkontos. Außer beim Loopbackverarbeitungsmodus (Wie auch im verlinkten Artikel erwähnt) ;) Zitieren Link zu diesem Kommentar
NorbertFe 2.063 Geschrieben 14. Dezember 2015 Melden Teilen Geschrieben 14. Dezember 2015 (bearbeitet) Hallo, zu einer AD 2008 R2 hätte ich folgende Fragen : 1. Wenn ich eine GPO auf einer OU (Kunde1-OU) erzwinge, wirken dann auch die nicht konfigurierten GPOs dieser KUNDE1-OU oder nur diejenigen, die konfiguriert (aktiviert/deaktiviert) sind im Vergleich zu den GPO Einstellungen einer übergeordneten OU (Kunden-OU)? Domain GPOs Kunden-OU GPOs KUNDE1-OU GPOs Wozu willst du auf der untersten Ebene etwas erzwingen? Darunter kommt ja nix mehr. ;) Wieder einer der das Prinzip noch nicht verinnerlicht hat? ;) Bye Norbert PS: "Kein Vorrang" und "Erzwingen" sollte man genau lesen und verstehen, bevor man es einsetzt. Denn es funktioniert in den meisten Fällen ohne deren Verwendung logischer. ;) bearbeitet 14. Dezember 2015 von NorbertFe Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 14. Dezember 2015 Melden Teilen Geschrieben 14. Dezember 2015 Moin, Außer beim Loopbackverarbeitungsmodus (Wie auch im verlinkten Artikel erwähnt) ;) ja, aber auch dann wirken sich Gruppenmitgliedschaften nicht in der angefragten Weise aus. :D Gruß, Nils Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 15. Dezember 2015 Melden Teilen Geschrieben 15. Dezember 2015 Hm - wenn ich mir die Grafik im ersten Post anschaue: Willst Du ein Multi-Mandanten-AD bauen? Dafür würden Dir noch sehr viele Grundlagen fehlen. Zum Thema "Erzwingen": http://evilgpo.blogspot.de/2012/02/loopback-demystified.html - erklärt ein wenig dazu. Zitieren Link zu diesem Kommentar
MHenning 11 Geschrieben 16. Dezember 2015 Melden Teilen Geschrieben 16. Dezember 2015 (bearbeitet) Hallo Zusammen, um vielleicht erstmal in die richtige Richtung zu Zeigen. Domain GPO1 diese GPO wirkt auf die OU "Domain" und auf alle unter-OUs Kunden-OU GPO2 diese GPO wirkt auf die OU "Kunden-OU" und auf alle unter-OUs, nicht aber auf die OU "Domain" KUNDE1-OU GPO3 diese GPO wirkt auf die OU "KUNDE1-OU" und auf alle unter-OUs wenn vorhanden, nicht aber auf die OU "Domain" und auch nicht auf "Kunden-OU" Wir machen es hier bei uns wie folgt Domain default-domainpolicy GPO Niederlassung1 Computers GPO1 Groups Users GPO2 Contacts Niederlassung2 Computers GPO3 Groups Users GPO4 Contacts Niederlassung3 Computers GPO5 Groups Users GPO6 Contacts usw. Warum unterschiedliche GPOs pro Niederlassung? Weil unterschiedliche Sprachen und völlig andere Konfigurationen. Vielleicht hilft Dir das ja deine Denkweise etwas zu lenken. Gruß Martin bearbeitet 16. Dezember 2015 von MHenning Zitieren Link zu diesem Kommentar
NorbertFe 2.063 Geschrieben 16. Dezember 2015 Melden Teilen Geschrieben 16. Dezember 2015 Aha, hat jetzt was mit der Ursprungsfrage zu tun? Zitieren Link zu diesem Kommentar
Rumak18 11 Geschrieben 17. Dezember 2015 Autor Melden Teilen Geschrieben 17. Dezember 2015 (bearbeitet) Hallo, @NorbertFe: "MHenning" wollte einfach aufzeigen, wie sich die GPOs auswirken. @MHenning: Das ist mir schon bewusst. Schliesslich machen wir das ja auch so seit 5 Jahren (-: ; Dennoch danke! @daabm : Ich denke nicht, dass der Term "Mandant" in eine AD passt. Das Konstrukt hat GPOs , die sich auf alle Kunden OUs beziehen und eben spezielle GPOs, die sich auf einzelne Kunden beziehen. Hierzu hilft eben MHennings Erläuterung, um das zu verstehen. @NilsK: Erst mal danke für die Beantwortung der zweiten Frage. Also doch so simpel. Nun zur ersten Frage: Naja, stelle dir wie schon oben beschrieben meine Domain vor: Domain GPOs Kunden-ALLGEMEIN-OU GPOs KUNDE1-OU ; Kunde2-OU ; Kunde3-OU GPOs GPOs GPOs Nun hat die "Kunden-ALLGEMEIN-OU" -GPO die Einstellung Profilgröße zu beschränken und bsp. Systemsteuerung zu deaktivieren. Für einen Kunden (Beispiel Kunde3-OU) möchte ich die Profilgröße nicht beschränken und ändere das in der "Kunde3-OU"-GPO ab. Die Systemsteuerung Einstellung lasse ich bei dieser GPO aber unberührt (Nicht aktiviert) und erzwinge nun die "Kunde3-OU"-GPO. -> Welche Systemsteuerung Einstellung zieht nun für Kunde3-OU User? Hat er sie oder sie deaktiviert? Mir geht es darum zu wissen, ob "erzwungene" GPOs auch die "nicht konfigurierten" Einstellungen der GPOs anwenden oder nur die "aktivierten" bzw. "deaktivierten" Einstellungen. bearbeitet 17. Dezember 2015 von Rumak18 Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 17. Dezember 2015 Melden Teilen Geschrieben 17. Dezember 2015 Moin, "nicht konfiguriert" heißt immer: Es gilt entweder der Wert eines vorher angewendeten GPOs oder der Grundzustand des Betriebssystems. Es wird an der zuletzt gesetzten Einstellung nichts geändert. Willst du einen bestimmten Zustand, dann musst du ihn ausdrücklich setzen. In deinem Konstrukt willst du dir evtl. auch das Blocking noch mal ansehen. Gruß, Nils Zitieren Link zu diesem Kommentar
testperson 1.708 Geschrieben 17. Dezember 2015 Melden Teilen Geschrieben 17. Dezember 2015 Hi, hier solltest du Infos finden: http://www.gruppenrichtlinien.de/artikel/vererbung-und-hierarchien/ Ich würde das mit den KundenOU schon "Mandant" nennen. Aber hier käme es wohl auf eure Anforderungen (oder die der Kunden) an und was diese sehen sollen / düren. Gruß Jan Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 17. Dezember 2015 Melden Teilen Geschrieben 17. Dezember 2015 Eine weitere Möglichkeit wäre die Sicherheitsfilterung auf Sicherheitsgruppen. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 17. Dezember 2015 Melden Teilen Geschrieben 17. Dezember 2015 Nils hats schon gesagt - wenn eine Einstellung mal "konfiguriert" ist, kriegt man sie weiter unten nicht mehr "nicht konfiguriert", bestenfalls noch "anders". Es sei denn, man löscht den zugehörigen Reg-Wert über GPP Registry Zitieren Link zu diesem Kommentar
Rumak18 11 Geschrieben 22. Dezember 2015 Autor Melden Teilen Geschrieben 22. Dezember 2015 @Nils / daabm: Und wenn die darunterliegenede GPO im Kontextmenü "erzwungen" wird und diese erzwungene GPO hat eben "nicht konfiguriert" in einer Einstellung (Bsp.: Systemsteuerung ausblenden) , dann gilt also die darüber liegende GPO mit der "konfigurierten" (Systemsteuerung) Einstellung dennoch korrekt? Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 22. Dezember 2015 Melden Teilen Geschrieben 22. Dezember 2015 Moin, "nicht konfiguriert" heißt: Dieser Wert "fehlt" in der Policy. Er wird nicht angefasst. So etwas kann man nicht erzwingen. Es gilt dann der letzte konfigurierte Wert - entweder vom letzten angewendeten GPO oder von der Grundkonfiguration des Systems. Irgendwie schrieb ich das aber schon ... Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.