Denkblockade bei Gruppenrichtlinien

[RobDust 11]

Moin,

 

hab vorhin mal ein paar Änderungen in der Default Domain policy gemacht. Client meldet an, und übernimmt diese auch! Wunderbar  Server 2016

Nun will ich aber nicht in der Default Domain policy rumpfuschen... also habe ich stattdessen auf die OE (in der auch die User sind) gecklickt und hier eine neue GPO erstellt...
In dieser mal ganz andere Einstellungen getroffen, um sicher zu sein, dass diese auch übernommen werden.

 Nun leider erhält der Client diese Eintstellungen nicht :-( was habe ich übersehen?

[NorbertFe 2.027]

Glaskugel ist grad zur Reinigung. Vermutung: Du hast im neuen GPO keine Nutzer sondern Computerrichtlinien definiert. Vermutung 2: Du hast die Übernahme auf User eingeschränkt und vergessen den Computerkonten den Lesezugriff zu gewähren.

 

Bye

Norbert

[RobDust 11]

""Vermutung: Du hast im neuen GPO keine Nutzer sondern Computerrichtlinien definiert."""<- ja das ist richtig. Die benötigten Firewalleinstellungen habe ich nur dort gefunden.
Aber Änderungen in der Computerrichtlinien, in der Default Domain policy, haben beim User gewirkt.

"""Du hast die Übernahme auf User eingeschränkt""" <- die OE besteht nur aus Usern, kann das deshalb sein?

und vergessen den Computerkonten den Lesezugriff zu gewähren. ? Könnte sein, wo kann ich das prüfen?

bearbeitet 13. Februar 2019 von RobDust

[NorbertFe 2.027]

vor 3 Minuten schrieb RobDust:

Aber Änderungen in der Computerrichtlinien, in der Default Domain policy, haben beim User gewirkt.

Woran könnte das liegen? Evtl. daran, dass die Default Domain Policy auf Domänenebene verlinkt ist und deswegen logischerweise sowohl auf Computer- als auch Benutzerkonten wirkt?

 

[RobDust 11]

aaah okay  ja jetzt dämmerts so langsam ^^

Das heißt ich muss noch ne OE erstellen und alle Pcs reinschubsen? Und dann dort eine GPO definieren, mit den benötigten Einstellungen?

Aktuell sind wohl alle Pcs im "Computers" Container :Default container for upgraded computer accounts. So seh ich das in der AD, diese "OE" seh ich aber nicht in der Gruppenrichtlinienverwaltung.

Ok- Das wars nun ist die Richtlinie auf den PC angewendet. Danke dir.

Seltsam, dass die von mir definierte Firewall-Regel nun 2 mal erscheint?.

 

 

... ist aber anscheinend nicht schlimm, es funktioniert wie gewünscht

 

 

 

-----------------

 

Mal aber eine andere Frage:

Wenn ich nun Einstellungen in der Default Domain Policy gemacht habe. (z.B. Passwortkomplexität)
Aber auf die User OE und Computer OE  eine GPOs zugeordnet ist, in der das o.g. "nicht definiert" ist. 
Wir dann die (z.B. Passwortkomplexität) wieder auf "nicht definiert" gesetzt?

In der Vererbung Sieht die Reihenfolge auf der Computer OE so aus: (Beide aktiviert)
1 "Meine neue GPO"

2 "Default Domain Policy"

 

Das Anwenden von "Meine neue GPO" klappt so. / Oder mischen sich dann beide?

bearbeitet 13. Februar 2019 von RobDust

[Sunny61 806]

In Sachen Kennwortrichtlinien hilft dir dieser Artikel: https://www.gruppenrichtlinien.de/artikel/kennwortrichtlinien/

 

Zum Verständnis in Sachen Computer und Leserechte: https://www.gruppenrichtlinien.de/de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/

 

Und ja, Du solltest eine OU für die Computer anlegen und die Computerobjekte dort hinein schieben.

 

Vererbung ist auch beschrieben: https://www.gruppenrichtlinien.de/de/artikel/vererbung-und-hierarchien/

[Maerad 15]

Neben den Links von Sunny61, kann ich dir auch noch das Openbook Server 2012 R2 empfehlen (kostenlos)

http://openbook.rheinwerk-verlag.de/windows_server_2012r2/

 

Da ist sehr gut und detalliert erklärt, wie ein AD und die Strukturen dahinter funktionieren und eingerichtet werden können / müssen.

Neben allen anderen Sachen, die ein Server so hat.