Jump to content

GP auf Server anwenden, nicht auf Gruppen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich habe einen Domaincontroller, und diverse Server in der Firma, sowie ein paar Workstations.

Ich habe mehrere Benutzer Gruppen, die auf alle Server uns WS Zugriff haben.

 

Jetzt möchte ich eine Group Policy für die Server und eine für die WS haben, aber leider klappt das nicht.

Unter Eigenschaften der Gruppenrichtlinie, habe ich einmal die Gruppen zugewiesen, und die Group Policy überall aktiviert.

Bei der 2. GP habe ich die WS unter Security mit eingetragen und bei denen die GP aktiviert, und nicht bei den Gruppen. No Override ist bei der GP aktiviert.

 

Was mache ich falsch?

 

Gruß

 

Matthias

Link zu diesem Kommentar

Morgen Matthias,

 

achtung... du scheinst da ein bisserl was falsch verstanden zu haben.. grundsätzlich werden Gruppenrichtlinien, nicht wie der Name fälschlicherweise sagt, über die Sicherheitsgruppen zugewiesen sondern werden auf Objekte innerhalb einer OU angewendet:

 

lies dir mal diesen Thread durch vielleicht nützt der, dir was:

http://www.mcseboard.de/showthread.php?t=66080

 

achja bei deiner 2 Policy hast du eine Ausnahme entdeckt... du kannst zwar pe ACL steuern...bei wem die Richtlinie angewandt wird... aber auch nur bei den Objekten, die aufgrund der Hierarchie des Active-Directory in den Auswirkungsbereich der Policy fallen:

 

Security Filtering: By modifying the security groups associated with a GPO, the application of the GPO can be further refined. For example, if a GPO is linked to OU A and has a security filter for the MyGroup security group, then all accounts that are in OU A and MyGroup will be affected by the GPO. By default a newly created GPO's security Access Control List (ACL) contains an Access Control Entry (ACE) for the Authenticated Users group which has the Read and Apply Group Policy permissions. Since Authenticated Users includes all computers and users in the domain, a new GPO will be processed by all users and computers. So, for example, if you want to restrict a GPO's application to only the users in MyGroup, you would remove the Authenticated Users ACE and add one for MyGroup with Read and Apply Group Policy permissions.

 

LG Gadget

Link zu diesem Kommentar

Hi,

 

Danke dir, das hat mich etwas weiter gebracht ;)

 

Ich habe jetzt 2 Container erstellt, einen für die Server, und einen für die WS.

In jedem Container befindet sich jetzt die jeweilige Gruppe für die die Policy gelten soll.

Wenn ich jetzt die jeweilige GP auf die jeweiligen Container anwende, passiert nichts.

 

Nur wenn ich die GP auf die gesammte Domaine anwende wird sie aktiv!

 

Irgendwie fehlt mir jetzt der nötige Ansatz da weiter zu machen.

 

Hast du noch ein Tip?

 

Gruß

 

Matthias

Link zu diesem Kommentar

1 Server läuft mittlerweile, aber die anderen die im gleichen Container sind, gehen nicht.

via gpresult habe ich herausgefunden, das bei den anderen Servern noch die domain policy geladen wird, obwohl sie nicht applied ist.

zusätzlich werden noch local policies geladen, da wurden aber nie einstellungen gemacht,

Wie kann ich diese deaktivieren?

 

Danke!

Link zu diesem Kommentar

Hi matthias,

 

die Default Policies werden standardmäßig nach unter weiter vererbt... und wenn du neue erstellst... muss du deine Computer u. Benutzerkonten entsprechend den Konfigurationswünschen... in die OU´s verschieben...

 

Ich will dir nicht zunahe treten, aber mit Gruppenrichtlinien ist wirklich schnell ein Bock geschossen wenn man nicht verdammt aufpasst. Deswegen würde ich dir empfehlen unseren Community Cast und noch ein paar MS Webcast zur Einarbeitung im Bereich Gruppenrichtlinien anzuschaun.

 

http://www.mcseboard.de/community_cast.php

 

http://www.microsoft.com/events/series/grouppolicy.mspx

(Wenn du richtig Bescheid wissen willst wären alle 14 Webcast der großen Serie nicht schlecht... tja so einfach u. schnell gehts dann doch nicht mit den Gruppenrichtlinien) ;)

 

LG Gadget

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...