reedbeat 10 Geschrieben 27. April 2006 Melden Teilen Geschrieben 27. April 2006 Hi! Habe die Aufgabe erhalten, dass ich unsere GPO´s "ausmisten" soll. In einem der GPO´s sind sowohl User- als auch Computer-Einstellungen definiert worden. Da das GPO mit einer OU verlinkt wurde, wo nur Useraccounts liegen, stellt sich die Frage, ob die Computer Einstellung entfernt werden können. Computer-Einstellungen machen ja keinen Sinn für Userkonten? Ich würde gerne wissen, ob bei der Anmeldung im Zuge der Ausführung der GPO-Settings auch die Computer-Settings mitabgerufen werden. Microsoft formuliert das Verfahren der Policy-Anwendung etwas ungenau: "Die auf Computer bezogenen Gruppenrichtlinien werden bei der Initialisierung des Betriebssystems und der regelmäßigen Aktualisierungszyklen angewendet". Soviel ist klar. Aber: Was geschieht wenn sich ein User anmeldet, für den eine GPO gilt (welche in "seine" OU verlinkt wurde), in der beide Einstellungen (User,Computer) definiert wurden? thx! Reedbeat Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 27. April 2006 Melden Teilen Geschrieben 27. April 2006 Computereinstellungen ziehen nur dann, wenn sie auf ein Computerobjekt wirken. Dazu muss sich das Computerkonto unterhalb der OU mit dieser verlinkten GPO befinden (direkt oder in einer SubOU). Wenn du da nur Benutzerkonten in dieser OU hast (und auch in den drunterliegenden SubOUs keine Computer), kannst du getrost die Computereinstellungen rausnehmen. grizzly999 Zitieren Link zu diesem Kommentar
reedbeat 10 Geschrieben 27. April 2006 Autor Melden Teilen Geschrieben 27. April 2006 Super, danke! Genau das wollte ich wissen! Dankeschön! Reedbeat PS: gibts das irgendwo schriftlich von MS? Link? Zitieren Link zu diesem Kommentar
reedbeat 10 Geschrieben 28. April 2006 Autor Melden Teilen Geschrieben 28. April 2006 Was geschieht wenn ein GPO mit Usersettings in eine OU mit Computerkonten verlinkt wird? Werden die Usersettings bei Anmeldung an den User übergeben? Da bei der Anmeldung erneut eine Anfrage per GetGPOList an Sysvol gestellt wird (für die Ermittlung der USersettings), und laut MS GetGPOList beim Initieren des OS nur Computereinstellungen abfrägt, eher nicht, oder? Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 28. April 2006 Melden Teilen Geschrieben 28. April 2006 Was geschieht wenn ein GPO mit Usersettings in eine OU mit Computerkonten verlinkt wird?Werden die Usersettings bei Anmeldung an den User übergeben? Nein. Es gilt das selbe, was ich über die Computerrichtlinien gesagt habe, respektive auch düe Benutzer. Nur das wo sich das Benutzerkonto befindet, ..... Ausnahme: Es ist der Loopbackverarbeitungsmodus in de Computerrichtlinie aktiviert (s.a. Boardsuche dazu) grizzly999 Zitieren Link zu diesem Kommentar
reedbeat 10 Geschrieben 28. April 2006 Autor Melden Teilen Geschrieben 28. April 2006 Sehr gut. Also dann gilt einfach, was MS sagt: > Computerrichtlinien wirken nur auf Computerkonten. > Userrichtlinien wirken nur auf Userkonten. Ganz einfach. Nicht mehr und nicht weniger. (Ausnahme Loopback). Danke für den Hinweis bezüglich Loopback-Modus! Darüber bin ich auch schon bei meinen Recherchen gestolpert. Um jetzt nicht unnötig nerven zu wollen. Eine Frage hätt ich noch: Wozu dient Scope "Security Filtering" mit Gruppe "Authenticated Users" wenn nur Computer-Einstellungen definiert wurden? Standardmässig sind "Authenticated Users" drinnen. Ist das nicht ein Widerspruch? Computerstettings gelten, wie gerade festgestellt, doch nur für Computer? Mir ist aufgefallen, dass die Computer-Einstellungen nicht mehr funktionieren, wenn ich die Gruppe rausnehme. Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 28. April 2006 Melden Teilen Geschrieben 28. April 2006 Sehr gut. Also dann gilt einfach, was MS sagt: > Computerrichtlinien wirken nur auf Computerkonten. > Userrichtlinien wirken nur auf Userkonten. Ganz einfach. Nicht mehr und nicht weniger. (Ausnahme Loopback). :thumb1: Völlig korrekt ! Wozu dient Scope "Security Filtering" mit Gruppe "Authenticated Users" wenn nur Computer-Einstellungen definiert wurden?Standardmässig sind "Authenticated Users" drinnen. Ist das nicht ein Widerspruch? Computerstettings gelten, wie gerade festgestellt, doch nur für Computer? Weil man hiermit dasselbe machen kann wie mit Richtlinien für Benutzer: Die Richtlinie zwar auf eine OU (oder die ganze Domäne) mit mehreren Computern anwenden, aber dort nur auf eine bestimmte Computergruppe wirken lassen. Computer können ja auch gruppiert werden. grizzly999 Zitieren Link zu diesem Kommentar
reedbeat 10 Geschrieben 28. April 2006 Autor Melden Teilen Geschrieben 28. April 2006 Dass einzelne Computer (oder Computergruppen) zwecks Filterung angegeben werden können war mir klar. Was ich jetzt gern gewusst hätte, ist ob die Gruppe Authenticated Users (oder auch andere User) obsolet werden, sobald nur Computersettings definiert werden? Thx Reedbeat Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 28. April 2006 Melden Teilen Geschrieben 28. April 2006 Nein, auch ein Computerkonto ist ein Authentifizierter Benutzer im AD. Ein Computerkonto ist ja nix anderes als ein Verstecktes Benutzerkonto mit dem Namen <Computername$> grizzly999 Zitieren Link zu diesem Kommentar
reedbeat 10 Geschrieben 28. April 2006 Autor Melden Teilen Geschrieben 28. April 2006 Nein, auch ein Computerkonto ist ein Authentifizierter Benutzer im AD. Ein Computerkonto ist ja nix anderes als ein Verstecktes Benutzerkonto mit dem Namen <Computername$> grizzly999 Darüber mus sich jetzt mal nachdenken. Das war mir nicht bekannt! Also sollte es auf jeden Fall ein Problem darstellen, wenn die Gruppe "Authenticated Users" aus dem GPO entfernt wird (und keine andere Gruppe hinzugefügt wird), da dort Computerkonten enthalten sind? Danke jetzt mal für die raschen Antworten! :) Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 28. April 2006 Melden Teilen Geschrieben 28. April 2006 Also sollte es auf jeden Fall ein Problem darstellen, wenn die Gruppe "Authenticated Users" aus dem GPO entfernt wird (und keine andere Gruppe hinzugefügt wird), da dort Computerkonten enthalten sind? Bingo :) grizzly999 Zitieren Link zu diesem Kommentar
reedbeat 10 Geschrieben 28. April 2006 Autor Melden Teilen Geschrieben 28. April 2006 :D ..jetzt hätt ich mir gern die Members der Gruppe Authenticated Users angesehen. Suche im AD: Custom Search/Field Foreing Security Principals/Name /Auth ENTER AD spuckt die Gruppe aus, jedoch ist die mit einem roten Pfeil versehen. Es gibt keine Lasche "Members". In den Eigenschaften steht ein Hinweis, dass die Gruppe ein "Placeholder" wäre und zu einer externen Domain gehört und auch dort erstellt wurde? Ist das Ok so? Wir haben ja nur eine Domäne. Gibts sonst noch eine Möglichkeit die Members der Gruppe Auth. Users auszulesen? thx!! Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 28. April 2006 Melden Teilen Geschrieben 28. April 2006 Authenticated Users ist eine lokale Systemgruppe auf eiinem jeden Rechner und damit nicht verwaltbar. Die Gruppenmitgliedschaft in einer Systemgruppe wird vom System selber dynamisch aufgrund bestimmter Interaktionen verwaltet und kann jede Sekunde anders aussehen. Der Admin kann die Gruppenmitgliedschaften nicht verwalten, daher sind die Systemgruppen auch in keiner Verwaltungskonsole. grizzly999 Zitieren Link zu diesem Kommentar
reedbeat 10 Geschrieben 28. April 2006 Autor Melden Teilen Geschrieben 28. April 2006 Authenticated Users ist eine lokale Systemgruppe auf eiinem jeden Rechner und damit nicht verwaltbar. grizzly999 Super, danke! Das dachte ich mir schon! Vielen Dank für Deine Hilfe! Meine Fragen wurden somit ausreichend beantwortet! Grüsse! Reedbeat Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.