GPO Reihenfolge

[genab.de 10]

Kleine Frage:

 

Ich weiß, das die GPOs in reihenfolge angewendet werden:

 

0. local

1. Standort

2. Domain

3. OU

 

sind dann innerhalb einer OU 2 GPUs wird dann die obere oder die untere GPO angewendet, ich hab im Buch gelesen, das die die eine höhere Priorität hat, aber welche iust das?

 

 

2. Frage:

 

 

wenn ich 2 GPOs mit Softwarebeschränkung mache, und in in der einen Office erlaubt ist

 

und in der 2. GPO nur Buchhaktungssoftware erlaubt ist

 

wird dann das kombiniert?

 

 

also sind dann in dieser OU beide erlaubt, oder nur die GPO, die eine höhere Priorität hat.

 

 

Herby

[mfrank 10]

Zu 1 kann ich dir was sagen: die GPOs werden in der Reihenfolge abgearbeitet, in der sie verlinkt worden sind. Also von oben nach unten.

 

Zu 2 würde ich mal vermuten, das bei kollidierenden GPOs die letzte ausgeführte alle vorherigen Einstellungen überschreibt. Ich würde allerdings nicht darauf wetten :)

 

Es grüßt

 

MF

[genab.de 10]

zu 1: (mfrank)

 

das würde bedeuten, das die GPO gwinnt, die Unten steht?

[Hirgelzwift 10]

soweit ich weis werden GPO's von unten nach oben abgearbeitet. also die erste gewinnt auch. wenn du GPMC installiert hast kannst du das unter gruppenrichtlinienvererbung ganz genau sehen. da stehen sie dann in umgekehrter reihenfolge.

 

man muss sich das so vorstellen: die unterste GPO wir zuerst hinzugefügt, dann wird immer weiter nach oben gegangen in der hirachie. bei L-S-D-OU werden also erst alle lokalen, dann alle standort dann alle domänen und dann alle OU GPO's hinzugefügt. damit gewinnt die GPO die am nächesten am objekt (also die OU) steht, ausser die vererbung wurde deaktivert oder eine bestimmte einstellung wird auf erzwingen gestellt.

 

eine ausnahme bildet hier die default domain policy. sie wird sozusagen immer zum schluss hinzugefügt und gewinnt immer bei konkurierenden einstellunge, sieht man mal wieder von einer erzwungenden GPO ab.

[grizzly999 11]

Also, bei mehreren GPOs an einer OU werden die von unten nach oben abgearbeitet, das ist richtig. Damit wirkt im Konfliktfall die weiter oben.

 

Aber, wo hast du das her?!

eine ausnahme bildet hier die default domain policy. sie wird sozusagen immer zum schluss hinzugefügt und gewinnt immer bei konkurierenden einstellunge

 

Das ist total falsch. Die Default Domain Policy kommt immer da in der Reihenfolge, wo sie hingehört und kann von jeder später abgearbeiteten überschrieben werden. Ausnahme: alles was unter Kontorichtlinie steht, da wirken die Einstellungen auf AD-Konten nur, wenn es in einer Domänenrichtlinie steht (irgendeiner Domänerrichtlinie!)

 

 

grizzly999

[genab.de 10]

@hirgelzwift

 

vielen dank füe deine Ausführung. Von unten nach oben wird also die GPO in einer OU angewendet.

 

und die default GPO gweinnt immer

 

 

Nun währe bur noch rage 2 offen, was bei der Softwarebeschränkung übrig bleibt.

 

Ob die eine die andere GPO total überschreibt

[grizzly999 11]

und die default GPO gweinnt immer

 

Jetzt habe ich doch eine Stunde vor dir geschrieben, also keine Überschneidung beim Posten. Aber: Schreibe ich chinesisch, oder klinge ich unglaubwürdig, oder willst du keine Hilfe?

 

 

grizzly999

[blub 115]

@hirgelzwift

soweit ich weis werden GPO's von unten nach oben abgearbeitet

 

von unten nach oben oder doch von links nach rechts??

Such z.b. in der GPMC mal das Feld "Link Order" und klick drauf. :cool:

 

Deine Quellen würden mich auch interessieren

 

cu

blub

[Hirgelzwift 10]

grizzly hat schon recht ich habe da leider einen kleinen wurm reingebracht. im grunde habe ich aber auch die richtige antwort gegeben indem ich gesagt habe um so näher am objekt um so höher die prio. aber die ausnahme war im grunde quatsch. daher behaupte ich nun (fast) das gegenteil.

 

die default domain policy ist ja im grunde die domänen policy und wirkt daher in der rangfolge L - S - D - OU.

 

aber im letzten satz von grizzly, seines ersten posts, hat er auch nicht ganz recht oder hat sich leider missverständlich ausgedrückt. im grunde habe ich sogar von ihm gelernt das sich das verhalten in W2K3 im grunde verändert hat, obgleicht es mit W2K auch schon ging, es aber so zu beantworten in der prüfung falsch gewesen wäre.

 

lange rede kurzer sinn. hier die details zu dieser einleitung: während MS noch während W2K (sozusagen) vorgeschrieben hat das man die kennwortrichtlinien ausschließlich in der DDP (DefaultDomainPolicy) abzubilden hat wird seit W2K3 empfohlen bzw. (sozusagen) vorgeschrieben die DDP überhaupt nicht mehr anzufassen und die kennwortrichtlinien in einer eigenen policy zu definieren. diese muss dann in der hierachie über die DDP gestellt und erzwungen werden (no override).

 

frag mich bitte aber nicht wie die prüfungsfrage heute aussieht, ich musste den AD test nicht noch mal neu machen für W2K3 :p

 

hier der entsprechende MS artikel zu meiner aussage:

 

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/strngpw.mspx

 

ich hoffe nun sind letztlich alle klarheiten beseitigt ;)

[Hirgelzwift 10]

@hirgelzwift

 

 

von unten nach oben oder doch von links nach rechts??

Such z.b. in der GPMC mal das Feld "Link Order" und klick drauf. :cool:

 

Deine Quellen würden mich auch interessieren

 

cu

blub

 

 

@blub: sei so nett und lies dir mal bitte den thread genau durch und zwar alle beiträge. wenn du dann auch noch bereit bist sachliche beiträge abzuliefern können wir gerne diskutieren, aber nicht auf diesem niveau. das ist doch deiner nicht würdig als expert member!?

[genab.de 10]

@grizley999

 

Nun, lag schon im Bett, und hab mir für die erstelung eines Posts über eine Stun de Zeit gelassen

 

 

 

Aber danke für die Antwort:

 

 

wie schaut es den nun eigentlich it den Software-Beschränkungds GPO aus: also Frage 2

 

wenn ich eine GPO habe, wo alles verbiten ist ausser Office

 

und eine 2. GPO wo alles verboten istausser Buchhaltungssoftware

 

 

ist dann unterm Strich alles verboten ausser Office UND Buchhaltung

 

oder Gewinnt dann eine GPO und es ist entweder das eine, oder das andere erlaubt?

[Hirgelzwift 10]

das wären dann konkurierende einstellungen und die GPO in der rangfolge oben würde gewinnen. eigentlich war die frage schon beantwortet, siehe die hinweise auf die rangfolge. du kannst aber alles in einer GPO abbilden und dann sollte das kein problem sein.

[genab.de 10]

kannst aber alles in einer GPO abbilden und dann sollte das kein problem sein. >>

 

Supi, dann mach ich 3 GPOs eine Office eine Biuchhaltung und eine Comoi, und auf die leg ich dann berechtigung, und die kommt ganz oben hin,

 

so sollte es gehen

 

 

Vielen dank für eure Hilfe - habts mich weitergebracht

[Hirgelzwift 10]

nö, 1 GPO und in dieser einen GPO bildest du dir 3 regeln ab, hash oder pfad wird meisstens verwendet (erlauben) und setzt den rest auf verbieten (standard).

[genab.de 10]

@modeator oder Admin

 

Frage:

warum hat mfrank eigentlich 3 Sterne und ich 4 Sterne, er hat doch mehr Postings als ich?