Frage zu GPO vererbung deaktivieren

[genab.de 10]

Fage:

 

wenn ich eine OU erstelle (und dort eine GPO anwende)

 

und in dieser OU wieder eine OU erstelle (und dort eine GPO anwende)

 

und in dieser OU wieder eine OU erstelle

 

und an der letzten OU die Vererbung deaktiviere

 

wir´dann die GPO in der 1. OU wieder angewendet?

 

 

also wird bei deaktivierung der Verrerbung nur ein eine Ebene zurück geblockt?

 

 

 

(alle GPOs haben No Override 'nicht aktiviert - sondern nur normale GPOs)

[IThome 10]

Die Deaktivierung der Vererbung beginnt dort, wo Du sie konfigurierst , ab hier gilt etwas anderes als darüber. Die OUs darüber erben weiterhin alles, was von oben kommt ...

[genab.de 10]

das hab ich nun nicht kappiertß

 

 

 

also

 

ich erstelle OU1 mit GPO1

 

 

ich erstelle Child OU2 ind OU1 mit GPO2

 

 

und erstelle Child OU3 in OU2 -- bei OU3 sage ich vererbung deaktivieren

 

 

so greift in OU3 die GPO2 nicht mehr (das ist diue GPO eins drüber)

 

aber GPO1 greift ind OU3, da das ja nicht direkt über der OU ist - also 2 Ebenen weg ist?

 

 

so hat es mir mein Dozent erklärt - das wenn ich Vererbung deaktivierte, das nur für eine Ebene gilt

[Theo Dor 10]

Nein, ist Käse, was Dein Dozent da erzählt !

Vererbung deaktivieren heißt, alles was von oben kommt wird nicht übernommen, egal von welcher Ebene an es vererbt wird. Analog zu NTFS-Berechtigungsverebung.

[genab.de 10]

trifft dies auch auf die Default Domain Policy zu

 

 

wenn nein -

 

trifft dies nicht mal für die Passwortrichtlinien zu, die in der Default Domain Policy gesetzt werden?

[IThome 10]

Es trifft nicht für die Passwortrichtlinien zu. Diese Richtlinie wird nach unten weitergereicht, also auch für die Domain Controllers OU, und genau da (auf den DCs) werden die Kennwörter verändert. Andere Einstellungen, die in der Default Domain Policy eingestellt wurden, werden nicht geerbt, wenn in Deiner OU die Vererbung deaktiviert wurde ...

[Theo Dor 10]

ja und nein

auch die Vererbung der Default Domain Policie wird unterbunden

 

Aber: die Kennwortwortrichtlinen gelten (wirken) sowieso nur auf Domänen-Ebene und werden weiter unter gar nicht angewendet. Z.B. kannst du weiter unter Kennwortrichtlinen setzen wie Du willst - sie wirken nicht.

 

Die Domäne holt sich die Kennwortrichtlinien aus der höchstpriorisiertesten, direkt auf Domänenebene gesetzten GPO.

[IThome 10]

Wenn Du allerdings die Vererbung in der Domain Controllers OU deaktivierst, dann wirkt auch die Password-Policy nicht mehr

http://support.microsoft.com/kb/269236/en-us

[genab.de 10]

um es kurz zu fassen: (um es als klare Aussage im Forum in Stein zu hämmern)

 

 

wenn an einer OU die Vererbung ausgeschalten ist,

 

dann kommt rein gar nichts mehr von Oben durch

 

egal wieviel Ebenen drüber, egal ab Sie von einer Site kommt

oder es sich um die Default Domain Policy handelt

oder es sich um Passwort richtlinien handelt

 

 

Ab hier wird dann geblockt, und alle Child OUs, egal wie viele Ebenen tief bekommen nichts mehr vererbt

 

 

 

 

einzige Ausnahme ist die Option - No Override

 

 

 

Grüße

 

Herby

[IThome 10]

Nein, die Passwortrichtlinie steht aussen vor. Deaktiviere ich die Vererbung, kommt hier von oben nichts mehr an (egal von wo). Alles was hier definiert wird, vererbt sich weiter nach unten (ausser, wenn weiter unten wieder die Vererbung deaktiviert wurde, dann gilt wieder:ab hier was anderes, was nach unten vererbt wird). Die OUs unterhalb der OU, in der die Vererbung deaktiviert wurde, erben nichts von OUs die sich oberhalb der OU befinden, in der die Vererbung deaktiviert wurde. Sie erben aber von der OU, in der die Vererbung deaktiviert wurde.

Anders verhält es sich , wenn Kein Vorrang definiert wird ...

[Theo Dor 10]

Nein, wenn man die Vererbung an der OU blockt, dann blockt das NICHT die Vererbung über die Site !

[IThome 10]

Wo steht das ? Die Richtliniereihenfolge ist

Lokal

Standort

Domäne

OU

Warum sollte eine Richtlinie auf Standortebene nicht blockiert werden, wenn ich die Vererbung in einer OU deaktiviere ? Ich lerne gerne dazu, ein Link, was das bestätigt, wäre schön ... :)

Habe gerade im 70-294 nachgeschlagen, dort steht es genauso, wie ich sage (sogar mit Beispiel). In einer OU wird die Vererbung deaktiviert, die Richtlinien auf Standort- und Domänenebene werden nicht angewendet.

Jetzt kommst Du, das musst Du ja irgendwo her haben ...

[Theo Dor 10]

Jaaahaaaa ...

Das ist die Reihenfolge der Anwendung! Erst die lokalen, dann die der Site, dann der Domäne und dann der OU's. Soll heißen, bei Konflikten gelten z.B. die der OU's vor denen der Site, sofern nicht erzwungen (NO Override).

Vererbung deaktivieren bedeutet aber, dass eine GPO gar nicht erst angewendet wird.

 

Beim Login oder Startup erfolgt ein Collect aller anzuwendenen GPO's in der Reihenfolge ihrer Priorität aufsteigend, die höchste zuletzt. Hier gilt, wer zuletzt kommt, (über)malt zuletzt. Wenn Du an einer OU die Vererbung deaktivierst, dann werden trotzdem die

 

1. lokalen GPO's,

2. die der Site,

3. die der Domäne,

4. die der OU's (ab da, wo Vererbung deaktiviert, aufsteigend betrachtet vom jeweiligen Objekt)

 

angewendet.

 

Ich kann im Moment leider keinen Link nennen, nur meine Erfahrung anwenden, die da sagt, das (leider) nicht jedes Lehrbuch stimmt. Auch nicht wenn Microsoft Press draufsteht.

Bin auch MCSE und MCT und habe schon viele MCSE rangezüchtet. Vertrau mir :D

[Theo Dor 10]

Kleine Korrektur.

 

3. und 4. sind in diesem Zusammenhang nicht trennbar. Natürlich blockt die Vererbungssperre auf OU-Ebene die GPO's, welche oben an der Domäne vergeben wurden.

Sorry!

[genab.de 10]

Nummer 1:

 

@IThome - du hast mir doch enen Link geschickt, wo MS sagt:

 

Changes are not applied when you change the password policy

 

SYMPTOMS

When you change the password policy, the changes are not applied as expected.

CAUSE

This issue can occur in either of the following scenarios: • The Block Policy Inheritance option is enabled on the Domain Controllers organizational unit.

• The password policy is not set in the Default Domain policy.

 

 

wieso sollte das nicht auch für andetre OUs (also nicht Deafult Sertver OU) gelten......

 

 

also sperr ich mit "Vererbung deaktivieren" doch alles aus?

 

 

 

und 2.

 

ich klerne gerade für 70-294 - kein Mensch kann mir genau sagen wie das nun genau läuft - mein Dozent sagt was das nur eine Ebene drüber deaktiviert wird. also die zuvor?

 

Ob das stimmt kann ich nicht nachvollziehen? Deshalb frag ich hier nach -hier sind nun einmal die schlausten Kopfe

 

Aber eigentlich sollten doch solche sachen für Profis Kinderkram sein? (das soll keine Kritik sein!!!) so dachte ich es mir? Aber anscheinend gibt sich Microsoft wirklich sehr begrentzt was dan anbelangt. Kein Wunder wenn jeder über GPOs schimpft.

 

Und mit der Suchenfunktion im Forum ha ich auch nichts gefunden.

 

 

 

Deshalb würde ich sagen, das man das mal gescheit durchdisskutiert, und dann mal gescheit ins Forum meisselt - damit man das auch immer wieder finden kann.

 

 

 

SO - Nun sind die Profis gefragt