Gruppenrichtlinien und vererbung

[Bully 10]

Hi Folks,

 

ich hab da ma wieder eine Frage wo ich weiß, das ich hier richtig bin :D

 

Habe eine W2K Domäne und definiere in der Defaul Domain Policy eine Kennwortrichtiline.

Nun habe ich eine OU darunter und möchte das die enthaltenen Benutzer nicht an dieser Richtlinie gebunden sind.

Da dies nicht die einzige definiert Richtlinie in der Domäne ist, möchte ich aber auch nicht auf die "Vererbung" verzichten.

Nun stellt sich mir die Frage:

Was gilt nun wirklich. Die Richtlinie aus der Domäne oder aus der entsprechenden OU wobei die der OU ja dann auf entsprechnde 0 Werte gesetzt werden müßten.

 

Weiterhin habe ich gehört (leider war ich nur mit einem halben Ohr dabei) das Kennwortrichtlinien AUSSCHLIEßLICH in der Domäne definiert werden KÖNNEN da die der OUs nicht greifen?!?

 

 

@ECHO Alter wann meldest Du dich mal wegen dem VPN?

 

Ich danke euch schon jetzt für eure mühen

 

Bis dann

Bully

[solinske 10]

Kennwortrichtliniene können nur in der Domäne definiert werden, weil die Domäne eine Sicherheitsgrenze dastellt.

 

die GPO´s werden in der Reihenfolge abgearbeitet :

 

lokale, Standort, Domäne, OU, Sub OU.

 

Und sie werden dann auch auf die OU´s angewendet.

bei unterschiedlichen Sicherheitskriterien, benötigst du 2 Domänen

[ScP 10]

du musst in der ou biede gruppenrichtlinien einlesen (hinzufügen) und der gruppenrichtlinie für die ou eine höhere priorität zuweisen... oder du legst einfach fest, dass das überschreiben deiner gruppenrichtlinie nicht möglich ist...

[grizzly999 11]

Nein, in diesem speziellen Fall hilft das nichts. Es ist exakt so, wie solinske das geschrieben hat: Konten- und Kennwortrichtlinien können nur lokal oder an der Domäne gesetzt werden. Meine, rein tipp-technisch gesehen kann man sehrwohl Kennwortrichtlinien an einem Standort oder einer OU eintragen, sie werden aber nur lokal oder als Domänenrichtlinie ausgewertet.

 

grizzly999

[Bully 10]

Hallo Leute,

 

wußte doch das ich hier Rat finde. :D

 

@grizzley

>Meine, rein tipp-technisch gesehen kann man sehrwohl Kennwortrichtlinien an einem Standort oder einer OU eintragen, sie werden aber nur lokal oder als Domänenrichtlinie ausgewertet.

 

das habe ich jetzt nicht verstanden geht es nun oder nicht? Oder das ganze mal konkret:

 

1. Gilt diese Richtlinie auch für Admins?

2. Kann man explizit Benutzer davon ausschließen?

 

Danke euch

 

Bis dann

Bully

[grizzly999 11]

Ich wollte folgendes zum Ausdruck bringen:

 

Man kann Konten- und Kennwortrichtlinien an folgenden Stellen in Gruppenrichtlinien eintragen:

 

a) am lokalen Computer

b) am Standort

c) an der Domäne

d) an einer OU

 

ABER: wirksam sind sie nur am lokalen Computer oder Domäne, ganz egal, ob und was ich bei Standort od OU unter Konto- und Kennwortrichtlinien eintrage.

 

Beispiel:

 

lokal eigetragen: nichts

Standort: 4 Zeichen mindest Kennwortlänge

Domäne: 7 Zeichen mindest Kenwortlänge

OU: 12 Zeichen mindest Kennwortlänge

 

 

Dann ist wirksam: 7 Zeichen Kennwortlänge. Die Werte von Standort und OU werden überhaupt nicht ausgewertet.

 

 

1. Gilt diese Richtlinie auch für Admins?

2. Kann man explizit Benutzer davon ausschließen?

 

1. ja

2. nein, die Richtlinie ist unter Computereinstellungen, und gilt damit immer für den ganzen Computer, egal, wer sich snmeldet. Filtern für Benutzer oder Gruppen ist nicht möglich.

 

Hoffe, ich konnte etwas Klarheit bringen

 

 

grizzly999

[waterman 10]

Ich hätte da noch eine Frage! Wo kann man denn in den Gruppenrichtlinien die Kennwortrichtlinien festlegen???

 

 

Gruss waterman

[Xheon 10]

Geht nicht Active Directory V. 1, welche Windows 2000 besitzt. Mann kann nur eine Kennwortrichtlinie pro Domäne erstellen.

 

Das einzige was du kannst machen eine eigene Domäne oder diese Kennwortrichtlinien benutzen!

 

Leider habe ich mit Windows 2003 Server noch nicht gearbeitet, dort wäre die neuere Verison von ADS drauf, viellicht kann die das!! Dazu weiss sicher jemand hier im Board bescheid!!!

[Bully 10]

Danke grizzly999

 

jetzt habe ich es geschnallt, das war wirklich sehr ausführlich, werde es Kopieren und in meine UNterlagen verewigen :)

 

Aber nun noch eine Frage:

 

Wenn ich aber in der Domäne nichts definiere, jedoch in der OU greift dann die aus der OU?

 

Ich danke Dir

 

Gruß

Bully

[Xheon 10]

Nein!!! Es greift nur immer die Defaul Domain Policy!!!

 

Wenn dort nichts ist, kann auch etwas in der OU's definiert sein und es wird nicht angewendet!!

 

Weil es nur eine Kennwortrichtlinie pro Domäne gibt!!!

[Bully 10]

Sorry das ich nochmal so b***d gefragt habe ;)

 

Aber es verwirrt etwas wenn man sagt das es nur eine Kennwortrichtlinie pro Domäne gibt.

Dann kann man davon ausgehen, dass man die ja nicht unbedingt in der Default Domain Policy angeben muß.

 

Ich denke mal das eine Aussage folgendermaßen definitiv ist:

 

Es kann nur eine Kennwortrichtlinie je Domäne festgelegt werden und das ausschließlich in der Default Domain Policy.

 

Ich danke euch allen dann nochmal ganz doll und verrückt für eure Mühen.

 

Bis dann

Bully

[grizzly999 11]

Ich denke mal das eine Aussage folgendermaßen definitiv ist:

 

Es kann nur eine Kennwortrichtlinie je Domäne festgelegt werden und das ausschließlich in der Default Domain Policy[/qoute]

 

nein, das stimmt so auch wieder nicht. Man könnte es in der Default Domain Policy tun. Allerdings bin ich persönlich hier Purist, der da sagt, lasse wo immer es geht Vorlagen unangefasst, so auch hier. Demnach sollte man Kennwortrichtlinien in einer eigenen Policy an der Domäne festmachen. Allerdings hat man dann - bzw. IMMER wenn mehrere Rolicies mit unterschiedlichen Einstellungen zu einer Richtlinie an einem einzigen Objekt verknüpft - einen sog. Richtlinienkonflikt, den das System so löst:

 

Sind mehrere Policies mit unterschiedlichen Werten für die selbe Richtlinie an einem Container verknüpft, stehen also am Container im grafischen Tool optisch direkt untereinander, werden die Policies von unten nach oben abgearbeitet, und der Wert, der weiter oben eingetragen ist, ist der wirksame.

 

Deshalb darauf achten, falls man eine zusätzliche Policy mit Kennwortrichtlinien an die Domäne verknüpft, dass man diese oberhalb von der Default Domain Policy hinschiebt.

 

Dasselbe gilt wie schon gesagt für jeden Container (Standort, Domäne und jede OU).

 

grizzly999

[Bully 10]

Hi grizzley999

 

ich denke ich schweife jetzt ab, aber es brennt mir auf den Fingern.

 

1. Wenn ich eine GPO lösche und anschließend eine neue erstelle. Ist sie dann so wie eine Ursprüngliche?

2. Was passiert wenn ich die Default Domain Policy lösche?

3. Gibt es eine Möglichkeit sich Änderungen der Policys ausgeben zu lassen? (So Berichts mäßig)

4. Was bringt es mir mehrer Policys in ein und demselben Container anzuwenden wenn dann doch nur die oberste gilt? Mir ist klar das es sich ja noch oben Summiert aber den Sinn versteh ich nicht

 

Ich brenn auf deine AW :)

 

Gruß

Bully

[grizzly999 11]

[qoute]1. Wenn ich eine GPO lösche und anschließend eine neue erstelle. Ist sie dann so wie eine Ursprüngliche?

2. Was passiert wenn ich die Default Domain Policy lösche?

3. Gibt es eine Möglichkeit sich Änderungen der Policys ausgeben zu lassen? (So Berichts mäßig)

4. Was bringt es mir mehrer Policys in ein und demselben Container anzuwenden wenn dann doch nur die oberste gilt? Mir ist klar das es sich ja noch oben Summiert aber den Sinn versteh ich nicht

 

Zu 1:

Ja und Nein. Man beim Löschen gefragt, ob man nur die Verknüpfung zum Container löschen will, oder auch das Richtlinienobjekt. Im ersten Fall könnte man dieselbe Richtlinie, die ja noch physikalisch vorhanden ist (im ADS und im Sysvol) wieder an diesen oder einen anderen Container verlinken (mit Menü "Hinzufügen" anstatt "Neu"). Wäre dann genau dieselbe wie vorher.

Im zweiten Fall wäre alles weg und eine neue Richtlinie mit gleichem Namen hätte wieder alle Einstellungen auf 0.

 

Zu 2:

Die wäre halt weg und alle Einstellungen, die schon von MS drin gemacht wurden mit Ihr. Sonst sind mir keine negativen Auswirkungen bekannt.

 

Zu 3:

Keine mir dirket bekannte. Dokmentation ist bei MS klein geschrieben. Habe neulich aber von einem Tool gehört, das hier bessere Dienste leisten soll. Aber ich bin gerade schwer im Stress und hatte noch keine Zeit, es mir anzuschauen (winke mit dem Zaunpfahl :cool: ). heißt FAZAM 2000 oder so.

 

Zu 4:

Zum einen Übersichtlichkeit. Man sollte nicht unbedingt alle möglichen Einstellungen in eine Richtlinie packen. Noch wichtiger: man kann ja über die Security-Einstellungen der einzelnen Richtlinie regeln, wer das Recht hat, diese Gruppenrichtlinie zu übernehmen, und damit, auf wen (User, Computer oder Gruppe) die Richtlinie angewendet wird, oder gar für wen die Richtlinie verweigert wird. Das geht natürlich bei entsprechendem Bedarf sehr fein für einzelne Einstellungen abgestimmt nur, wenn man mehrere GPOs hat.

 

Hoffe, geholfen zu haben

 

 

grizzly999

[Bully 10]

Hallo grizzly999

 

ja Du hast mir sehr geholfen. Ich danke Dir ganz herzlich. Nun verstehe ich einige sachen besser als vorher.

 

Deine Tipps werde ich in Zukunft beherzigen.

 

Danke nochmal für deine Gedult :)

 

Bis dann

Bully