Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst 2 GPO die sich ausschließen in gleicher OU... geht das überhaupt? Wenn ja welche hat Vorrang

Mitglied: migosch83

migosch83 (Level 1) - Jetzt verbinden

25.06.2013 um 10:47 Uhr, 1368 Aufrufe, 11 Kommentare, 1 Danke

Hallo.

Diese Frage könnt ihr mir sicher schnell und eifnach beantworten.

Also ich habe 2 GPO's. Diese unterscheiden sich in kleineren Punkten. Eine wirkt auf alle User welche in der OU stehen. Die andere soll nur auf die User innerhalb der OU wirken, welche auch Mitglied eines Gruppenobjekts sind.
für diese habe ich im Sicherheitsfilter das Gruppenobjekt anstelle auth. USER eingestellt.

Ist das 2te GPO jetzt "höherwertiger" als das erste, weil eine bestimmtes Gruppenobjekt eingestellt ist? Oder "beißen" sich die GPO's und es funtkioniert überhaupt nicht.

Ich weiß, dass ich die bestimmten USER in eine UnterOU setzen könnte und für diese eine GPO in der UnterOU höherwertiger wäre. Dies ist bei uns aber nicht so vorgesehen.
Zudem sind Die Gruppenobjekte (also zb einzelne Abteilungen) in einer anderen OU. Darüber werden normalerweise nur Berechtigungen gehandelt.

Zudem.. gibt es eine Möglichkeit das greifen einer GPO hier im speziellen das Kennwortalter für einen bestimmten USER zu überprüfen ohne das ich mich mit dem USER Profil anmelden muss und dort GPRESULT schaue?


Danke für die immer so schnelle Hilfe

Migosch
Mitglied: colinardo
25.06.2013, aktualisiert um 10:58 Uhr
Hallo Migosch,

Zitat von migosch83:
Ist das 2te GPO jetzt "höherwertiger" als das erste, weil eine bestimmtes Gruppenobjekt eingestellt ist? Oder
"beißen" sich die GPO's und es funtkioniert überhaupt nicht.
Die Reihenfolge wie die GPOs angewendet werden lässt sich im Gruppenrichtlinieneditor festlegen. Bei gleichen Einstellungen wird die GPO die später angewendet wird die vorherige Einstellung überschreiben. Du hast aber in den GPOs die Möglichkeit anzugeben wie die Richtlinie angewendet wird(Ersetzen/Zusammenführen) > Stichwort: Loopback-Richtlinienverarbeitung

Zudem.. gibt es eine Möglichkeit das greifen einer GPO hier im speziellen das Kennwortalter für einen bestimmten USER zu
überprüfen ohne das ich mich mit dem USER Profil anmelden muss und dort GPRESULT schaue?
Hierzu gibt es ebenfalls im Gruppenrichtlinieneditor den Knoten Gruppenrichtlinien-Ergebnisse. Mit dem man die Auswirkungen von GPOs auf bestimmte AD-Objekte(Computer/User) simulieren kann.

Grüße Uwe
Bitte warten ..
Mitglied: migosch83
25.06.2013 um 11:52 Uhr
Hallo Uwe,

danke für deine schnelle Antwort. Mit den Gruppenrichtlinien konnte ich jetzt sehen das meine Richtlinie überhaupt nicht angewandt wird.
Ich glaub ich stehe gerade auf dem Schlauch...

Also ich hole mal kurz weiter aus.
1. OU - alle Clients (mit Unter OU)
2. OU - Gruppen (Abteilungen etc)
3. OU - User

in der 3. Ou gibt es schon eine GPO bezüglich Kennwortrichtlinie.

Ich möchte die für eine bestimmte Gruppe ändern. Die Gruppe steht in der 2. OU.

Meine Überlegung war jetzt Die GPO mit der anderen Kennwortrichtlinie auch unter 3. zu packen aber mit einer Filterung nur für Mitglieder der Gruppe aus 2.
Jetzt merke ich aber das es sich ja um eine Richtlinie für Computer handelt... Drehe ich mich gerade völlig im Kreis?!

Wenn alles nichts hilft werde ich jeden einzelnen Nutzer der Gruppe anfassen.. wenn ich mich recht erriner kann ich auch nur dort ein bestimmtes Ablaufdatum festlegen oder?!

Danke Migosch
Bitte warten ..
Mitglied: colinardo
25.06.2013, aktualisiert um 13:27 Uhr
Was für einen Windows Server hast du ?

Bei Server 2003 gilt die Kennwortrichtlinie immer für die ganze Domäne.
Einzige Ausnahme: Wenn du eine solche Richtlinie auf eine OU linkst, in der Computerkonten enthalten sind, dann gelten die Richtlinien für die lokalen Konten auf diesen Computern, aber nicht für Domänenobjekte.

Ab Server 2008 sieht das ganze anders aus, aber auch hier lassen sich die Regeln nicht auf eine OU anwenden sondern nur Benutzerobjekten, InetOrgPerson-Objekten und globalen Sicherheitsgruppen : PSOs erstellen
Bitte warten ..
Mitglied: migosch83
25.06.2013 um 12:53 Uhr
So ja es ist ein 2008 R2 und die Richtlinie steht innerhalb der OU und funtkioniert auch. Und in dieser sind nur Benutzer enthalten. Deswegen bin ich gerade ein wneig durcheinander.
Und in der Default Domain Policy, die ja oberhalb steht sind die Richtlinien anders. Das hat zur Folge, dass Benutzer die nicht in OU 3 stehen sonder in zb 4 nur die Default Regel zu spüren bekommen. Und das läuft auch so...bei uns.. in echt

Mit deinem Link habe ich mal geschaut.. Könnte man jetzt probieren eine policy nur auf die Gruppe zu erstellen, aber zerlege ich damit nicht eventuell die schon vorhandenen Richtlinien? Da dort unter dem Passwort Settings Container noch keine Regeln implementiert sind.
Bitte warten ..
Mitglied: colinardo
25.06.2013 um 13:01 Uhr
so was bastelt man auch nicht in einer Live-Domain sondern testet dies am besten vorher in einer VM ...
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 25.06.2013, aktualisiert 21.05.2014
Hi.

Und in dieser sind nur Benutzer enthalten
Dann kann sie nicht funktionieren, was bei Dir auf Domänenkennwörter angewendet wird, kann nicht von einer GPO kommen, die auf Userobj. angewendet wird, sondern nur von GPOs, die auf Domänencontroller angewendet werden, 100%ig und ohne Zweifel.

Nimm PSOs, wenn Du mit Gruppen arbeiten willst, anders geht es nicht.
Bitte warten ..
Mitglied: migosch83
25.06.2013 um 14:45 Uhr
Euch beiden großes Danke.
Ihr habt mir zumindest ein wenig mehr Durchblick verschafft.

Dennoch GPO mit der Kennwortrichtlinie steht in der OU der User (nicht zu verwechseln mit dem CN=Users). Und ich kann sie ja durch "net user alias /domain |more" und die GPO Ergebnisse überprüfen. Bei beiden stehen die Richtlinien so fest.

Habe auch alle anderen GPOs nochmal eingesehen. Keine weitere hat Kennwortrichlinien.

Testen geht nicht. Manchmal müssen gewisse Sachen gleich ausprobiert werden.

Wir werden jetzt über die Kontodeaktivierung zu bestimmten Datum gehen. Und Filtern über benutzerdefinierte Abfrage. Das gibt uns auch mehr Kontrolle wann die Konten ablaufen.

Sollte hier mal ein neuer Server aufgesetzt werden, werde ich die PSO nehmen. (Nach ausgiebigen Tests

Danke nochmal!!
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 25.06.2013, aktualisiert 21.05.2014
Dennoch GPO mit der Kennwortrichtlinie steht in der OU der User...
Du spielst rum. Prüf einfach am DC mit rsop.msc. Dort steht klipp und klar, welche die "winning GPO" ist, die für Deine KW-Richtlinie verantwortlich ist.
Bitte warten ..
Mitglied: migosch83
26.06.2013 um 09:26 Uhr
So danke das du wusstest Du hast recht.. was dir natürlich klar war.

Am DC bringt es zwar nix, a der wirklich auch andere Rechte mitbringt, aber ich habe über die Gruppenlinienergebnisse der Clients und rsop am client nochmal geschaut. Die Richtlinie Zieht zwar die in der OU steht, aber nur im Bereich der Benutzerkonfig. Computerkonfig und damit auch Kennwort zieht die Domain Default.

Noch ein Problem mehr was dieser Server hat...

Ihr habt mich aber für die Zukunft in die richtige Richtung gewiesen denke ich. Ich weiß zwar nicht wie der "Stabndard" aussieht aber ich denke wir werden hier über die PSO's arbeiten, da einzelne Gruppen unterschiedliche Rechte brauchen und das scheinbar über die Rangfolgen gut zu handlen ist.

Bei uns kann sich leider jeder überall einloggen... Welche Richtlinie genutzt wird muss also in irgendweiner Weise USER/Gruppen abhängig sein.
Bitte warten ..
Mitglied: 91863
11.02.2014 um 13:09 Uhr
GPO`s werden von unten nach oben abgearbeitet.
Somit ist dann klar , wer die Winning GPO sein wird.

gruss
Ralf
Bitte warten ..
Mitglied: DerWoWusste
12.02.2014, aktualisiert um 00:42 Uhr
Joa, aber es gibt noch enforcements und no override.
Bitte warten ..
Ähnliche Inhalte
Windows Server
GPO greift auf unterer OU nicht
gelöst Frage von MissJonesWindows Server7 Kommentare

Hallo ihr Lieben, ich habe mich gerade mal hier angemeldet, da ich trotz der vorhandenen Beiträge nicht weiterkomme. Momentan ...

Windows Server

GPO wird unter bestimmter OU nicht gezogen

Frage von 125051Windows Server2 Kommentare

Hallo zusammen. Es geht diesmal um ein Java Deployment. Ich verteile das per .bat, wobei erst die alten java ...

Windows Server

GPO auf User-OU greift nicht

gelöst Frage von eastfrisianWindows Server2 Kommentare

hey, bräuchte mal kurz eine Hilfestellung. wahrscheinlich bin ich irgendwo auf dem Holzweg, aber ich komme einfach nicht drauf. ...

Windows Server

GPO fuer domainjoin in bestimmte OU

Frage von winlinWindows Server17 Kommentare

Hallo, ich benötige eine gpo oder eine Lösung welche folgendes macht: Wenn ein Computer mit einem bestimmten Hostnamen der ...

Neue Wissensbeiträge
Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 15 StundenSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 21 StundenWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

iOS
Updates für Iphone und Co
Information von sabines vor 1 TagiOS

Gestern abend ist iOS 11.3.1 erschienen, ein kleineres Update, dass einige Lücken schließt und "Lahmlegen" nach einem Display Tausch ...

Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 2 TagenWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Heiß diskutierte Inhalte
Batch & Shell
Powershell: Im AD nach Rechnern mit bestimmten IP-Adressen suchen
gelöst Frage von Raven42Batch & Shell36 Kommentare

Hallo zusammen, ich suche nach einer Möglichkeit nach Computern im AD zu suchen , deren IP-Adresse mit 10.11.12. beginnt. ...

C und C++
Frage1 C Programmierung-Makefile Frage2 PHP-Programmierung HTTP-Fehler 404
Frage von KatalinaC und C++34 Kommentare

Hallo, ich habe 2 Fragen, die nichts miteinander zu tun haben aber mit denen ich mich gerade beschäftige: 1. ...

LAN, WAN, Wireless
Watchguard T15 VPN Einrichtung
gelöst Frage von thomasjayLAN, WAN, Wireless25 Kommentare

Hallo zusammen, wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten! Als Client nutzen ...

Windows Server
Alten DC entfernen
Frage von smartinoWindows Server24 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...