9
NTFS Rechte via GPO(s) - heben sich gegenseitig (scheinbar) auf
Hallo miteinander,
ehe ich zur eigentlichen Frage komme muss ich die Umstände erklären, um einige "Warum tust du das so?" Fragen vorweg zu nehmen. Wobei, verhältnismäßig unerfahren wie ich in Sachen GPO noch bin, nehme ich gerne Verbesserungsvorschläge entgegen. Es ist zudem auch eine Verständnisfrage - es gibt andere Wege (z.B. via Script), aber mir ist es u.a. auch wichtig zu verstehen, warum das eben SO nicht SO einfach funktioniert.
*Vorwort*
ich bin seit knapp 1 Jahr administrativ an einer (leider sehr) technischen Berufsschule tätig. Das "leider" bezieht sich auf die Tatsache, dass sehr häufig verschiedenste Software (Industrie, Programmierung etc.). Und z.B. bei einiger Industrie Software, selbst wenn sie angeblich für Schulen entwickelt wurde, hat oft nur unzureichend das wechselhafte Usersystem an einer Schule mit Bereichsübergreifender Raumnutzung auf dem Schirm gehabt. Es gibt da gerne auch mal Rückmeldungen von großen Firmen Supports ala "Ist doch selbstredend, dass der User an einem Gerät mit Maschinensteuerung volle Administrationsrechte über das Bediengerät, also den PC, verfügt!".
Vom Lizenzdschungel tw. ganz zu schweigen, und gegenüber meinem Kundenkreis von Lehrkräften die rote Fahne zu schwingen "Diese Software installiere ich nicht" funktioniert in der Praxis unseres Bildungssystems auch nur mäßig.
D.h. ich bin in ein laufendes System hineingestolpert, welches über Jahre hinweg chatoisch gewachsen ist - wenig bis keine Dokumentation, bereichsweise breitfächerig aufgestellte Lokale Administrationsrechte für Lehrer und Schüler, und ein GPO Dschungel, für dessen Fahrplan Analyse ich Monate brauchte - und immer noch nicht alles 100% klar ist.
Inzwischen konnte ich vieles abstellen / neu ordnen / weiter einschränken... viel dazu gelernt. U.a. auch als stiller Leser dieses Forums - an dieser Stelle einfach mal Danke an all jene die ihr Fachwissen bereit, Erfahrung bereit stellen und sich die Zeit dafür nehmen.
Aber bin ich noch längst nicht fertig - und über eines stolper ich immer wieder - das Mysterium der GPO Ausführung - auch wenn diese laut result durchgelaufen sind
*Konkrete Frage*
Ich habe GPOs für verschiedene NTFS Berechtigungen (nach OU-Standort und MemberOf Status - selten auch via WMI-Filter). Ich bin mit den Basics der Vererbung (Filesystem, LDAP, GPO) vertraut - Das Zustande der ADDS Versionskonflikten mancher GPO ist allerdings ab und zu schon noch ein Rätsel. Und es funktioniert auch in 95% der Fälle wie gedacht - mal nach 1, mal erst nach 2 Neustarts (trotz manuellem gpupdate).
Das letzte 5% ist ein Fall, an dem sich Prüfungsraumtechnsich 2 wesentliche Bereiche überschneiden mit verschiedenen NFS Berechtigungen. Konkret geht es um zusätzliche Schreibrechte auf NFS- und Registry Pfade für die "special" Software Anforderungen.
2 GPO Links sind in derselben OU aktiv, und jede setzt u.a. andere NFS-Rechte - allerdings unterschiedliche Pfade - also inhaltlich eigentlich keine Widersprüche.
Einfach geschildert:
Aktuell
OU-Standort:
Link aktiv: 1) GPO A setzt Schreibrechte für Pfad X für MemberOf UsersA (die Auswirkungen sind lokal aktiv)
Link aktiv : 2) GPO B setzt Schreibrechte für Pfad Y für MemberOf UsersB (GPO wird angewandt, aber ohne Auswirkungauf NFS Rechte)
[Richtlinien\Windows Einstellungen\Sicherheit\Dateisystem]
(beide nur ComputerConf. aktiv)
Bis vor kurzem war nur 1) GPO A vorhanden - voll funktional
Jetzt kamen zusätzliche Anforderungen.
GPO B funktioniert ebenfalls - in anderen StandortOUs
Nach meinem bisherigen Verständnis sollte 2), da sie als letztes ausgeführt wird, sich auch durchsetzen - angewandt werden beide!
Ich habe mir einen Wolf probiert - und habe mehrfach festgestellt, dass die gewünschten Rechte erst gesetzt werden, wenn ich den Linkstatus von 1) aufhebe.
Sind die lokalen NFS erstmal gesetzt, kann ich auch getrost wieder beide aktivieren - andere Anweisungen der GPO werden schließlich ausgeführt.
[Nachtrag: GPO B tut nur dann was ich will, wenn ich GPO A Link deaktivere!]
Mir ist klar, dass ein Workaround mit ICACLS möglich wäre. Aber das erklärt nicht warum die eine GPO Dateisystem Funktion die der anderen blockiert/aufhebt? - Abgesehen von der Funktion als solches ist keine Überschneidung/Konflikt gegeben. Und selbst wenn, SOLLTE sich die letzte trotzdem der vorangegangenen gegeünber durchsetzen?
Nochmal der kurze Hinweis (evtl. hängt es ja damit zusammen?) - Laut Richtlinien Ergebnisse bestehen gelegentlich Warnmeldungen zu Versionskonflikten (Es gibt auch nur 1 DC) - aber das hat auf andere Bereiche auch keine Auswirkung, und angewandt wird die GPO dennoch
Hat für dieses Phänomen irgend jemand eine Erklärung für mich ?
Danke
ehe ich zur eigentlichen Frage komme muss ich die Umstände erklären, um einige "Warum tust du das so?" Fragen vorweg zu nehmen. Wobei, verhältnismäßig unerfahren wie ich in Sachen GPO noch bin, nehme ich gerne Verbesserungsvorschläge entgegen. Es ist zudem auch eine Verständnisfrage - es gibt andere Wege (z.B. via Script), aber mir ist es u.a. auch wichtig zu verstehen, warum das eben SO nicht SO einfach funktioniert.
*Vorwort*
ich bin seit knapp 1 Jahr administrativ an einer (leider sehr) technischen Berufsschule tätig. Das "leider" bezieht sich auf die Tatsache, dass sehr häufig verschiedenste Software (Industrie, Programmierung etc.). Und z.B. bei einiger Industrie Software, selbst wenn sie angeblich für Schulen entwickelt wurde, hat oft nur unzureichend das wechselhafte Usersystem an einer Schule mit Bereichsübergreifender Raumnutzung auf dem Schirm gehabt. Es gibt da gerne auch mal Rückmeldungen von großen Firmen Supports ala "Ist doch selbstredend, dass der User an einem Gerät mit Maschinensteuerung volle Administrationsrechte über das Bediengerät, also den PC, verfügt!".
Vom Lizenzdschungel tw. ganz zu schweigen, und gegenüber meinem Kundenkreis von Lehrkräften die rote Fahne zu schwingen "Diese Software installiere ich nicht" funktioniert in der Praxis unseres Bildungssystems auch nur mäßig.
D.h. ich bin in ein laufendes System hineingestolpert, welches über Jahre hinweg chatoisch gewachsen ist - wenig bis keine Dokumentation, bereichsweise breitfächerig aufgestellte Lokale Administrationsrechte für Lehrer und Schüler, und ein GPO Dschungel, für dessen Fahrplan Analyse ich Monate brauchte - und immer noch nicht alles 100% klar ist.
Inzwischen konnte ich vieles abstellen / neu ordnen / weiter einschränken... viel dazu gelernt. U.a. auch als stiller Leser dieses Forums - an dieser Stelle einfach mal Danke an all jene die ihr Fachwissen bereit, Erfahrung bereit stellen und sich die Zeit dafür nehmen.
Aber bin ich noch längst nicht fertig - und über eines stolper ich immer wieder - das Mysterium der GPO Ausführung - auch wenn diese laut result durchgelaufen sind
*Konkrete Frage*
Ich habe GPOs für verschiedene NTFS Berechtigungen (nach OU-Standort und MemberOf Status - selten auch via WMI-Filter). Ich bin mit den Basics der Vererbung (Filesystem, LDAP, GPO) vertraut - Das Zustande der ADDS Versionskonflikten mancher GPO ist allerdings ab und zu schon noch ein Rätsel. Und es funktioniert auch in 95% der Fälle wie gedacht - mal nach 1, mal erst nach 2 Neustarts (trotz manuellem gpupdate).
Das letzte 5% ist ein Fall, an dem sich Prüfungsraumtechnsich 2 wesentliche Bereiche überschneiden mit verschiedenen NFS Berechtigungen. Konkret geht es um zusätzliche Schreibrechte auf NFS- und Registry Pfade für die "special" Software Anforderungen.
2 GPO Links sind in derselben OU aktiv, und jede setzt u.a. andere NFS-Rechte - allerdings unterschiedliche Pfade - also inhaltlich eigentlich keine Widersprüche.
Einfach geschildert:
Aktuell
OU-Standort:
Link aktiv: 1) GPO A setzt Schreibrechte für Pfad X für MemberOf UsersA (die Auswirkungen sind lokal aktiv)
Link aktiv : 2) GPO B setzt Schreibrechte für Pfad Y für MemberOf UsersB (GPO wird angewandt, aber ohne Auswirkungauf NFS Rechte)
[Richtlinien\Windows Einstellungen\Sicherheit\Dateisystem]
(beide nur ComputerConf. aktiv)
Bis vor kurzem war nur 1) GPO A vorhanden - voll funktional
Jetzt kamen zusätzliche Anforderungen.
GPO B funktioniert ebenfalls - in anderen StandortOUs
Nach meinem bisherigen Verständnis sollte 2), da sie als letztes ausgeführt wird, sich auch durchsetzen - angewandt werden beide!
Ich habe mir einen Wolf probiert - und habe mehrfach festgestellt, dass die gewünschten Rechte erst gesetzt werden, wenn ich den Linkstatus von 1) aufhebe.
Sind die lokalen NFS erstmal gesetzt, kann ich auch getrost wieder beide aktivieren - andere Anweisungen der GPO werden schließlich ausgeführt.
[Nachtrag: GPO B tut nur dann was ich will, wenn ich GPO A Link deaktivere!]
Mir ist klar, dass ein Workaround mit ICACLS möglich wäre. Aber das erklärt nicht warum die eine GPO Dateisystem Funktion die der anderen blockiert/aufhebt? - Abgesehen von der Funktion als solches ist keine Überschneidung/Konflikt gegeben. Und selbst wenn, SOLLTE sich die letzte trotzdem der vorangegangenen gegeünber durchsetzen?
Nochmal der kurze Hinweis (evtl. hängt es ja damit zusammen?) - Laut Richtlinien Ergebnisse bestehen gelegentlich Warnmeldungen zu Versionskonflikten (Es gibt auch nur 1 DC) - aber das hat auf andere Bereiche auch keine Auswirkung, und angewandt wird die GPO dennoch
Hat für dieses Phänomen irgend jemand eine Erklärung für mich ?
Danke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 391584
Url: https://administrator.de/contentid/391584
Printed on: April 25, 2024 at 22:04 o'clock
9 Comments
Latest comment
Hi
Das mit deinem GPO Version Problem ist ein Bug
Siehe hier :
https://www.andysblog.de/gruppenrichtlinie-ad-sysvol-versionskonflikt
Das mit deinem GPO Version Problem ist ein Bug
Siehe hier :
https://www.andysblog.de/gruppenrichtlinie-ad-sysvol-versionskonflikt
1
man sollte auch beachten, daß diese GPO von älteren Windows OS garnicht oder nur fehlerhaft ausgewertet wird, Windows 7 als auch 2012 R2 z.B. ignotiert die Vererbungsregeln... ich hatte mit genau dieser GPO nämlich versucht ein seltsames Rechteproblem beim Erstellen von Dateien im Ordner "public documents" zu lösen, die andere User dann nicht beschreiben konnten. lt gpresult wurde sie zwar als angewendet angezeigt, aber vom OS ignoriert. Wenn diese GPO also buggy ist dann muß ich mir keinen Wolf suchen....
1
Die meisten Clients der Schule haben tatsächlich Windows 7 unter 2012R2 Dom... Anfang nächsten Jahres steht Windows 10 Umstellung an
Wäre evtl. Loopback Modus eine mögliche Alternative, sodass - obwohl Computerkonfigurationsrichtlinie - das GPO Ausführungsrecht für die Dateisystemrichtlinie auf die betroffene Nutzergruppe zu beschränken ?
Dann würde - der Theorie nach - nutzerabhängig kein Konflikt bei der Ausführung (erst beim Login-Prozess statt beim SystemStart - würde nur länger dauern vermutlich?) zwischen beiden GPOs bestehen, da ohnehin entweder nur GPO A oder nur GPO B vom OS umgesetzt wird ?
Ein möglicher Timeout (Standard 600 Sekunden; Allerdins ist auch die Richtlinie "Immer auf Netzverbindung warten" aktiv)
Ich traue dem Loopbackmodus aus irgendeinem unerfindlichen Grund noch nicht so richtig...
Ich teste mal zunächst das Ausklammern der Gruppe "Auth..User" - nur Lese, ohne Ausführungsrecht
Domänencomputer + Admin&Systemkonten + die entsprechenden Membergruppen sollten recihen
Danke bis hier - bin vermutlich schon 1 Schritt weiter.
Was den Bug betrifft - so soll dieser wenn ich das richtig verstanden habe, rein kosmetischer Natur sein sein und besteht seit einem bestimmten Sicherheitsupdate - wie das oft der Fall ist... wobei es bei Windows 8 ein anderes als unter Win7 ist
zumindest wurde hier darüber diskutiert:
https://community.spiceworks.com/topic/1974413-ad-sysvol-version-mismatc ...
Wäre evtl. Loopback Modus eine mögliche Alternative, sodass - obwohl Computerkonfigurationsrichtlinie - das GPO Ausführungsrecht für die Dateisystemrichtlinie auf die betroffene Nutzergruppe zu beschränken ?
Dann würde - der Theorie nach - nutzerabhängig kein Konflikt bei der Ausführung (erst beim Login-Prozess statt beim SystemStart - würde nur länger dauern vermutlich?) zwischen beiden GPOs bestehen, da ohnehin entweder nur GPO A oder nur GPO B vom OS umgesetzt wird ?
Ein möglicher Timeout (Standard 600 Sekunden; Allerdins ist auch die Richtlinie "Immer auf Netzverbindung warten" aktiv)
Ich traue dem Loopbackmodus aus irgendeinem unerfindlichen Grund noch nicht so richtig...
Ich teste mal zunächst das Ausklammern der Gruppe "Auth..User" - nur Lese, ohne Ausführungsrecht
Domänencomputer + Admin&Systemkonten + die entsprechenden Membergruppen sollten recihen
Danke bis hier - bin vermutlich schon 1 Schritt weiter.
Was den Bug betrifft - so soll dieser wenn ich das richtig verstanden habe, rein kosmetischer Natur sein sein und besteht seit einem bestimmten Sicherheitsupdate - wie das oft der Fall ist... wobei es bei Windows 8 ein anderes als unter Win7 ist
zumindest wurde hier darüber diskutiert:
https://community.spiceworks.com/topic/1974413-ad-sysvol-version-mismatc ...
Hi,
reden wir jetzt von NTFS oder von NFS?
Falls ja:
Ich orakle weiter, dass dann bei der GPO für X drin steht, dass die Rechte der untergeordneten Ordner ersetzt werden sollen?
E.
reden wir jetzt von NTFS oder von NFS?
Link aktiv: 1) GPO A setzt Schreibrechte für Pfad X für MemberOf UsersA (die Auswirkungen sind lokal aktiv)
Link aktiv : 2) GPO B setzt Schreibrechte für Pfad Y für MemberOf UsersB (GPO wird angewandt, aber ohne Auswirkungauf NFS Rechte)
Warum nennst Du nicht die Klarpfade, wenigstens schematisch? Deiner Frage nach orakle ich gerade, dass es sich hierbei um einander untergordnete Pfade handelt (Y ist X untergeordnet)?Link aktiv : 2) GPO B setzt Schreibrechte für Pfad Y für MemberOf UsersB (GPO wird angewandt, aber ohne Auswirkungauf NFS Rechte)
Falls ja:
Ich orakle weiter, dass dann bei der GPO für X drin steht, dass die Rechte der untergeordneten Ordner ersetzt werden sollen?
E.
@emeriks:
ja. Sorry. nTfs (... war da durcheinander gekommen beim wälzen von windows vererbungslehre), also windows 7 client standard. Und es handelt sich u.a. um lokale ProgrammPfade (x86/64)
Und nein, es sind verschiedene Ordner - nicht einander untergeordnet, aber die meisten haben logischerweise dasselbe rootVerzeichnis für Programme.
Und nochmal nein - es werden eigentlich KEINE ersetzt, sondern nur eine gruppe an Usern mit Schreibrechten hinzugefügt.
Das Ganze läuft u.a. über eingeschränkte Gruppen, wobei die Gruppe Hauptbenutzer genutzt wird und einer domänen-lokalen Gruppe ergänzend hinzugefügt wird/werden soll wenn entsprechende User sich anmelden - Der Part funktioniert ja auch - nur die Sicherheitsrichtlinie für das Dateisystem wird nicht umgesetzt, WENN beide GPOs in der OU verlinkt und aktiv sind !
ja. Sorry. nTfs (... war da durcheinander gekommen beim wälzen von windows vererbungslehre), also windows 7 client standard. Und es handelt sich u.a. um lokale ProgrammPfade (x86/64)
Und nein, es sind verschiedene Ordner - nicht einander untergeordnet, aber die meisten haben logischerweise dasselbe rootVerzeichnis für Programme.
Und nochmal nein - es werden eigentlich KEINE ersetzt, sondern nur eine gruppe an Usern mit Schreibrechten hinzugefügt.
Das Ganze läuft u.a. über eingeschränkte Gruppen, wobei die Gruppe Hauptbenutzer genutzt wird und einer domänen-lokalen Gruppe ergänzend hinzugefügt wird/werden soll wenn entsprechende User sich anmelden - Der Part funktioniert ja auch - nur die Sicherheitsrichtlinie für das Dateisystem wird nicht umgesetzt, WENN beide GPOs in der OU verlinkt und aktiv sind !
Zitat von @bates42:
Und nochmal nein - es werden eigentlich KEINE ersetzt, sondern nur eine gruppe an Usern mit Schreibrechten hinzugefügt.
Das geht so gar nicht. Hinzufügen kann man nur per Script. Die GPO "Dateisystem" ersetzt die komplette ACL. D.h. hinterher steht nur das in der ACL, was auch in der GPO steht.Und nochmal nein - es werden eigentlich KEINE ersetzt, sondern nur eine gruppe an Usern mit Schreibrechten hinzugefügt.
Das Ganze läuft u.a. über eingeschränkte Gruppen, wobei die Gruppe Hauptbenutzer genutzt wird und einer domänen-lokalen Gruppe ergänzend hinzugefügt wird/werden soll wenn entsprechende User sich anmelden
- Was hat jetzt die Richtlinie "eingeschränkte Gruppen" mit der Richtlinie "Dateisystem" zu tun?
- "wenn entsprechende User sich anmelden" geht nicht. "eingeschränkte Gruppen" ist eine Per-Computer-Richtline und wird vollkommen unabhängig von jeder Benutzeranmeldung angewendet.
Der Part funktioniert ja auch - nur die Sicherheitsrichtlinie für das Dateisystem wird nicht umgesetzt, WENN beide GPOs in der OU verlinkt und aktiv sind !
Weil Du da einen Designfehler hast.Du hast jetzt nur noch zwei Chancen:
Entweder Du holst Dir Hilfe ins Haus, oder Du legts hier alles haarklein dar. Anders können wir das hier nicht nachvollziehenn und/oder helfen.
Zitat von @emeriks:
Zitat von @bates42:
Und nochmal nein - es werden eigentlich KEINE ersetzt, sondern nur eine gruppe an Usern mit Schreibrechten hinzugefügt.
Das geht so gar nicht. Hinzufügen kann man nur per Script. Die GPO "Dateisystem" ersetzt die komplette ACL. D.h. hinterher steht nur das in der ACL, was auch in der GPO steht.Und nochmal nein - es werden eigentlich KEINE ersetzt, sondern nur eine gruppe an Usern mit Schreibrechten hinzugefügt.
Habe mich blöd ausgedrückt - ich meinte mit hinzufügen den ACL Eintrag - Die zugehörige Gruppe ist bereits in der domain existent.
Aber dein Hinweis, die ACL wird nicht ergänzt sondern ausgetauscht, ist wichtig... das ist tatsächlich so nicht praktikabel wie ursprünglich geplant und war ein Denkfehler. Danke dafür
ABER...
Das erklärt immer noch nicht gemäß Reihenfolge [ (1 GPO A -> 2) GPO B ], wieso GPO B an letzter Stelle nicht umgesetzt wird?
Bei Rechnerstart bzw. Computer-Auth in der Domäne werden doch von oben nach unten die GPOs in einer OU ausgewertet, und die bei Widersprüchen die Regel der letzten GPO durchgesetzt. So SOLLTE es sein nach meinem bisherigen Verständnis?
D.h. konkret in meinem Fall sollte die ACL der letzten GPO gesetzt werden - egal, was die davor für eine ACL setzen sollte?
Tut es aber nicht.
Die einzige Erklärung die ich selbst noch hätte, wäre dass aufgrund des Konflikts, beide nicht umgesetzt werden - nach dem Highander Prinzip gewinnen dann Root-Vorgaben des OS die Oberhand und was ich im Client als Ergebnis sehe ist nur das verbliebene lokale Erbe von einem vorherigen Zustand als es den Konflikt nicht gab, sondern nur entweder GPO A oder B ?
Nochmal:
Mir geht es in 1. Linie um das Verständnis der Verarbeitung der GPOs, bzw. genauer um die Gesetzmäßigkeiten der lokalen Ausführung in diesem Fall (angewandt wird GPO B ja). Gut möglich, dass NTFS Berechtigungen hier ein Sonderfall sind ?
Darum habe ich auch im Forenbereich "Bildung" gepostet.
Was die "Haarkleine Darlegung" betrifft; Sag mir bitte welche zusätzliche Info du benötigst, um ein wenn auch nur vages Indiz abzugeben.
Eine komplette Offenlegung würde den Rahmen sprengen... Ich hatte schon intern, Studierte mit MS Zertifikaten die auch solches unterrichten und einen ehemaligen IT Dienstleister mit direktem Einblick vor Ort gefragt. Ohne Erfolg bzw. Erklärung (Workaround mit Script ist was anderes)... Und nun versuche ich hier mein Glück.
Zur Not würde ich mich auch mit einer Aussage wie "Verteilen von NTFS Berechtigungen funktioniert nur via Script" zufreiden geben... auch wenn grundsätzlich verschiedene TutorialSites das Gegenteil behaupten, GPO sei sogar angeblich eleganter...
Ist vielleicht so ein typischer Fall von Theorie und Praxis in MS Umgebungen ?!
Zitat von @bates42:
Bei Rechnerstart bzw. Computer-Auth in der Domäne werden doch von oben nach unten die GPOs in einer OU ausgewertet,
Das kommt jetzt darauf an, was für Dich "oben" und "unten" ist. Wenn Du die MMC für die GPO-Verwaltung meinst und dort eine OU anklickst, dann werden die GPO's wie sie rechts im Detailfenster angezeigt werden von der grössten Rang-Nr bis zu kleinesten Rang-Nr in dieser Reihenfolge angewendet. Rang 1 also als letztes. Ausschlaggebend ist dann die Liste unter "Gruppenrichtlinienvererbung"Bei Rechnerstart bzw. Computer-Auth in der Domäne werden doch von oben nach unten die GPOs in einer OU ausgewertet,
und die bei Widersprüchen die Regel der letzten GPO durchgesetzt.
Die mit dem kleineren Rang, ja.Beachte auch GPO, welche ggf. am Standort verlinkt sind.
D.h. konkret in meinem Fall sollte die ACL der letzten GPO gesetzt werden - egal, was die davor für eine ACL setzen sollte?
Wenn jeder gesteuerte Ordner nur einmal vorkommt, dann ist das egal. Da überschreibt sich ja nichts.Warum hast Du überhaupt 2 GPO-Objekte für 2 Ordner? Du kannst doch in nur einem GPO-Objekt die NTFS-Rechte für mehrere Ordner vergeben? Und diese eine GPO muss dann für alle Computer gelten, auf welchen diese Ordner existieren, und nicht für Benutzer.
1Zitat von @emeriks:
Wenn jeder gesteuerte Ordner nur einmal vorkommt, dann ist das egal. Da überschreibt sich ja nichts.
Dem ist defintiv so, aber macht das OS trotzdem nicht. - Warum ? Großes Fragezeichen...Wenn jeder gesteuerte Ordner nur einmal vorkommt, dann ist das egal. Da überschreibt sich ja nichts.
Warum hast Du überhaupt 2 GPO-Objekte für 2 Ordner? Du kannst doch in nur einem GPO-Objekt die NTFS-Rechte für mehrere Ordner vergeben? Und diese eine GPO muss dann für alle Computer gelten, auf welchen diese Ordner existieren, und nicht für Benutzer.
Genau DAS hatte ich schlussendlich eh vor - Warum nicht gleich so ?
- Ganz simpel - Faulheit und mangelnde Akzeptanz unerklärlicher Umstände
[edit]
Das Differenzieren war nicht völlig sinnlos gedacht... Die Arbeitsplätze werden von unterschiedlichen Usern genutzt - darunter auch User/Klassen die weder das eine noch das andere Schreibrecht benötigen - Idee war immer nur das nötigste an GPOs zu verarbeiten => weniger Verzögerung für Systemstarts/AnmeldeProzesse
[/edit]
Ich habe 2 relativ "umfangreiche" (viele Pfadangaben) GPOs für unterschiedliche Bereiche im NTFS - die sich überhaupt nicht in der Struktur recht-& pfadtechnisch überkreuzen. Für 1/500 Räumen der aus dem sonstigen Raster fällt eine neue anlegen, die letztlich eigentlich nur die Summe aus beiden ausführt, erschien mir überflüssig... zumal jedes zusätzliche GPO Object SYSVOL Speicher vom DC belastet.
Ich hätte in der Zeit bisheriger Analyse/Recherche vermutlich xfach neue GPO anlegen können, aber der Lerneffekt wäre nahezu 0 gewesen.
Und ja - wenns allein nach mir ginge würde ich unsere AD Struktur am liebsten komplett umrempeln, aber ich muss mich an eine vererbte Struktur halten, für ein äußerst fragwürdig designtes WebInterface (hauptsächlich für FrontendUserverwaltung) als sog. Muster Implementation für Schulen dieser Art landesweit, das nur so funtkioniert.
[edit]
Nur nochmal zum Verständnis meiner Situation - ich bin noch in einem Ausbildungsverhältnis und in den meisten Fällen werden auf 1 DomainClient+User bis zu 24 GPOs angewandt. Davon sind 3/4 vom ländischen Institut und 1/4 vom externen Dienstleister der letzten Server Infrastructur Installation - effektiv kümmern die sich aber nur noch um Backup und (Firmware(Updates). Alles andere regele ich mit u.a. maximal 2-3 eigenen, standortabhängigen Zusatz GPOs
Ursprünglich wurde es vorgezogen einfach breitfächerig lokale Adminrechte zu vergeben - und DARAUF hatte ich nach 1 Jahr einfach keinen Bock mehr !
