Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Vererbung deaktivieren zieht nicht (GPO)

Mitglied: patrickebert

patrickebert (Level 1) - Jetzt verbinden

07.01.2015, aktualisiert 15:04 Uhr, 2821 Aufrufe, 8 Kommentare

Moin,

ich bin mal wieder am testen und zwar habe ich folgendes Problem in der Gruppenrichtlinienverwaltung.
Wie Ihr vielleicht beim Bild sehen könnt ist an oberster Stelle die GPO "Default Domain Policy" welche sich auf alle OU´s auswirkt.
Dies dürfte aber eigentlich nicht sein, da ich die Vererbung bei Server und test1 deaktiviert habe.
Wenn ich dies aber teste zieht dennoch die Gruppenrichtlinie (Default Domain Policy)

Habt ihr da einen Tipp für mich?

54d858b8c633e0c55dcb9b3dc3c95ef2 - Klicke auf das Bild, um es zu vergrößern
Mitglied: Criemo
07.01.2015 um 15:39 Uhr
Hallo Partickebert,

also teile der DDP werden immer vererbt, egal ob du die Vererbung deaktivierst oder nicht ( z.b. Passwortrichtlinien).
Wenn du diese Teile auch von der Vererbung ausschließen möchtest, dann musst du auch die vererbung der DDCP deaktivieren.
Doch Vorsicht ist geboten.....


VG
Criemo
Bitte warten ..
Mitglied: patrickebert
07.01.2015 um 15:55 Uhr
Aber diese DDCP steht doch nicht mit an oberster Stelle?!? Daher kann ich die Vererbung dort nicht ausschalten unter test1 und Server.
Mein Problem ist das bei mir ein Skript läuft welches in der DDP eingebunden ist und dieses auf allen OU ausgeführt wird und das obwohl ich die Vererbung deaktiviert habe.
Bitte warten ..
Mitglied: Criemo
07.01.2015 um 16:00 Uhr
gpupdate gemacht....
Bitte warten ..
Mitglied: patrickebert
07.01.2015 um 16:01 Uhr
jop, auch unter Active Diretory-Standorte und Dienste die jeweiligen Server repliziert.
Bitte warten ..
Mitglied: exchange
08.01.2015 um 08:05 Uhr
Hallo,
da kannst Du so viel updaten wie Du möchtest, dass funktioniert nicht.
Die beiden default policys wirst Du immer sehen, daher stellt man da auch eigentlich nichts dran rum. Von dieser Regel sind Kennwortrichtlinien ausgenommen, da die dann definitiv immer und überall vertreten sind.

Gruß
Bitte warten ..
Mitglied: Logan000
08.01.2015 um 11:21 Uhr
Moin Moin,

Zitat von exchange:
.. daher stellt man da auch eigentlich nichts dran rum. Von dieser Regel sind
Kennwortrichtlinien ausgenommen, da die dann definitiv immer und überall vertreten sind.
Genau.

Mal abgesehen davon das es keinen Sinn macht die Vererbung der DDP (genau so wie die DDCP) zu deaktivieren, was bringt dich auf die Idee das die Richtlinien auf Benutzer/Computer in den Betroffenen OUs weiterhin angewendet werden?
Das die Einstellungen weiterhin greifen? Klar tun Sie das.

GPOs nehmen Einstellungen an den Clients vor. Wird eine Richtlinie deaktiviert bzw. über verweigerte Vererbung nicht mehr angewendet, sind deswegen die Einstellungen am Client nicht rückgängig gemacht.

Um zu sehen welche GPOs angewendet werden erstelle ein Richtlinienergebnis in der GPMC.

Gruß L.
Bitte warten ..
Mitglied: patrickebert
08.01.2015 um 15:08 Uhr
Die sollen ja nicht weiterhin greifen, zum Beispiel bei Servern wie du vllt an meinen Strukturbaum sehen kannst.
Server müssen meiner Meinung die Logon.cmd nicht ausführen, da dies nur unnötig Ressourcen wegnimmt.
Wie gesagt auch schon oben erwähnt bin ich am testen ob dies irgendwie möglich ist, was es ja eigentlich sein sollte?

Wenn ich ein gpresult /u:username /s: Rechnername /v ausführe sehe ich das die Computerrichtlinien nicht vererbt wurden sind, aber die Benutzerrichtlinien und daher auch die LOGON.CMD ausgeführt wird über die DDP.
Verstehe dies nicht so ganz da ja eigentlich ja nur die Kennwortrichtlinien greifen sollten.
Bitte warten ..
Mitglied: Logan000
09.01.2015 um 13:28 Uhr
Moin moin,

Verabschiede die von der Vorstellung das die Richtlinie das Skript ausführt. Das tut Sie nicht.
Sondern Richtlinien nehmen nur Einstellungen vor. z.B. bei der Anmeldung eines Benutzers ein LOGON.CMD auszuführen.
Wenn du dann die Vererbung deaktivierst, deaktivierst du nur das verteilen (oder auch aktualisieren) der Einstellungen.
Diese sind aber bereits am Rechner vorhanden und werden auch weiterhin verwendet.

Zitat von patrickebert:
Die sollen ja nicht weiterhin greifen, zum Beispiel bei Servern wie du vllt an meinen Strukturbaum sehen kannst.
Server müssen meiner Meinung die Logon.cmd nicht ausführen, da dies nur unnötig Ressourcen wegnimmt.
Wie gesagt auch schon oben erwähnt bin ich am testen ob dies irgendwie möglich ist, was es ja eigentlich sein sollte?

Es ist natürlich möglich. Vorschlag:
1. Aktiviere wieder die Vererbung der Richtlinien.
2. Stelle in der DDP. ein das kein LOGON.CMD ausgeführt wird.
3. Erstelle eine neue eigene GPO für dein Skript.

Gruß L.

.
Bitte warten ..
Ähnliche Inhalte
Windows Server
GPO Vererbung deaktivieren
Frage von BovarianWindows Server4 Kommentare

Hallo zusammen, ich habe folgende Grundaufgabe Auf einem bestehendem Terminalserver mit Lockdown per GPO soll es eine zusätliche Gruppe ...

Windows 7

Client zieht keine Computerkonfiguration GPO

Frage von xbast1xWindows 73 Kommentare

Hallo, ich habe das Problem, dass ein Client (Win 7 64 bit prof) keine GPO für die Computerkonfig mehr ...

Windows Server

GPO für WSUS zieht scheinbar nicht

Frage von d3x1984Windows Server3 Kommentare

Hi, ich möchte gerade einen WSUS konfigurieren und scheinbar wollen die Clients die GPO nicht ziehen und ich weiß ...

Windows Server

GPO für Outlook 2013 zieht nur bedingt

Frage von fwddsnitWindows Server3 Kommentare

Hallo liebe Foren-Mitglieder, ich bin neu hier und habe zu meinem Problem bisher nicht die passende Antwort gefunden. Ausgangssituation: ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 2 StundenErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Windows 10

Windows 10 on ARM: von Microsoft entfernte Info - Klartext, was nicht geht

Information von kgborn vor 4 StundenWindows 10

Windows 10 on ARM ist ja eine neue Variante, die Microsoft im Verbund mit Geräteherstellern am Markt etablieren will. ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgborn vor 5 StundenMicrosoft3 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 2 TagenWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Heiß diskutierte Inhalte
Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1026 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall15 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)15 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...

Server-Hardware
Server für Exchange 2016, Kaufberatung
Frage von MazenauerServer-Hardware10 Kommentare

Guten Tag werte Gemeinde, Vorab: Ich dachte es gab mal einen separaten Bereich für solche Anfragen, habe ich leider ...