Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

2 GPO die sich ausschließen in gleicher OU... geht das überhaupt? Wenn ja welche hat Vorrang

Frage Microsoft Windows Server

Mitglied: migosch83

migosch83 (Level 1) - Jetzt verbinden

25.06.2013 um 10:47 Uhr, 1310 Aufrufe, 11 Kommentare, 1 Danke

Hallo.

Diese Frage könnt ihr mir sicher schnell und eifnach beantworten.

Also ich habe 2 GPO's. Diese unterscheiden sich in kleineren Punkten. Eine wirkt auf alle User welche in der OU stehen. Die andere soll nur auf die User innerhalb der OU wirken, welche auch Mitglied eines Gruppenobjekts sind.
für diese habe ich im Sicherheitsfilter das Gruppenobjekt anstelle auth. USER eingestellt.

Ist das 2te GPO jetzt "höherwertiger" als das erste, weil eine bestimmtes Gruppenobjekt eingestellt ist? Oder "beißen" sich die GPO's und es funtkioniert überhaupt nicht.

Ich weiß, dass ich die bestimmten USER in eine UnterOU setzen könnte und für diese eine GPO in der UnterOU höherwertiger wäre. Dies ist bei uns aber nicht so vorgesehen.
Zudem sind Die Gruppenobjekte (also zb einzelne Abteilungen) in einer anderen OU. Darüber werden normalerweise nur Berechtigungen gehandelt.

Zudem.. gibt es eine Möglichkeit das greifen einer GPO hier im speziellen das Kennwortalter für einen bestimmten USER zu überprüfen ohne das ich mich mit dem USER Profil anmelden muss und dort GPRESULT schaue?


Danke für die immer so schnelle Hilfe

Migosch
Mitglied: colinardo
25.06.2013, aktualisiert um 10:58 Uhr
Hallo Migosch,

Zitat von migosch83:
Ist das 2te GPO jetzt "höherwertiger" als das erste, weil eine bestimmtes Gruppenobjekt eingestellt ist? Oder
"beißen" sich die GPO's und es funtkioniert überhaupt nicht.
Die Reihenfolge wie die GPOs angewendet werden lässt sich im Gruppenrichtlinieneditor festlegen. Bei gleichen Einstellungen wird die GPO die später angewendet wird die vorherige Einstellung überschreiben. Du hast aber in den GPOs die Möglichkeit anzugeben wie die Richtlinie angewendet wird(Ersetzen/Zusammenführen) > Stichwort: Loopback-Richtlinienverarbeitung

Zudem.. gibt es eine Möglichkeit das greifen einer GPO hier im speziellen das Kennwortalter für einen bestimmten USER zu
überprüfen ohne das ich mich mit dem USER Profil anmelden muss und dort GPRESULT schaue?
Hierzu gibt es ebenfalls im Gruppenrichtlinieneditor den Knoten Gruppenrichtlinien-Ergebnisse. Mit dem man die Auswirkungen von GPOs auf bestimmte AD-Objekte(Computer/User) simulieren kann.

Grüße Uwe
Bitte warten ..
Mitglied: migosch83
25.06.2013 um 11:52 Uhr
Hallo Uwe,

danke für deine schnelle Antwort. Mit den Gruppenrichtlinien konnte ich jetzt sehen das meine Richtlinie überhaupt nicht angewandt wird.
Ich glaub ich stehe gerade auf dem Schlauch...

Also ich hole mal kurz weiter aus.
1. OU - alle Clients (mit Unter OU)
2. OU - Gruppen (Abteilungen etc)
3. OU - User

in der 3. Ou gibt es schon eine GPO bezüglich Kennwortrichtlinie.

Ich möchte die für eine bestimmte Gruppe ändern. Die Gruppe steht in der 2. OU.

Meine Überlegung war jetzt Die GPO mit der anderen Kennwortrichtlinie auch unter 3. zu packen aber mit einer Filterung nur für Mitglieder der Gruppe aus 2.
Jetzt merke ich aber das es sich ja um eine Richtlinie für Computer handelt... Drehe ich mich gerade völlig im Kreis?!

Wenn alles nichts hilft werde ich jeden einzelnen Nutzer der Gruppe anfassen.. wenn ich mich recht erriner kann ich auch nur dort ein bestimmtes Ablaufdatum festlegen oder?!

Danke Migosch
Bitte warten ..
Mitglied: colinardo
25.06.2013, aktualisiert um 13:27 Uhr
Was für einen Windows Server hast du ?

Bei Server 2003 gilt die Kennwortrichtlinie immer für die ganze Domäne.
Einzige Ausnahme: Wenn du eine solche Richtlinie auf eine OU linkst, in der Computerkonten enthalten sind, dann gelten die Richtlinien für die lokalen Konten auf diesen Computern, aber nicht für Domänenobjekte.

Ab Server 2008 sieht das ganze anders aus, aber auch hier lassen sich die Regeln nicht auf eine OU anwenden sondern nur Benutzerobjekten, InetOrgPerson-Objekten und globalen Sicherheitsgruppen : PSOs erstellen
Bitte warten ..
Mitglied: migosch83
25.06.2013 um 12:53 Uhr
So ja es ist ein 2008 R2 und die Richtlinie steht innerhalb der OU und funtkioniert auch. Und in dieser sind nur Benutzer enthalten. Deswegen bin ich gerade ein wneig durcheinander.
Und in der Default Domain Policy, die ja oberhalb steht sind die Richtlinien anders. Das hat zur Folge, dass Benutzer die nicht in OU 3 stehen sonder in zb 4 nur die Default Regel zu spüren bekommen. Und das läuft auch so...bei uns.. in echt

Mit deinem Link habe ich mal geschaut.. Könnte man jetzt probieren eine policy nur auf die Gruppe zu erstellen, aber zerlege ich damit nicht eventuell die schon vorhandenen Richtlinien? Da dort unter dem Passwort Settings Container noch keine Regeln implementiert sind.
Bitte warten ..
Mitglied: colinardo
25.06.2013 um 13:01 Uhr
so was bastelt man auch nicht in einer Live-Domain sondern testet dies am besten vorher in einer VM ...
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 25.06.2013, aktualisiert 21.05.2014
Hi.

Und in dieser sind nur Benutzer enthalten
Dann kann sie nicht funktionieren, was bei Dir auf Domänenkennwörter angewendet wird, kann nicht von einer GPO kommen, die auf Userobj. angewendet wird, sondern nur von GPOs, die auf Domänencontroller angewendet werden, 100%ig und ohne Zweifel.

Nimm PSOs, wenn Du mit Gruppen arbeiten willst, anders geht es nicht.
Bitte warten ..
Mitglied: migosch83
25.06.2013 um 14:45 Uhr
Euch beiden großes Danke.
Ihr habt mir zumindest ein wenig mehr Durchblick verschafft.

Dennoch GPO mit der Kennwortrichtlinie steht in der OU der User (nicht zu verwechseln mit dem CN=Users). Und ich kann sie ja durch "net user alias /domain |more" und die GPO Ergebnisse überprüfen. Bei beiden stehen die Richtlinien so fest.

Habe auch alle anderen GPOs nochmal eingesehen. Keine weitere hat Kennwortrichlinien.

Testen geht nicht. Manchmal müssen gewisse Sachen gleich ausprobiert werden.

Wir werden jetzt über die Kontodeaktivierung zu bestimmten Datum gehen. Und Filtern über benutzerdefinierte Abfrage. Das gibt uns auch mehr Kontrolle wann die Konten ablaufen.

Sollte hier mal ein neuer Server aufgesetzt werden, werde ich die PSO nehmen. (Nach ausgiebigen Tests

Danke nochmal!!
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 25.06.2013, aktualisiert 21.05.2014
Dennoch GPO mit der Kennwortrichtlinie steht in der OU der User...
Du spielst rum. Prüf einfach am DC mit rsop.msc. Dort steht klipp und klar, welche die "winning GPO" ist, die für Deine KW-Richtlinie verantwortlich ist.
Bitte warten ..
Mitglied: migosch83
26.06.2013 um 09:26 Uhr
So danke das du wusstest Du hast recht.. was dir natürlich klar war.

Am DC bringt es zwar nix, a der wirklich auch andere Rechte mitbringt, aber ich habe über die Gruppenlinienergebnisse der Clients und rsop am client nochmal geschaut. Die Richtlinie Zieht zwar die in der OU steht, aber nur im Bereich der Benutzerkonfig. Computerkonfig und damit auch Kennwort zieht die Domain Default.

Noch ein Problem mehr was dieser Server hat...

Ihr habt mich aber für die Zukunft in die richtige Richtung gewiesen denke ich. Ich weiß zwar nicht wie der "Stabndard" aussieht aber ich denke wir werden hier über die PSO's arbeiten, da einzelne Gruppen unterschiedliche Rechte brauchen und das scheinbar über die Rangfolgen gut zu handlen ist.

Bei uns kann sich leider jeder überall einloggen... Welche Richtlinie genutzt wird muss also in irgendweiner Weise USER/Gruppen abhängig sein.
Bitte warten ..
Mitglied: itgugus
11.02.2014 um 13:09 Uhr
GPO`s werden von unten nach oben abgearbeitet.
Somit ist dann klar , wer die Winning GPO sein wird.

gruss
Ralf
Bitte warten ..
Mitglied: DerWoWusste
12.02.2014, aktualisiert um 00:42 Uhr
Joa, aber es gibt noch enforcements und no override.
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Windows Server
GPO fuer domainjoin in bestimmte OU (17)

Frage von winlin zum Thema Windows Server ...

Windows Server
gelöst Änderung eines Registryeintrages per GPO (12)

Frage von honeybee zum Thema Windows Server ...

Windows Server
gelöst Active Directory CA öffentlich vertrauenswürdig machen, geht das? (2)

Frage von DeathangelCH zum Thema Windows Server ...

Windows Server
GPO aktiv trotz Deaktivierung (7)

Frage von XxDarkAngelxX zum Thema Windows Server ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (17)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (16)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...