Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst 2 GPO die sich ausschließen in gleicher OU... geht das überhaupt? Wenn ja welche hat Vorrang

Mitglied: migosch83

migosch83 (Level 1) - Jetzt verbinden

25.06.2013 um 10:47 Uhr, 1356 Aufrufe, 11 Kommentare, 1 Danke

Hallo.

Diese Frage könnt ihr mir sicher schnell und eifnach beantworten.

Also ich habe 2 GPO's. Diese unterscheiden sich in kleineren Punkten. Eine wirkt auf alle User welche in der OU stehen. Die andere soll nur auf die User innerhalb der OU wirken, welche auch Mitglied eines Gruppenobjekts sind.
für diese habe ich im Sicherheitsfilter das Gruppenobjekt anstelle auth. USER eingestellt.

Ist das 2te GPO jetzt "höherwertiger" als das erste, weil eine bestimmtes Gruppenobjekt eingestellt ist? Oder "beißen" sich die GPO's und es funtkioniert überhaupt nicht.

Ich weiß, dass ich die bestimmten USER in eine UnterOU setzen könnte und für diese eine GPO in der UnterOU höherwertiger wäre. Dies ist bei uns aber nicht so vorgesehen.
Zudem sind Die Gruppenobjekte (also zb einzelne Abteilungen) in einer anderen OU. Darüber werden normalerweise nur Berechtigungen gehandelt.

Zudem.. gibt es eine Möglichkeit das greifen einer GPO hier im speziellen das Kennwortalter für einen bestimmten USER zu überprüfen ohne das ich mich mit dem USER Profil anmelden muss und dort GPRESULT schaue?


Danke für die immer so schnelle Hilfe

Migosch
Mitglied: colinardo
25.06.2013, aktualisiert um 10:58 Uhr
Hallo Migosch,

Zitat von migosch83:
Ist das 2te GPO jetzt "höherwertiger" als das erste, weil eine bestimmtes Gruppenobjekt eingestellt ist? Oder
"beißen" sich die GPO's und es funtkioniert überhaupt nicht.
Die Reihenfolge wie die GPOs angewendet werden lässt sich im Gruppenrichtlinieneditor festlegen. Bei gleichen Einstellungen wird die GPO die später angewendet wird die vorherige Einstellung überschreiben. Du hast aber in den GPOs die Möglichkeit anzugeben wie die Richtlinie angewendet wird(Ersetzen/Zusammenführen) > Stichwort: Loopback-Richtlinienverarbeitung

Zudem.. gibt es eine Möglichkeit das greifen einer GPO hier im speziellen das Kennwortalter für einen bestimmten USER zu
überprüfen ohne das ich mich mit dem USER Profil anmelden muss und dort GPRESULT schaue?
Hierzu gibt es ebenfalls im Gruppenrichtlinieneditor den Knoten Gruppenrichtlinien-Ergebnisse. Mit dem man die Auswirkungen von GPOs auf bestimmte AD-Objekte(Computer/User) simulieren kann.

Grüße Uwe
Bitte warten ..
Mitglied: migosch83
25.06.2013 um 11:52 Uhr
Hallo Uwe,

danke für deine schnelle Antwort. Mit den Gruppenrichtlinien konnte ich jetzt sehen das meine Richtlinie überhaupt nicht angewandt wird.
Ich glaub ich stehe gerade auf dem Schlauch...

Also ich hole mal kurz weiter aus.
1. OU - alle Clients (mit Unter OU)
2. OU - Gruppen (Abteilungen etc)
3. OU - User

in der 3. Ou gibt es schon eine GPO bezüglich Kennwortrichtlinie.

Ich möchte die für eine bestimmte Gruppe ändern. Die Gruppe steht in der 2. OU.

Meine Überlegung war jetzt Die GPO mit der anderen Kennwortrichtlinie auch unter 3. zu packen aber mit einer Filterung nur für Mitglieder der Gruppe aus 2.
Jetzt merke ich aber das es sich ja um eine Richtlinie für Computer handelt... Drehe ich mich gerade völlig im Kreis?!

Wenn alles nichts hilft werde ich jeden einzelnen Nutzer der Gruppe anfassen.. wenn ich mich recht erriner kann ich auch nur dort ein bestimmtes Ablaufdatum festlegen oder?!

Danke Migosch
Bitte warten ..
Mitglied: colinardo
25.06.2013, aktualisiert um 13:27 Uhr
Was für einen Windows Server hast du ?

Bei Server 2003 gilt die Kennwortrichtlinie immer für die ganze Domäne.
Einzige Ausnahme: Wenn du eine solche Richtlinie auf eine OU linkst, in der Computerkonten enthalten sind, dann gelten die Richtlinien für die lokalen Konten auf diesen Computern, aber nicht für Domänenobjekte.

Ab Server 2008 sieht das ganze anders aus, aber auch hier lassen sich die Regeln nicht auf eine OU anwenden sondern nur Benutzerobjekten, InetOrgPerson-Objekten und globalen Sicherheitsgruppen : PSOs erstellen
Bitte warten ..
Mitglied: migosch83
25.06.2013 um 12:53 Uhr
So ja es ist ein 2008 R2 und die Richtlinie steht innerhalb der OU und funtkioniert auch. Und in dieser sind nur Benutzer enthalten. Deswegen bin ich gerade ein wneig durcheinander.
Und in der Default Domain Policy, die ja oberhalb steht sind die Richtlinien anders. Das hat zur Folge, dass Benutzer die nicht in OU 3 stehen sonder in zb 4 nur die Default Regel zu spüren bekommen. Und das läuft auch so...bei uns.. in echt

Mit deinem Link habe ich mal geschaut.. Könnte man jetzt probieren eine policy nur auf die Gruppe zu erstellen, aber zerlege ich damit nicht eventuell die schon vorhandenen Richtlinien? Da dort unter dem Passwort Settings Container noch keine Regeln implementiert sind.
Bitte warten ..
Mitglied: colinardo
25.06.2013 um 13:01 Uhr
so was bastelt man auch nicht in einer Live-Domain sondern testet dies am besten vorher in einer VM ...
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 25.06.2013, aktualisiert 21.05.2014
Hi.

Und in dieser sind nur Benutzer enthalten
Dann kann sie nicht funktionieren, was bei Dir auf Domänenkennwörter angewendet wird, kann nicht von einer GPO kommen, die auf Userobj. angewendet wird, sondern nur von GPOs, die auf Domänencontroller angewendet werden, 100%ig und ohne Zweifel.

Nimm PSOs, wenn Du mit Gruppen arbeiten willst, anders geht es nicht.
Bitte warten ..
Mitglied: migosch83
25.06.2013 um 14:45 Uhr
Euch beiden großes Danke.
Ihr habt mir zumindest ein wenig mehr Durchblick verschafft.

Dennoch GPO mit der Kennwortrichtlinie steht in der OU der User (nicht zu verwechseln mit dem CN=Users). Und ich kann sie ja durch "net user alias /domain |more" und die GPO Ergebnisse überprüfen. Bei beiden stehen die Richtlinien so fest.

Habe auch alle anderen GPOs nochmal eingesehen. Keine weitere hat Kennwortrichlinien.

Testen geht nicht. Manchmal müssen gewisse Sachen gleich ausprobiert werden.

Wir werden jetzt über die Kontodeaktivierung zu bestimmten Datum gehen. Und Filtern über benutzerdefinierte Abfrage. Das gibt uns auch mehr Kontrolle wann die Konten ablaufen.

Sollte hier mal ein neuer Server aufgesetzt werden, werde ich die PSO nehmen. (Nach ausgiebigen Tests

Danke nochmal!!
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 25.06.2013, aktualisiert 21.05.2014
Dennoch GPO mit der Kennwortrichtlinie steht in der OU der User...
Du spielst rum. Prüf einfach am DC mit rsop.msc. Dort steht klipp und klar, welche die "winning GPO" ist, die für Deine KW-Richtlinie verantwortlich ist.
Bitte warten ..
Mitglied: migosch83
26.06.2013 um 09:26 Uhr
So danke das du wusstest Du hast recht.. was dir natürlich klar war.

Am DC bringt es zwar nix, a der wirklich auch andere Rechte mitbringt, aber ich habe über die Gruppenlinienergebnisse der Clients und rsop am client nochmal geschaut. Die Richtlinie Zieht zwar die in der OU steht, aber nur im Bereich der Benutzerkonfig. Computerkonfig und damit auch Kennwort zieht die Domain Default.

Noch ein Problem mehr was dieser Server hat...

Ihr habt mich aber für die Zukunft in die richtige Richtung gewiesen denke ich. Ich weiß zwar nicht wie der "Stabndard" aussieht aber ich denke wir werden hier über die PSO's arbeiten, da einzelne Gruppen unterschiedliche Rechte brauchen und das scheinbar über die Rangfolgen gut zu handlen ist.

Bei uns kann sich leider jeder überall einloggen... Welche Richtlinie genutzt wird muss also in irgendweiner Weise USER/Gruppen abhängig sein.
Bitte warten ..
Mitglied: 91863
11.02.2014 um 13:09 Uhr
GPO`s werden von unten nach oben abgearbeitet.
Somit ist dann klar , wer die Winning GPO sein wird.

gruss
Ralf
Bitte warten ..
Mitglied: DerWoWusste
12.02.2014, aktualisiert um 00:42 Uhr
Joa, aber es gibt noch enforcements und no override.
Bitte warten ..
Ähnliche Inhalte
Windows Server
GPO greift auf unterer OU nicht
gelöst Frage von MissJonesWindows Server7 Kommentare

Hallo ihr Lieben, ich habe mich gerade mal hier angemeldet, da ich trotz der vorhandenen Beiträge nicht weiterkomme. Momentan ...

Windows Server

GPO wird unter bestimmter OU nicht gezogen

Frage von 125051Windows Server2 Kommentare

Hallo zusammen. Es geht diesmal um ein Java Deployment. Ich verteile das per .bat, wobei erst die alten java ...

Windows Server

GPO auf User-OU greift nicht

gelöst Frage von eastfrisianWindows Server2 Kommentare

hey, bräuchte mal kurz eine Hilfestellung. wahrscheinlich bin ich irgendwo auf dem Holzweg, aber ich komme einfach nicht drauf. ...

Windows Server

GPO fuer domainjoin in bestimmte OU

Frage von winlinWindows Server17 Kommentare

Hallo, ich benötige eine gpo oder eine Lösung welche folgendes macht: Wenn ein Computer mit einem bestimmten Hostnamen der ...

Neue Wissensbeiträge
Vmware
VMware Update für den ESXi 5.5 verfügbar
Information von sabines vor 8 StundenVmware

Nach dem ganzen Hickhack um Update mit Microcode Anpassungen und Rückzug, gibt es nun für den ESXi 5.5 ein ...

CPU, RAM, Mainboards

Meltdown und Spectre: Intel zieht Microcode-Updates für Prozessoren zurück

Information von keine-ahnung vor 12 StundenCPU, RAM, Mainboards5 Kommentare

Moin, extrem lutztig. Nur gut, dass ich noch nicht beim Probanden-Bingo mitgemacht habe :-) LG, Thomas

Router & Routing
PfSense als Addon auf QNAP
Information von magicteddy vor 1 TagRouter & Routing7 Kommentare

Moin, für Spielereien eine ganz nette Idee aber ich fürchte das soetwas auch als echte Firewall genutzt wird: In ...

Datenschutz

Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

Information von magicteddy vor 1 TagDatenschutz1 Kommentar

Moin, jetzt werden IoT Geräte endgültig zur Wanze? Anscheinend kann man auf einem Dashboard seine Geräte visualisieren Ich stelle ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Preis für Wartungsvertrag ok?
gelöst Frage von a-za-zNetzwerkmanagement26 Kommentare

Hallo! Mal ne Frage, weil ich mich mit dem akzeptablen Preis für einen Reaktionszeitvertrag nicht auskenne. Meine Firma hat ...

Windows Server
TEMP-Profile
gelöst Frage von Forseti2003Windows Server21 Kommentare

Guten Morgen, wer kennt sie nicht, die lieben Temporären Benutzerprofile, vorallem immer dann, wenn man sie am wenigsten braucht. ...

Multimedia & Zubehör
Welches Tablet für die Verkäufer?
Frage von Hendrik2586Multimedia & Zubehör15 Kommentare

Guten Morgen meine Lieben, vielleicht könnt ihr mir ja helfen. Es geht um unsere Außendienstmitarbeiter /Verkäufer. Sie sollen demnächst ...

Windows Netzwerk
Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?
Frage von PluwimWindows Netzwerk13 Kommentare

Hallo zusammen, zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine ...