ralpht
Goto Top

Allgemeine Frage zu GPO

Hallo,

ich glaube ich habe hier gerade ein Verständnisproblem. Ein Client ist in der StandardOU "Computer". Weitere OUs sind in der GPMC unterhalb der Root angelegt. weiter darunter befinden sich die Nutzer und die Clients. Dahinter sind auch GPOs angelegt.

Zu meiner Frage:

Der eine Client, der im Standardcontainer "Computer" ist, auf dem dürften doch eigentlich keine GPOs wirken (außer der Default GPO). Denn von diesem Conainer "sieht" man ja keine Nutzer und Clients.
Allerdings wilken hier alle GPOs auf dem Client, die BenutzerGPOs enthalten.

Ist das Verhalten hier richtig? wenn ja, warum wirken hier die BenutzerGPOs? Die ComputerGPOs wirken hier nicht.

Schon mal vielen Dank für Eure Hilfe.

Content-Key: 345290

Url: https://administrator.de/contentid/345290

Ausgedruckt am: 19.03.2024 um 07:03 Uhr

Mitglied: Stiglitz
Lösung Stiglitz 03.08.2017 aktualisiert um 11:21:27 Uhr
Goto Top
Wie du schon selbst festgestellt hast, wirken Benutzer GPO's auf die Benutzer unabhängig vom Computer-Objekt.

Der Grund hierfür ist, dass die "GP" für Benutzer dort angewendet wird, wo das Benutzerobjekt liegt. Das Computerobjekt ist in dem Fall egal.

Wenn du Computer-basiert gewisse Benutzer-GPO wirken lassen möchtest, informiere dich über die so genannte "loopbackverarbeitung".

Bedenke auch, dass innerhalb einer GPO Regeln für Computer UND Benutzer stehen können.
Ohne loopback wird basierend auf einem Computer Objekt immer nur die Computer-einstellung angewendet und vice versa. (weswegen ich es auch vermeide Computer und Benutzer Einstellungen in einem GPO zu kombinieren)


Beispiel:
Du hast die OU-Computer und die OU-User.

In OU-Computer hast du eine GPO mit "Computereinstellung-X" und eine GPO mit "Usereinstellung-Y"

in OU-User hast du eine GPO mit "Usereinstellung-Z"

Meldet sich jetzt ein User aus der "User-OU" an einem Computer der in "OU-Computer" liegt an, wird die "Computereinstellung-X" und die "Usereinstellung-Z" angewendet.
Usereinstellung-Y findet keine Anwendung, da der User nicht in der OU-Computer liegt.

Mit einer Loopbackverarbeitung könntest du bewirken, dass "Usereinstellung-Y" greift.
Mitglied: RalphT
RalphT 03.08.2017 um 11:36:38 Uhr
Goto Top
Zitat von @Stiglitz:

Meldet sich jetzt ein User aus der "User-OU" an einem Computer der in "OU-Computer" liegt an, wird die "Computereinstellung-X" und die "Usereinstellung-Z" angewendet.
Usereinstellung-Y findet keine Anwendung, da der User nicht in der OU-Computer liegt.


Das ist für mich entscheidende Satz. Danke dass, du das noch erweitert hast. Denn bei den ersten drei Sätzen war ich etwas am überlegen.
Dann habe ich das wohl verstanden.

Und ich dachte immer bisher, dass eine OU, die nur BenutzerOUs enthält nur wirken kann, wenn die entsprechenden User auch unterhalb der OU sind.
Jetzt noch mal zur Kontrolle:

Wenn ich eine OU mit Computereinstellungen erstelle, dann müssen die betreffenden Clients auch unterhalb dieser OU sein. Ist der Client nicht unterhalb dieser OU, dann wirken alle GPOs mit Computereinstellungen nicht, da der Client nicht unterhalb der OU ist.

Richtig?
Mitglied: Stiglitz
Stiglitz 03.08.2017 um 11:59:21 Uhr
Goto Top
Richtig, es wirkt immer nur "nach unten".

Ebenso zu beachten:

Die "Verarbeitungs- Reihenfolge" ist prinzipiell gesehen zuerst "Local-policy" und dann Absteigend "Site - Domain - OU"

Also zuerst verarbeitet der Computer was er bei sich in der local policy hat.
Dann was auf Site-ebene an GPO vorhanden ist, danach die Domäne und hier absteigend in der Hierarchie durch die verschiedenen OU.

Was hierbei wichtig ist. Was zuerst verarbeitet wird, hat die die kleinere "Rangordnung". Je näher ein GPO am Objekt ist, um so höher ist es in der Rangordnung.

Wird z.B. auf Domänen Ebene ein GPO verknüpft, welches "Einstellung-X" mit Wert 0 belegt, wird dieser Wert überschrieben, wenn weiter unten auf OU Ebene ein anderes GPO verlinkt ist, welches die selbe "Einstellung-X" mit Wert 1 angibt.

Kurz gesagt: Der letzte der schreibt, hat recht.

Aber auch hier wieder eine Ausnahme: ein "Enforced/Erzwungen" GPO. Aber ich denke es ist besser, wenn du dich darüber einfach selbst noch etwas informierst. Ich hab immer etwas Probleme meine Texte ordentlich Strukturiert zu verfassen face-wink
Mitglied: RalphT
RalphT 03.08.2017 um 12:07:21 Uhr
Goto Top
Alles klar, danke für Info!