Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Frage zu Gruppenrichlinen und Überschneidungen

Frage Microsoft Windows Server

Mitglied: TechnoX

TechnoX (Level 2) - Jetzt verbinden

22.03.2011, aktualisiert 09:32 Uhr, 4338 Aufrufe, 6 Kommentare

Wie verhallten sich GPOs zu einander?

Hallo ich habe folgende Frage:

Wenn man eine AD Struktur aufbaut - in der übergeordnet im Domänen Stamm nebst der globalen Richlinie noch andere GPOs existieren...

a) .... beeieinflussen sich die gegenseitig?
b)..... muss die sicherheits einstellung der globalen Richtlinie auch an den darunter liegenden vorgenommen werden um zu gewährleisten das
die zusätzliche GPO in der es "nicht" konfiguriert wurde ihre Einstellung über die Globale Richtlinie drückt?

Wie verhällt sich das wenn díe GPOs in OUs in einer niederen Ebene liegen?

Gibt es hier wichtige Dinge die man beachten sollte bei dem Strukturaufbau von GPOs?

Ich Frage weil ich davor stehe einige GPOs zur Softwareaustragung frei zu schalten & ich nicht eiskalt überrascht werden möchte.
Nebenbei - ich habe die GPOs daneben gelegt weil ich die GPOs nicht unnötig an x stellen verteilen wollte. Sondern schön unter einander vorfinde.
Ob dies eine Praktische & gute lösung darstellt - dazu fehlt mir leider die Erfahrung. Dachte mir halt das es praktischer ist.
Mitglied: manuel-r
22.03.2011 um 09:51 Uhr
GPOs werden in der Domänenstruktur hierarchisch von oben nach unten vererbt. Das heißt, dass eine Einstellung die du in der Root-Domäne als GPO anlegst nach unten bis auf die hinterletzte OU durchgereicht wird. Willst du das nicht muss du die Vererbung jeweils aufheben. Die GPOs werden auch in dieser Reihenfolge geladen und umgesetzt. Dabei zählt immer die letzte Einstellung die geladen wurde. Angenommen du hast
  • in der Root-Domäne ein GPO, dass den Bildschirmhintergrund auf blau stellt
  • in der Sub-Domäne eins das auf rot stellt
  • in der ersten OU eins das auf gelb stellt
  • und eine OU tiefer eins das auf grün stellt
Welche Farbe hat der Desktop bei einem User der in der untersten OU und einem der in der ersten OU der Sub-Domäne sitzt?
  • in der unteren OU ist es grün
  • in der ersten OU ist es gelb
Jetzt könnte aber der Administrator (dazu muss er AFAIK aber OrgAdmin sein) auf die Idee kommen: "Ist mir doch wurscht welche Farbe denen da unten am besten gefällt. Ich will überall blau haben." Dann gibt er seinem GPO in der Root-Domäne das Merkmal "erzwingen" mit und schon können die weiter unten sich auf den Kopf stellen. Der Bildschirm ist ist blau und bleibt auch blau.
Bitte warten ..
Mitglied: TechnoX
22.03.2011 um 10:20 Uhr
Dh. der Parameter erzwingen würde - wenn die GPO zb. so liegt:
Domäne.de
-Globale Richtlinie
-Gpo mit Sicherheitsgruppe 1 Software1
-Gpo mit Sicherheitsgruppe 2 Software2
-----------Computer
------------------------Ndl1
----------------------------GPO_Ndl1 Wsus Gruppe
------------------------Ndl2
------------------------Ndl3

die Globale Richtlinie aushebeln? Oder werden die Einstellungen der Globalen Richtlinie paralell weiter gegeben?
So das nur die geänderten Parameter die an der GPO daneben vorgenommen wurden "hin zu" kommen.

Das schlimmste wäre wenn dadurch das die GPO zb. eine andere Firewall Einstellung besitzt als die Globale Richtline
diese dann durch das erzwingen oder aktivieren der Softwareverteiler verändert & überschrieben wird.

Das wäre eine kleinere Katastrophe. Für den Fall das es so wäre müsste ich dann die Globale Richtlinie dann wieder erzwingen???
Oder würde das Erzwingen die Softwareverteiler wiederum so überschreiben da sich die MSI Pakete nicht mehr austragen?
Ich hatte mir überlegt - egal welche Niederlassung oder welcher darunter folgenden Stukur eben durch die Sicherheitsfilter Gruppen
zu zu teilen. Was auch prima klappt. So kann ich PCs geziehlt in die Vetreiler einklemmen aber auch heraus lassen. Ohne mich an die
Darunterliegende OU Strukur binden zu müssen. (hat def. Vorteile)

Und ich hätte eine Optische differnenzierung zur WSUS Gruppenzuweisung welche auch gerade in Arbeit ist. Darf das alles neu aufbauen..
Und ich würds gern RICHTIG machen. Die bisherige Struktur stammte noch aus NT4 Zeiten & der zuständige Admin hat da auch nicht viel
gemacht.

Die Sache mit der Hirachischen Vererbung is mir klar - nur nicht wie sich die Gpos gegenseitig beeinflussen & überhaupt beeinflussen.
Wenn also wie folgt:

Domäne.de
-Globale Richtlinie (ohne MSI paket) (mit Sicheheitsrelavanten & Administrativen Einstellungen)
-Gpo mit Sicherheitsgruppe 1 Software1 (mit MSI paket 1) (ohne die Sicheheitsrelavanten & Administrativen Einstellungen)
-Gpo mit Sicherheitsgruppe 2 Software2 (mit MSI paket 2) (ohne die Sicheheitsrelavanten & Administrativen Einstellungen)

alle 3 GPos auf einer ebene liegen - welche GPO ist also aktiv? Ich meine - ein PC der sowohl GPO1 & 2 bekommt könnte ja zuerst
die Globalen Einstellungen ziehen - diese aber durch die unkonfigurierte GPO2 wieder schmeißen ??

Oder ist das ausgeschlossen? Was passiert in diesem Fall? Oder beeinflusst es sich null solange es auf nicht konfiguriert steht?
Bitte warten ..
Mitglied: manuel-r
22.03.2011 um 10:49 Uhr
Ich verstehe nicht was da du mir sagen willst mit der Skizze. Wo ist welches GPO konfiguriert und wo ist erzwingen bzw. vererben eingestellt und wo nicht? Erzwingen kannst du nur von oben nach unten, wäre anders rum ja noch schöner. Das ist wie bei dir auf der Arbeit: Wenn du was nicht freiwillig machst, dann zwingt dein Chef dich mit den Mitteln die er hat. Umgekehrt wird es dir schwer fallen deinen Chef zu etwas zu zwingen, was du gerne willst; er aber nicht.
Nach nochmaligem lesen wird es langsam hell. Ich vermute du konfigurierst (oder hast es vor) alles in einem GPO?! Das könnte natürlich tatsächlich fatale Folgen haben, wenn du alles auf der Root-Domäne nach unten zwingst. Es hindert dich aber keiner daran für deine Softwareverteilung eine eigene GPO zu erstellen. Das ist eigentlich gängige Praxis. Nur übertreiben sollte man es nicht.
Wir haben hier bspw. GPOs für Desktop-Einstellungen, für IE-Einstellungen, für Firewall-Einstellungen, für diverse Programm-Einstellungen usw. Da weiß ich dann wenigsten direkt wo ich suchen oder konfigurieren muss.
Bitte warten ..
Mitglied: TechnoX
22.03.2011 um 10:58 Uhr
Folgendes ist in Planung Java, Flash & Reader sollen per GPO verteilt werden.

Dazu wurden Sicherheitsgruppen erstellt in denen die Empfänger per Niederlassung definiert wurden.
Die GPO ist ebenfalls per Niederlassung - weil ich einen anderen Pool (vor Ort) für das Installerpaket eingestellt habe.
Die GPOs zur software Verteilung liegen wenn man so will NEBEN der Globalen Richtlinie und nicht "darunter"

Die Globale Richtlinie wurde über die Sicherheitsfilter Global zu gewiesen. Was ja auch gang und gebe ist.

Erzwungen wurde bisher nix. Die GPO sind alle noch nicht aktiv geschalten.

Würde ich also nun die GPO zu Verteilung der Software freischalten - ergänzt sich das einfach in "zur" globalen Richtlinie oder
ersetzt sich das. Sprich muss ich JEDER GPO diese Sicherheits einstellung mitgeben? Oder langt es wenn die Globale Richtlinie
diese an alle "frei gibt" und was an GPO eben noch konfiguriert wurde "ergänzt sich" ohne Probleme.

Ich hoffe das es nach dem 3 Erkärungsverusch nun klar is wo ich nicht weis wie es sich verhällt.

Der WSUS ist ebenfalls in der Mache - doch dieser liegt mit seinen GPO & dessen Anweisungen in den jeweiligen Niederlassungs OU
Bitte warten ..
Mitglied: manuel-r
22.03.2011 um 11:03 Uhr
Wenn die GPOs auf einer Ebene nebeneinander angelegt sind, dann addieren die sich sozusagen. Sollten in den GPOs identische Einstellungen getätigt sein, dann greift die konfigurierte Reihenfolge der GPOs (ein Objekt (bspw. die Domäne) markieren und dann rechts Registerkarte "verknüpfte GPO") und es passiert das was ich oben beschrieben hatte. Alles was in einem GPO mit "nicht konfiguriert" aufgeführt ist hat auch keine Auswirkungen.
Bitte warten ..
Mitglied: TechnoX
22.03.2011 um 11:05 Uhr
Ok das is die Antwort

Danke für deine Geduld
Bitte warten ..
Ähnliche Inhalte
Outlook & Mail
Outlook 2013 - Termine automatisch ablehnen bei Überschneidungen
gelöst Frage von danielKEOutlook & Mail5 Kommentare

Hallo alle zusammen, bin neu hier und hätte eine dringende Frage! Würde gerne Wissen ob es eine Einstellung gibt, ...

Netzwerkgrundlagen
Fragen zum Heimnetzwerk
gelöst Frage von bambulkoNetzwerkgrundlagen11 Kommentare

Ich werde demnächst bauen und möchte schon mal anfangen mein Heimnetzwerk zu planen. Ich möchte jeweils eine Doppel-LAN Dose ...

Windows 10
Frage zur Cortona
Frage von avitasWindows 101 Kommentar

Lassen sich damit auch Texte in Word diktieren oder geht das nicht, falls ja, was muss ich da einstellen ...

Administrator.de Feedback
Fragen werden nicht angezeigt?
gelöst Frage von LochkartenstanzerAdministrator.de Feedback8 Kommentare

Moin, Mir ist aufgefallen, das in der Ansicht "Neue Fragen" meine beiden Fragen zum feedback nicht angezeigt werden: Bug ...

Neue Wissensbeiträge
Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 9 StundenWindows 102 Kommentare

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 11 StundenSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 1 TagViren und Trojaner3 Kommentare

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 1 TagRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

Netzwerkmanagement
NAS über zwei weitere Ethernet Anschlüsse verbinden
gelöst Frage von Sibelius001Netzwerkmanagement15 Kommentare

Sorry - ich bin hier wahrscheinlich als kompetter IT Trottel unterwegs. Aber eventuell kann mir jemand ganz einfach helfen: ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...

Netzwerkgrundlagen
Hi eine blöde frage. xD
Frage von 132954Netzwerkgrundlagen12 Kommentare

Also: Habe 2012 r2 essentials neuinstalliert, allerdings installiert diese version ja gleich diesen gangen AD kram mit, den hab ...