Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Frage zu Gruppenrichlinen und Überschneidungen

Frage Microsoft Windows Server

Mitglied: TechnoX

TechnoX (Level 2) - Jetzt verbinden

22.03.2011, aktualisiert 09:32 Uhr, 4241 Aufrufe, 6 Kommentare

Wie verhallten sich GPOs zu einander?

Hallo ich habe folgende Frage:

Wenn man eine AD Struktur aufbaut - in der übergeordnet im Domänen Stamm nebst der globalen Richlinie noch andere GPOs existieren...

a) .... beeieinflussen sich die gegenseitig?
b)..... muss die sicherheits einstellung der globalen Richtlinie auch an den darunter liegenden vorgenommen werden um zu gewährleisten das
die zusätzliche GPO in der es "nicht" konfiguriert wurde ihre Einstellung über die Globale Richtlinie drückt?

Wie verhällt sich das wenn díe GPOs in OUs in einer niederen Ebene liegen?

Gibt es hier wichtige Dinge die man beachten sollte bei dem Strukturaufbau von GPOs?

Ich Frage weil ich davor stehe einige GPOs zur Softwareaustragung frei zu schalten & ich nicht eiskalt überrascht werden möchte.
Nebenbei - ich habe die GPOs daneben gelegt weil ich die GPOs nicht unnötig an x stellen verteilen wollte. Sondern schön unter einander vorfinde.
Ob dies eine Praktische & gute lösung darstellt - dazu fehlt mir leider die Erfahrung. Dachte mir halt das es praktischer ist.
Mitglied: manuel-r
22.03.2011 um 09:51 Uhr
GPOs werden in der Domänenstruktur hierarchisch von oben nach unten vererbt. Das heißt, dass eine Einstellung die du in der Root-Domäne als GPO anlegst nach unten bis auf die hinterletzte OU durchgereicht wird. Willst du das nicht muss du die Vererbung jeweils aufheben. Die GPOs werden auch in dieser Reihenfolge geladen und umgesetzt. Dabei zählt immer die letzte Einstellung die geladen wurde. Angenommen du hast
  • in der Root-Domäne ein GPO, dass den Bildschirmhintergrund auf blau stellt
  • in der Sub-Domäne eins das auf rot stellt
  • in der ersten OU eins das auf gelb stellt
  • und eine OU tiefer eins das auf grün stellt
Welche Farbe hat der Desktop bei einem User der in der untersten OU und einem der in der ersten OU der Sub-Domäne sitzt?
  • in der unteren OU ist es grün
  • in der ersten OU ist es gelb
Jetzt könnte aber der Administrator (dazu muss er AFAIK aber OrgAdmin sein) auf die Idee kommen: "Ist mir doch wurscht welche Farbe denen da unten am besten gefällt. Ich will überall blau haben." Dann gibt er seinem GPO in der Root-Domäne das Merkmal "erzwingen" mit und schon können die weiter unten sich auf den Kopf stellen. Der Bildschirm ist ist blau und bleibt auch blau.
Bitte warten ..
Mitglied: TechnoX
22.03.2011 um 10:20 Uhr
Dh. der Parameter erzwingen würde - wenn die GPO zb. so liegt:
Domäne.de
-Globale Richtlinie
-Gpo mit Sicherheitsgruppe 1 Software1
-Gpo mit Sicherheitsgruppe 2 Software2
-----------Computer
------------------------Ndl1
----------------------------GPO_Ndl1 Wsus Gruppe
------------------------Ndl2
------------------------Ndl3

die Globale Richtlinie aushebeln? Oder werden die Einstellungen der Globalen Richtlinie paralell weiter gegeben?
So das nur die geänderten Parameter die an der GPO daneben vorgenommen wurden "hin zu" kommen.

Das schlimmste wäre wenn dadurch das die GPO zb. eine andere Firewall Einstellung besitzt als die Globale Richtline
diese dann durch das erzwingen oder aktivieren der Softwareverteiler verändert & überschrieben wird.

Das wäre eine kleinere Katastrophe. Für den Fall das es so wäre müsste ich dann die Globale Richtlinie dann wieder erzwingen???
Oder würde das Erzwingen die Softwareverteiler wiederum so überschreiben da sich die MSI Pakete nicht mehr austragen?
Ich hatte mir überlegt - egal welche Niederlassung oder welcher darunter folgenden Stukur eben durch die Sicherheitsfilter Gruppen
zu zu teilen. Was auch prima klappt. So kann ich PCs geziehlt in die Vetreiler einklemmen aber auch heraus lassen. Ohne mich an die
Darunterliegende OU Strukur binden zu müssen. (hat def. Vorteile)

Und ich hätte eine Optische differnenzierung zur WSUS Gruppenzuweisung welche auch gerade in Arbeit ist. Darf das alles neu aufbauen..
Und ich würds gern RICHTIG machen. Die bisherige Struktur stammte noch aus NT4 Zeiten & der zuständige Admin hat da auch nicht viel
gemacht.

Die Sache mit der Hirachischen Vererbung is mir klar - nur nicht wie sich die Gpos gegenseitig beeinflussen & überhaupt beeinflussen.
Wenn also wie folgt:

Domäne.de
-Globale Richtlinie (ohne MSI paket) (mit Sicheheitsrelavanten & Administrativen Einstellungen)
-Gpo mit Sicherheitsgruppe 1 Software1 (mit MSI paket 1) (ohne die Sicheheitsrelavanten & Administrativen Einstellungen)
-Gpo mit Sicherheitsgruppe 2 Software2 (mit MSI paket 2) (ohne die Sicheheitsrelavanten & Administrativen Einstellungen)

alle 3 GPos auf einer ebene liegen - welche GPO ist also aktiv? Ich meine - ein PC der sowohl GPO1 & 2 bekommt könnte ja zuerst
die Globalen Einstellungen ziehen - diese aber durch die unkonfigurierte GPO2 wieder schmeißen ??

Oder ist das ausgeschlossen? Was passiert in diesem Fall? Oder beeinflusst es sich null solange es auf nicht konfiguriert steht?
Bitte warten ..
Mitglied: manuel-r
22.03.2011 um 10:49 Uhr
Ich verstehe nicht was da du mir sagen willst mit der Skizze. Wo ist welches GPO konfiguriert und wo ist erzwingen bzw. vererben eingestellt und wo nicht? Erzwingen kannst du nur von oben nach unten, wäre anders rum ja noch schöner. Das ist wie bei dir auf der Arbeit: Wenn du was nicht freiwillig machst, dann zwingt dein Chef dich mit den Mitteln die er hat. Umgekehrt wird es dir schwer fallen deinen Chef zu etwas zu zwingen, was du gerne willst; er aber nicht.
Nach nochmaligem lesen wird es langsam hell. Ich vermute du konfigurierst (oder hast es vor) alles in einem GPO?! Das könnte natürlich tatsächlich fatale Folgen haben, wenn du alles auf der Root-Domäne nach unten zwingst. Es hindert dich aber keiner daran für deine Softwareverteilung eine eigene GPO zu erstellen. Das ist eigentlich gängige Praxis. Nur übertreiben sollte man es nicht.
Wir haben hier bspw. GPOs für Desktop-Einstellungen, für IE-Einstellungen, für Firewall-Einstellungen, für diverse Programm-Einstellungen usw. Da weiß ich dann wenigsten direkt wo ich suchen oder konfigurieren muss.
Bitte warten ..
Mitglied: TechnoX
22.03.2011 um 10:58 Uhr
Folgendes ist in Planung Java, Flash & Reader sollen per GPO verteilt werden.

Dazu wurden Sicherheitsgruppen erstellt in denen die Empfänger per Niederlassung definiert wurden.
Die GPO ist ebenfalls per Niederlassung - weil ich einen anderen Pool (vor Ort) für das Installerpaket eingestellt habe.
Die GPOs zur software Verteilung liegen wenn man so will NEBEN der Globalen Richtlinie und nicht "darunter"

Die Globale Richtlinie wurde über die Sicherheitsfilter Global zu gewiesen. Was ja auch gang und gebe ist.

Erzwungen wurde bisher nix. Die GPO sind alle noch nicht aktiv geschalten.

Würde ich also nun die GPO zu Verteilung der Software freischalten - ergänzt sich das einfach in "zur" globalen Richtlinie oder
ersetzt sich das. Sprich muss ich JEDER GPO diese Sicherheits einstellung mitgeben? Oder langt es wenn die Globale Richtlinie
diese an alle "frei gibt" und was an GPO eben noch konfiguriert wurde "ergänzt sich" ohne Probleme.

Ich hoffe das es nach dem 3 Erkärungsverusch nun klar is wo ich nicht weis wie es sich verhällt.

Der WSUS ist ebenfalls in der Mache - doch dieser liegt mit seinen GPO & dessen Anweisungen in den jeweiligen Niederlassungs OU
Bitte warten ..
Mitglied: manuel-r
22.03.2011 um 11:03 Uhr
Wenn die GPOs auf einer Ebene nebeneinander angelegt sind, dann addieren die sich sozusagen. Sollten in den GPOs identische Einstellungen getätigt sein, dann greift die konfigurierte Reihenfolge der GPOs (ein Objekt (bspw. die Domäne) markieren und dann rechts Registerkarte "verknüpfte GPO") und es passiert das was ich oben beschrieben hatte. Alles was in einem GPO mit "nicht konfiguriert" aufgeführt ist hat auch keine Auswirkungen.
Bitte warten ..
Mitglied: TechnoX
22.03.2011 um 11:05 Uhr
Ok das is die Antwort

Danke für deine Geduld
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
LAN, WAN, Wireless
gelöst HP Switches - Frage zu Spanning Tree bzw. Loop Back Protection (12)

Frage von chfran zum Thema LAN, WAN, Wireless ...

Hyper-V
Grundsatz Frage Anbindung Hyper V Hosts ans Netzwerk (7)

Frage von Eifeladmin zum Thema Hyper-V ...

Windows Netzwerk
gelöst Frage zu den Netzwerkfreigaben mit Bild (8)

Frage von M.Marz zum Thema Windows Netzwerk ...

Router & Routing
gelöst PfSense, Routing-Frage (10)

Frage von mrserious73 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (32)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...