Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Können GPOs in OUs überschrieben werden?

Frage Microsoft Windows Userverwaltung

Mitglied: breppe

breppe (Level 1) - Jetzt verbinden

15.09.2011 um 15:51 Uhr, 2776 Aufrufe, 7 Kommentare

Hallo,

ich habe da mal eine Frage.

Nehmen wir an, ich habe in meiner Gruppenrichtlinienverwaltung folgende Struktur:
- Domäne
|
- OU1
|
-GPO1

Nehmen wir mal an, dass in der GPO1 in der Benutzerkonfiguration, bei den Administrativen Vorlagen -> System, der Zugriff auf die Eingabeaufforderung verhindert wird.

Es kann aber sein, dass ein spezieller Fall eintritt, und ich die Eingabeaufforderung aber NICHT verhindert haben will. Gibt es eine Möglichkeit, dass ich der OU ein zusätzliches Gruppenrichtlinienelement einfüge, die Eingabeaufforderung frei gibt? Meine zusätzlcihes Gruppenrichtlinien-Objekt müsste dann praktisch von der Verarbeitung her nach dem GPO1-Objekt kommen, bzw, die Richtlinie überschreiben.
- Domäne
|
- OU1
|
-GPO1
-GPO-Zusätzlich

Ist das möglich? Falls ja, die stelle ich das an? Oder bin ich komplett auf dem Holzweg und man macht so etwas eigentlich ganz ander? Es geht natürlich nicht nur um eine Richtlinie, sondern um mehrere, sodass es zu aufwändig wäre, diese in der GPO1 abzuändern und anschließend wieder zurück zu ändern.

Hoffe ich konnte meine Frage einigermaßen verständlich rüber bringen.

Gruß
Mitglied: BigWim
15.09.2011 um 17:08 Uhr
Moin breppe,

wenn ich Dich richtig verstanden hast - und je nachdem wie Du "spezieller Fall" definierst -, sollte sich das über die Sicherheitsfilterung und Gruppenmitgliedschaften lösen können. Hier und hier im Forum findest Du ausreichend Beispiele.

Gruß
Markus
Bitte warten ..
Mitglied: goscho
15.09.2011 um 18:12 Uhr
Mahlzeit,
ich würde zwei GPOs erstellen (einmal Verbot, einmal Erlaubnis).
Jetzt wird die benötigte mit der entsprechenden OU verknüpft.
Wenn die andere benötigt wird, wird die Verlinkung zur OU aufgehoben und die andere mit der OU verknüpft.
Gpupdate /force
Das sollte so machbar sein.
Bitte warten ..
Mitglied: BigWim
16.09.2011 um 08:14 Uhr
@goscho,

auch nett. Ich hatte das eher so verstanden, dass beide Situationen parallel auftreten können. Ich bin mal gespannt .....

Gruß
Markus
Bitte warten ..
Mitglied: Logan000
16.09.2011 um 08:24 Uhr
Moin Moin

Ich hatte das eher so verstanden, dass beide Situationen parallel auftreten können.
Nein. GPOs mit entgegengesetzten Einstellungen überschreiben einander, wenn sie auf das gleiche Object (User bzw. Computer) angewendet werden.
Die zuletzt angewendete GPO "gewinnt".
Ich meine mich zu entsinnen das die Ausführungsreihenfolge von unten nach oben verläuft.

Bei gegenteiligen Einstellungen trennst du die Anwendung am besten.
Entweder über eigene OUs oder über die Sicherheitsfilterung (siehe BigWin).

Gruß L.
Bitte warten ..
Mitglied: BigWim
16.09.2011 um 08:33 Uhr
Moin Logan000,

sorry für die Verwirrung. Bei GPO bin ich nicht so sattelfest - wie in vielen anderen Themengebieten auch

Vielleicht wenden wir das auch falsch an, aber wir durchaus mehrere GPO im Einsatz, die die gleiche Einstellung ändern.
Wenn in der Sicherheitsfilterung immer die gleiche Gruppe bzw. authentifizierte Benutzer drinne steht, dann gewinnt entsprechend der eingestellten Reihenfolge die entsprechende GPO.

Was ich meinte: Zwei GPO, die einmal die Einstellung aktivieren, einmal deaktivieren - und wer gewinnt, entscheidet die Gruppenzugehörigkeit. Setzt natürlich voraus, dass ich diese in der Sicherheitsfilterung eingetragen habe und der Benutzer entsprechend Mitglied ist.

Gruß
Markus
Bitte warten ..
Mitglied: breppe
16.09.2011 um 09:24 Uhr
Danke für eure Antworten.

und wie lege ich dann fest, dass Gruppe F über allen anderen Gruppen (A, B, C) steht? Die Gruppen haben doch auch alle die gleichen "Berechtigungsstufen"... oder täusche ich mich da?

Gruß
Bitte warten ..
Mitglied: BigWim
16.09.2011 um 09:43 Uhr
Moin breppe,

Die Gruppen haben doch auch alle die gleichen "Berechtigungsstufen"
?

Über die Sicherheitsfilterung steuerst Du die Berechtigungen.

Gruß
Markus
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
Doppelte GPOs priorisieren oder Benutzer excluden (5)

Frage von staybb zum Thema Windows Server ...

Windows 10
gelöst GPOs werden bei Win10 nicht angewendet (8)

Frage von theoberlin zum Thema Windows 10 ...

Windows Server
Server 2012 R2 GPOs werden nicht verteilt (2)

Frage von Raffael zum Thema Windows Server ...

Windows Server
gelöst GPOs für Windows 10 in Server 2008 R2: Erfahrungsberichte (8)

Frage von honeybee zum Thema Windows Server ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...