Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Gruppenrichtlinien - eingeschränkte Gruppen

Frage Microsoft Windows Server

Mitglied: Xaero1982

Xaero1982 (Level 3) - Jetzt verbinden

14.03.2013 um 11:11 Uhr, 3888 Aufrufe, 5 Kommentare, 2 Danke

Hallo Zusammen,

angenommen ich habe im AD folgende Struktur:

01.
Oberste Ebene 
02.
  Ebene 1  
03.
     Ebene 2 
04.
     Ebene 2 
05.
  Ebene 1 
06.
     Ebene 2 
07.
     Ebene 2 
08.
 
09.
usw.
Ebene 1 = OU
Ebene 2 = OU unterhalb der OU Ebene 1

Die 2. OU hat nun Gruppenrichtlinien erhalten bei der bestimmte Benutzer administrative Rechte auf die darin enthaltenen PCs bekommen haben.

Nun soll es aber einen Account geben der global für die lokale Administration der Clients benutzt werden soll.
Sprich ich möchte gerne bei der "obersten Ebene" ein GPO anlegen in der ich einen Benutzer als Admin deklariere (+Domänen Admins).

Wird dann die Richtlinie auf Ebene 2 überschrieben oder sind beide vorhanden oder nur die zweite?

Gibt es Probleme bei W7 oder XP? Die Einstellungen sind die gleichen, oder?

Gruß
Mitglied: colinardo
14.03.2013, aktualisiert um 11:40 Uhr
Hi,
Standardmäßig werden die Richtlinien vererbt d.h. sie sind kumulativ. Du kannst das Verhalten ändern z.B. das eine Richtlinie erzwungen wird (Rechtsklick auf die Verknüpfung der Richtlinie). Sollte eine Einstellung in einer OU doppelt zu einer in einer oberen Ebene sein überscheibt sie diese. Die Reihenfolge in der die Richtlinien angewendet werden, lässt sich aber auch in der obersten Ebene der GMC festlegen.
Eine weitere Möglichkeit ist der Loopback-Modus einer Richtlinie zufinden unter Computer-/Benutzer-Konfiguraton/Administrative Vorlagen/System/Gruppenrichtlinien/Loopbackverarbeitungsmodus für Benutzergruppenrichtlininen -> Dazu bitte den Hilfetext studieren.
Ein hilfreiches Tool für dafür ist auch der Gruppenrichtlinien-Modellierungs-Assistent in der GMC. Damit lassen sich die effektiv angewendeten Richtlinien simulieren.

Hoffe das hilft erst mal weiter ...
Grüße Uwe

hier noch ein Auszug aus der Hilfe der MMC:

Gruppenrichtlinieneinstellungen werden in der nachstehenden Reihenfolge verarbeitet:

1. Lokales Gruppenrichtlinienobjekt - Auf jedem Computer ist genau ein Gruppenrichtlinienobjekt lokal gespeichert. Für dieses werden Computer- und Benutzergruppenrichtlinien verarbeitet.

2. Standort - Alle Gruppenrichtlinienobjekte, die mit dem Standort des Computers verknüpft sind, werden im nächsten Schritt verarbeitet. Die Verarbeitung erfolgt in der Reihenfolge, die der Administrator in der Gruppenrichtlinien-Verwaltungskonsole auf der Registerkarte Verknüpfte Gruppenrichtlinienobjekte für den Standort angegeben hat. Das Gruppenrichtlinienobjekt mit dem niedrigsten Wert für Verknüpfungsreihenfolge wird zuletzt verarbeitet und hat daher den Vorrang.

3. Domäne - Die Verarbeitung mehrerer, mit einer Domäne verknüpfter Gruppenrichtlinienobjekte erfolgt in der Reihenfolge, die der Administrator in der Gruppenrichtlinien-Verwaltungskonsole auf der Registerkarte Verknüpfte Gruppenrichtlinienobjekte für die Domäne angegeben hat. Das Gruppenrichtlinienobjekt mit dem niedrigsten Wert für Verknüpfungsreihenfolge wird zuletzt verarbeitet und hat daher den Vorrang.

4. Organisationseinheiten - Zunächst werden die Gruppenrichtlinienobjekte verarbeitet, die mit der Organisationseinheit an der obersten Position in der Active Directory-Hierarchie verknüpft sind, dann die Gruppenrichtlinienobjekte, die mit der untergeordneten Organisationseinheit dieser Einheit verknüpft sind, usw. Abschließend werden die Gruppenrichtlinienobjekte verarbeitet, die mit der Organisationseinheit verknüpft sind, in der sich der betreffende Benutzer oder Computer befindet.
Auf der Ebene jeder Organisationseinheit in der Active Directory-Hierarchie können ein, mehrere oder keine Gruppenrichtlinienobjekte verknüpft sein. Wenn mehrere Gruppenrichtlinienobjekte mit einer Organisationseinheit verknüpft sind, erfolgt die Verarbeitung in der Reihenfolge, die der Administrator in der Gruppenrichtlinien-Verwaltungskonsole auf der Registerkarte Verknüpfte Gruppenrichtlinienobjekte für die Organisationseinheit angegeben hat. Das Gruppenrichtlinienobjekt mit dem niedrigsten Wert für Verknüpfungsreihenfolge wird zuletzt verarbeitet und hat daher den Vorrang.

Diese Reihenfolge bedeutet, dass das lokale Gruppenrichtlinienobjekt zuerst verarbeitet wird. Gruppenrichtlinienobjekte, die mit der Organisationseinheit verknüpft sind, deren direktes Mitglied der Computer oder der Benutzer ist, werden zuletzt verarbeitet. Im Fall von Konflikten werden so die Einstellungen in den früheren Gruppenrichtlinienobjekten überschrieben. (Treten keine Konflikte auf, werden die früheren und späteren Einstellungen einfach aggregiert).

Ausnahmen von der Standardverarbeitungsreihenfolge der Einstellungen
Bei der Standardreihenfolge für die Verarbeitung von Einstellungen gelten die folgenden Ausnahmen:

Eine Gruppenrichtlinienobjekt-Verknüpfung kann den Status Erzwungen oder Deaktiviert oder beide aufweisen. Standardmäßig ist eine Gruppenrichtlinienobjekt-Verknüpfung weder erzwungen noch deaktiviert.
Für ein Gruppenrichtlinienobjekt können die Benutzereinstellungen, die Computereinstellungen oder alle Einstellungen deaktiviert sein. Standardmäßig sind bei einem Gruppenrichtlinienobjekt weder die Benutzer- noch die Computereinstellungen deaktiviert.
Für eine Organisationseinheit oder eine Domäne kann die Option Vererbung deaktivieren festgelegt sein. Vererbung deaktivieren ist standardmäßig nicht festgelegt.
Informationen zu den oben genannten Änderungen am Standardverhalten finden Sie unter Verwalten der Vererbung von Gruppenrichtlinien.

Bei einem Computer, der zu einer Arbeitsgruppe gehört, wird lediglich das lokale Gruppenrichtlinienobjekt verarbeitet.
Das Loopback kann aktiviert sein. Informationen zum Loopback finden Sie unter Loopbackverarbeitung mit Zusammenführen oder Ersetzen.
Bitte warten ..
Mitglied: Xaero1982
14.03.2013 um 11:48 Uhr
Hi,

danke erst mal für die ausführliche Antwort

Zusammengefasst werde ich wohl einfach den Benutzer zusätzlich in die bereits vorhandenen OUs der zweiten Ebene hinzufügen. Bei den anderen OUs greift ja dann die Richtlinie aus der obersten Ebene.

Gruß
Bitte warten ..
Mitglied: n4426
14.03.2013 um 15:51 Uhr
Hi Xaero,

noch ein kleiner Tipp. Füg in der GPO keinen Benutzer der Lokalen Admin-Gruppe hinzu sonderen eine Gruppe aus der Domain, damit kannst du dann ganz einfach auch den User wechseln oder weitere hinzufügen, ohne dass du wieder alle GPOs anfassen musst.

mfg
n4426
Bitte warten ..
Mitglied: Xaero1982
14.03.2013 um 18:43 Uhr
Hi,

nach zwei mal lesen hab ichs dann auch verstanden ;)

Du meinst:

- Gruppe anlegen im AD
- Dort Benutzer X eintragen
- Die besagte Gruppe in den Richtlinien hinzufügen

Right?


Apropo: Gibt es eine Möglichkeit einen Benutzer zu erstellen, der Benutzer im AD anlegen kann bzw. auch via Exchange Shell ohne, dass dieser Zugriff auf die Server hat?

Gruß
Bitte warten ..
Mitglied: n4426
14.03.2013 um 20:14 Uhr
Hi,

genau das meinte ich.

Einem Benutzer das Recht zu geben User anzulgen ist möglich (google mal nach Objektverwaltung zuweise). Ob das auch mit Exchange Shell geht musst du ausprobieren.

mfg
n4426
Bitte warten ..
Ähnliche Inhalte
Windows Server
gelöst Gruppenrichtlinien werden am Server nicht angezeigt (Rsop) (5)

Frage von deredvtyp zum Thema Windows Server ...

Entwicklung
gelöst OTRS LDAP Gruppen Sync (2)

Frage von Chonta zum Thema Entwicklung ...

Batch & Shell
gelöst AD-Gruppen Auswahl als Dropdownliste (4)

Frage von Peterz zum Thema Batch & Shell ...

Neue Wissensbeiträge
Heiß diskutierte Inhalte
Rechtliche Fragen
gelöst Geschäftsführer Email gefaked (17)

Frage von xbast1x zum Thema Rechtliche Fragen ...

Vmware
gelöst Update auf ESXI 6.5 Installieren (15)

Frage von zeroblue2005 zum Thema Vmware ...

Festplatten, SSD, Raid
gelöst Welche Software für Bandlaufwerk (14)

Frage von djonas zum Thema Festplatten, SSD, Raid ...

iOS
IPhone wird ferngesteuert Hacker? (12)

Frage von Akcent zum Thema iOS ...