Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Gruppenrichtlinien - eingeschränkte Gruppen

Frage Microsoft Windows Server

Mitglied: Xaero1982

Xaero1982 (Level 3) - Jetzt verbinden

14.03.2013 um 11:11 Uhr, 3754 Aufrufe, 5 Kommentare, 2 Danke

Hallo Zusammen,

angenommen ich habe im AD folgende Struktur:

01.
Oberste Ebene 
02.
  Ebene 1  
03.
     Ebene 2 
04.
     Ebene 2 
05.
  Ebene 1 
06.
     Ebene 2 
07.
     Ebene 2 
08.
 
09.
usw.
Ebene 1 = OU
Ebene 2 = OU unterhalb der OU Ebene 1

Die 2. OU hat nun Gruppenrichtlinien erhalten bei der bestimmte Benutzer administrative Rechte auf die darin enthaltenen PCs bekommen haben.

Nun soll es aber einen Account geben der global für die lokale Administration der Clients benutzt werden soll.
Sprich ich möchte gerne bei der "obersten Ebene" ein GPO anlegen in der ich einen Benutzer als Admin deklariere (+Domänen Admins).

Wird dann die Richtlinie auf Ebene 2 überschrieben oder sind beide vorhanden oder nur die zweite?

Gibt es Probleme bei W7 oder XP? Die Einstellungen sind die gleichen, oder?

Gruß
Mitglied: colinardo
14.03.2013, aktualisiert um 11:40 Uhr
Hi,
Standardmäßig werden die Richtlinien vererbt d.h. sie sind kumulativ. Du kannst das Verhalten ändern z.B. das eine Richtlinie erzwungen wird (Rechtsklick auf die Verknüpfung der Richtlinie). Sollte eine Einstellung in einer OU doppelt zu einer in einer oberen Ebene sein überscheibt sie diese. Die Reihenfolge in der die Richtlinien angewendet werden, lässt sich aber auch in der obersten Ebene der GMC festlegen.
Eine weitere Möglichkeit ist der Loopback-Modus einer Richtlinie zufinden unter Computer-/Benutzer-Konfiguraton/Administrative Vorlagen/System/Gruppenrichtlinien/Loopbackverarbeitungsmodus für Benutzergruppenrichtlininen -> Dazu bitte den Hilfetext studieren.
Ein hilfreiches Tool für dafür ist auch der Gruppenrichtlinien-Modellierungs-Assistent in der GMC. Damit lassen sich die effektiv angewendeten Richtlinien simulieren.

Hoffe das hilft erst mal weiter ...
Grüße Uwe

hier noch ein Auszug aus der Hilfe der MMC:

Gruppenrichtlinieneinstellungen werden in der nachstehenden Reihenfolge verarbeitet:

1. Lokales Gruppenrichtlinienobjekt - Auf jedem Computer ist genau ein Gruppenrichtlinienobjekt lokal gespeichert. Für dieses werden Computer- und Benutzergruppenrichtlinien verarbeitet.

2. Standort - Alle Gruppenrichtlinienobjekte, die mit dem Standort des Computers verknüpft sind, werden im nächsten Schritt verarbeitet. Die Verarbeitung erfolgt in der Reihenfolge, die der Administrator in der Gruppenrichtlinien-Verwaltungskonsole auf der Registerkarte Verknüpfte Gruppenrichtlinienobjekte für den Standort angegeben hat. Das Gruppenrichtlinienobjekt mit dem niedrigsten Wert für Verknüpfungsreihenfolge wird zuletzt verarbeitet und hat daher den Vorrang.

3. Domäne - Die Verarbeitung mehrerer, mit einer Domäne verknüpfter Gruppenrichtlinienobjekte erfolgt in der Reihenfolge, die der Administrator in der Gruppenrichtlinien-Verwaltungskonsole auf der Registerkarte Verknüpfte Gruppenrichtlinienobjekte für die Domäne angegeben hat. Das Gruppenrichtlinienobjekt mit dem niedrigsten Wert für Verknüpfungsreihenfolge wird zuletzt verarbeitet und hat daher den Vorrang.

4. Organisationseinheiten - Zunächst werden die Gruppenrichtlinienobjekte verarbeitet, die mit der Organisationseinheit an der obersten Position in der Active Directory-Hierarchie verknüpft sind, dann die Gruppenrichtlinienobjekte, die mit der untergeordneten Organisationseinheit dieser Einheit verknüpft sind, usw. Abschließend werden die Gruppenrichtlinienobjekte verarbeitet, die mit der Organisationseinheit verknüpft sind, in der sich der betreffende Benutzer oder Computer befindet.
Auf der Ebene jeder Organisationseinheit in der Active Directory-Hierarchie können ein, mehrere oder keine Gruppenrichtlinienobjekte verknüpft sein. Wenn mehrere Gruppenrichtlinienobjekte mit einer Organisationseinheit verknüpft sind, erfolgt die Verarbeitung in der Reihenfolge, die der Administrator in der Gruppenrichtlinien-Verwaltungskonsole auf der Registerkarte Verknüpfte Gruppenrichtlinienobjekte für die Organisationseinheit angegeben hat. Das Gruppenrichtlinienobjekt mit dem niedrigsten Wert für Verknüpfungsreihenfolge wird zuletzt verarbeitet und hat daher den Vorrang.

Diese Reihenfolge bedeutet, dass das lokale Gruppenrichtlinienobjekt zuerst verarbeitet wird. Gruppenrichtlinienobjekte, die mit der Organisationseinheit verknüpft sind, deren direktes Mitglied der Computer oder der Benutzer ist, werden zuletzt verarbeitet. Im Fall von Konflikten werden so die Einstellungen in den früheren Gruppenrichtlinienobjekten überschrieben. (Treten keine Konflikte auf, werden die früheren und späteren Einstellungen einfach aggregiert).

Ausnahmen von der Standardverarbeitungsreihenfolge der Einstellungen
Bei der Standardreihenfolge für die Verarbeitung von Einstellungen gelten die folgenden Ausnahmen:

Eine Gruppenrichtlinienobjekt-Verknüpfung kann den Status Erzwungen oder Deaktiviert oder beide aufweisen. Standardmäßig ist eine Gruppenrichtlinienobjekt-Verknüpfung weder erzwungen noch deaktiviert.
Für ein Gruppenrichtlinienobjekt können die Benutzereinstellungen, die Computereinstellungen oder alle Einstellungen deaktiviert sein. Standardmäßig sind bei einem Gruppenrichtlinienobjekt weder die Benutzer- noch die Computereinstellungen deaktiviert.
Für eine Organisationseinheit oder eine Domäne kann die Option Vererbung deaktivieren festgelegt sein. Vererbung deaktivieren ist standardmäßig nicht festgelegt.
Informationen zu den oben genannten Änderungen am Standardverhalten finden Sie unter Verwalten der Vererbung von Gruppenrichtlinien.

Bei einem Computer, der zu einer Arbeitsgruppe gehört, wird lediglich das lokale Gruppenrichtlinienobjekt verarbeitet.
Das Loopback kann aktiviert sein. Informationen zum Loopback finden Sie unter Loopbackverarbeitung mit Zusammenführen oder Ersetzen.
Bitte warten ..
Mitglied: Xaero1982
14.03.2013 um 11:48 Uhr
Hi,

danke erst mal für die ausführliche Antwort

Zusammengefasst werde ich wohl einfach den Benutzer zusätzlich in die bereits vorhandenen OUs der zweiten Ebene hinzufügen. Bei den anderen OUs greift ja dann die Richtlinie aus der obersten Ebene.

Gruß
Bitte warten ..
Mitglied: n4426
14.03.2013 um 15:51 Uhr
Hi Xaero,

noch ein kleiner Tipp. Füg in der GPO keinen Benutzer der Lokalen Admin-Gruppe hinzu sonderen eine Gruppe aus der Domain, damit kannst du dann ganz einfach auch den User wechseln oder weitere hinzufügen, ohne dass du wieder alle GPOs anfassen musst.

mfg
n4426
Bitte warten ..
Mitglied: Xaero1982
14.03.2013 um 18:43 Uhr
Hi,

nach zwei mal lesen hab ichs dann auch verstanden ;)

Du meinst:

- Gruppe anlegen im AD
- Dort Benutzer X eintragen
- Die besagte Gruppe in den Richtlinien hinzufügen

Right?


Apropo: Gibt es eine Möglichkeit einen Benutzer zu erstellen, der Benutzer im AD anlegen kann bzw. auch via Exchange Shell ohne, dass dieser Zugriff auf die Server hat?

Gruß
Bitte warten ..
Mitglied: n4426
14.03.2013 um 20:14 Uhr
Hi,

genau das meinte ich.

Einem Benutzer das Recht zu geben User anzulgen ist möglich (google mal nach Objektverwaltung zuweise). Ob das auch mit Exchange Shell geht musst du ausprobieren.

mfg
n4426
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(3)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
gelöst Gruppenrichtlinien-Vorlage Office 2013 auf einem DC 2003 (5)

Frage von bluepython zum Thema Windows Server ...

Windows 10
gelöst Microsoft Konten blockieren Gruppenrichtlinien (7)

Frage von markaurel zum Thema Windows 10 ...

Windows Server
gelöst W2k8 + W2k12 -Domänen Vertrauensstellung - Gruppen (3)

Frage von cordial zum Thema Windows Server ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...