Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Gruppenrichtlinien - eingeschränkte Gruppen

Frage Microsoft Windows Server

Mitglied: Xaero1982

Xaero1982 (Level 4) - Jetzt verbinden

14.03.2013 um 11:11 Uhr, 3955 Aufrufe, 5 Kommentare, 2 Danke

Hallo Zusammen,

angenommen ich habe im AD folgende Struktur:

01.
Oberste Ebene 
02.
  Ebene 1  
03.
     Ebene 2 
04.
     Ebene 2 
05.
  Ebene 1 
06.
     Ebene 2 
07.
     Ebene 2 
08.
 
09.
usw.
Ebene 1 = OU
Ebene 2 = OU unterhalb der OU Ebene 1

Die 2. OU hat nun Gruppenrichtlinien erhalten bei der bestimmte Benutzer administrative Rechte auf die darin enthaltenen PCs bekommen haben.

Nun soll es aber einen Account geben der global für die lokale Administration der Clients benutzt werden soll.
Sprich ich möchte gerne bei der "obersten Ebene" ein GPO anlegen in der ich einen Benutzer als Admin deklariere (+Domänen Admins).

Wird dann die Richtlinie auf Ebene 2 überschrieben oder sind beide vorhanden oder nur die zweite?

Gibt es Probleme bei W7 oder XP? Die Einstellungen sind die gleichen, oder?

Gruß
Mitglied: colinardo
14.03.2013, aktualisiert um 11:40 Uhr
Hi,
Standardmäßig werden die Richtlinien vererbt d.h. sie sind kumulativ. Du kannst das Verhalten ändern z.B. das eine Richtlinie erzwungen wird (Rechtsklick auf die Verknüpfung der Richtlinie). Sollte eine Einstellung in einer OU doppelt zu einer in einer oberen Ebene sein überscheibt sie diese. Die Reihenfolge in der die Richtlinien angewendet werden, lässt sich aber auch in der obersten Ebene der GMC festlegen.
Eine weitere Möglichkeit ist der Loopback-Modus einer Richtlinie zufinden unter Computer-/Benutzer-Konfiguraton/Administrative Vorlagen/System/Gruppenrichtlinien/Loopbackverarbeitungsmodus für Benutzergruppenrichtlininen -> Dazu bitte den Hilfetext studieren.
Ein hilfreiches Tool für dafür ist auch der Gruppenrichtlinien-Modellierungs-Assistent in der GMC. Damit lassen sich die effektiv angewendeten Richtlinien simulieren.

Hoffe das hilft erst mal weiter ...
Grüße Uwe

hier noch ein Auszug aus der Hilfe der MMC:

Gruppenrichtlinieneinstellungen werden in der nachstehenden Reihenfolge verarbeitet:

1. Lokales Gruppenrichtlinienobjekt - Auf jedem Computer ist genau ein Gruppenrichtlinienobjekt lokal gespeichert. Für dieses werden Computer- und Benutzergruppenrichtlinien verarbeitet.

2. Standort - Alle Gruppenrichtlinienobjekte, die mit dem Standort des Computers verknüpft sind, werden im nächsten Schritt verarbeitet. Die Verarbeitung erfolgt in der Reihenfolge, die der Administrator in der Gruppenrichtlinien-Verwaltungskonsole auf der Registerkarte Verknüpfte Gruppenrichtlinienobjekte für den Standort angegeben hat. Das Gruppenrichtlinienobjekt mit dem niedrigsten Wert für Verknüpfungsreihenfolge wird zuletzt verarbeitet und hat daher den Vorrang.

3. Domäne - Die Verarbeitung mehrerer, mit einer Domäne verknüpfter Gruppenrichtlinienobjekte erfolgt in der Reihenfolge, die der Administrator in der Gruppenrichtlinien-Verwaltungskonsole auf der Registerkarte Verknüpfte Gruppenrichtlinienobjekte für die Domäne angegeben hat. Das Gruppenrichtlinienobjekt mit dem niedrigsten Wert für Verknüpfungsreihenfolge wird zuletzt verarbeitet und hat daher den Vorrang.

4. Organisationseinheiten - Zunächst werden die Gruppenrichtlinienobjekte verarbeitet, die mit der Organisationseinheit an der obersten Position in der Active Directory-Hierarchie verknüpft sind, dann die Gruppenrichtlinienobjekte, die mit der untergeordneten Organisationseinheit dieser Einheit verknüpft sind, usw. Abschließend werden die Gruppenrichtlinienobjekte verarbeitet, die mit der Organisationseinheit verknüpft sind, in der sich der betreffende Benutzer oder Computer befindet.
Auf der Ebene jeder Organisationseinheit in der Active Directory-Hierarchie können ein, mehrere oder keine Gruppenrichtlinienobjekte verknüpft sein. Wenn mehrere Gruppenrichtlinienobjekte mit einer Organisationseinheit verknüpft sind, erfolgt die Verarbeitung in der Reihenfolge, die der Administrator in der Gruppenrichtlinien-Verwaltungskonsole auf der Registerkarte Verknüpfte Gruppenrichtlinienobjekte für die Organisationseinheit angegeben hat. Das Gruppenrichtlinienobjekt mit dem niedrigsten Wert für Verknüpfungsreihenfolge wird zuletzt verarbeitet und hat daher den Vorrang.

Diese Reihenfolge bedeutet, dass das lokale Gruppenrichtlinienobjekt zuerst verarbeitet wird. Gruppenrichtlinienobjekte, die mit der Organisationseinheit verknüpft sind, deren direktes Mitglied der Computer oder der Benutzer ist, werden zuletzt verarbeitet. Im Fall von Konflikten werden so die Einstellungen in den früheren Gruppenrichtlinienobjekten überschrieben. (Treten keine Konflikte auf, werden die früheren und späteren Einstellungen einfach aggregiert).

Ausnahmen von der Standardverarbeitungsreihenfolge der Einstellungen
Bei der Standardreihenfolge für die Verarbeitung von Einstellungen gelten die folgenden Ausnahmen:

Eine Gruppenrichtlinienobjekt-Verknüpfung kann den Status Erzwungen oder Deaktiviert oder beide aufweisen. Standardmäßig ist eine Gruppenrichtlinienobjekt-Verknüpfung weder erzwungen noch deaktiviert.
Für ein Gruppenrichtlinienobjekt können die Benutzereinstellungen, die Computereinstellungen oder alle Einstellungen deaktiviert sein. Standardmäßig sind bei einem Gruppenrichtlinienobjekt weder die Benutzer- noch die Computereinstellungen deaktiviert.
Für eine Organisationseinheit oder eine Domäne kann die Option Vererbung deaktivieren festgelegt sein. Vererbung deaktivieren ist standardmäßig nicht festgelegt.
Informationen zu den oben genannten Änderungen am Standardverhalten finden Sie unter Verwalten der Vererbung von Gruppenrichtlinien.

Bei einem Computer, der zu einer Arbeitsgruppe gehört, wird lediglich das lokale Gruppenrichtlinienobjekt verarbeitet.
Das Loopback kann aktiviert sein. Informationen zum Loopback finden Sie unter Loopbackverarbeitung mit Zusammenführen oder Ersetzen.
Bitte warten ..
Mitglied: Xaero1982
14.03.2013 um 11:48 Uhr
Hi,

danke erst mal für die ausführliche Antwort

Zusammengefasst werde ich wohl einfach den Benutzer zusätzlich in die bereits vorhandenen OUs der zweiten Ebene hinzufügen. Bei den anderen OUs greift ja dann die Richtlinie aus der obersten Ebene.

Gruß
Bitte warten ..
Mitglied: n4426
14.03.2013 um 15:51 Uhr
Hi Xaero,

noch ein kleiner Tipp. Füg in der GPO keinen Benutzer der Lokalen Admin-Gruppe hinzu sonderen eine Gruppe aus der Domain, damit kannst du dann ganz einfach auch den User wechseln oder weitere hinzufügen, ohne dass du wieder alle GPOs anfassen musst.

mfg
n4426
Bitte warten ..
Mitglied: Xaero1982
14.03.2013 um 18:43 Uhr
Hi,

nach zwei mal lesen hab ichs dann auch verstanden ;)

Du meinst:

- Gruppe anlegen im AD
- Dort Benutzer X eintragen
- Die besagte Gruppe in den Richtlinien hinzufügen

Right?


Apropo: Gibt es eine Möglichkeit einen Benutzer zu erstellen, der Benutzer im AD anlegen kann bzw. auch via Exchange Shell ohne, dass dieser Zugriff auf die Server hat?

Gruß
Bitte warten ..
Mitglied: n4426
14.03.2013 um 20:14 Uhr
Hi,

genau das meinte ich.

Einem Benutzer das Recht zu geben User anzulgen ist möglich (google mal nach Objektverwaltung zuweise). Ob das auch mit Exchange Shell geht musst du ausprobieren.

mfg
n4426
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk
Gruppenrichtlinien zuweisen: Auch an Gruppen möglich?
gelöst Frage von Thomas-RWindows Netzwerk9 Kommentare

Hallo zusammen, ich habe mal wieder eine Frage. Seit einiger Zeit beschäftige ich mich mit Gruppenrichtlinien und deren Anwendungsmöglichkeiten. ...

Windows Server
Gruppenrichtlinien finden keine Anwendung sobald AD-Gruppe in Sicherheitsfilterung eingetragen ist
gelöst Frage von SteveDNWindows Server4 Kommentare

Hallo zusammen, Über google etc. komme ich nicht weiter. Ich habe diverse GPOs die auf Domänen-Ebene verknüpft sind. Bis ...

Microsoft
Eingeschränkte Shell für Benutzer erstellen
gelöst Frage von ribrobMicrosoft7 Kommentare

Hallo, ich möchte einem Domänennutzer nur eingeschränkte Zugriffsrechte an einem Domänen-PC erteilen (Windows 7). Welche Möglichkeiten sind die am ...

Netzwerke
Upload bei Router eingeschränkt
Frage von rich500Netzwerke18 Kommentare

Hallo, bin ein relativ unwissender und würde eure Hilfe benötigen. Habe einen Load Balance Router (Tp Link ER 5120) ...

Neue Wissensbeiträge
Microsoft Office

Office 2010 Starter erneut auf einer frischen Windows-Version installieren

Tipp von Lochkartenstanzer vor 16 StundenMicrosoft Office6 Kommentare

Moin, vor ein paar Tagen schlug bei mir ein Kunde auf, der sein Widnows 7 geschrottet und es inklusive ...

Datenbanken

Upgrade MongoDB 3.4 auf 3.6

Erfahrungsbericht von Frank vor 18 StundenDatenbanken

Seit kurzem gibt es das 3.6 Update für die MongoDB: Sicherheit, das Sortieren, Aggregation und auch die Performance wurde ...

SAN, NAS, DAS

Backdoor Zugang und Upload-Bug in vielen Western Digital MyCloud Geräten

Information von Frank vor 19 StundenSAN, NAS, DAS2 Kommentare

James Bercegay von der Firma Gulftech hat die Fehler an Western Digital gemeldet und das Unternehmen stellt bereits ein ...

Microsoft Office

Outlook 2016 - Beim Weiterleiten keine PDF Anhänge mehr - KB4011626 entfernen

Erfahrungsbericht von Deepsys vor 22 StundenMicrosoft Office3 Kommentare

Wenn ihr feststellt das ihr beim Weiterleiten von E-Mails keine PDF Anhänge mehr versendent, dann dankt Microsoft. Diese tolle ...

Heiß diskutierte Inhalte
Windows Netzwerk
Drucker isolieren in Windows Domäne
gelöst Frage von lcer00Windows Netzwerk14 Kommentare

Hallo zusammen, habe eine Windows-AD (2012R2) in der es einen Druckerserver gibt. Mittlerweile verliere ich das Vertrauen in die ...

Server-Hardware
Veeam Backup Server stürzt alle paar Tage ab
Frage von Leo-leServer-Hardware12 Kommentare

Hallo Forum, ich habe momentan folgendes Problem. Veeam Backup and Replication 9.5 u2 auf voll gepatchten DL 380 G7 ...

Windows 10
Windows10-Schnellzugriff per Kommandozeile bearbeiten
Frage von SarekHLWindows 1010 Kommentare

Hallo zusammen, weiß jemand, wie ich per Kommandozeile (in einem Logon-Script) den persönlichen Dokumentenordner aus dem Schnellzugriff entferne den ...

Batch & Shell
Dateien verschieben mit batch
gelöst Frage von michi-ffmBatch & Shell10 Kommentare

Hallo Zusammen hat jemand evtl eine Idee? Zunächst hier das Skript: Leider werden keine UNC-Pfade unterstüzt, kann mir jemand ...