Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Vererbung deaktivieren zieht nicht (GPO)

Frage Microsoft Windows Server

Mitglied: patrickebert

patrickebert (Level 1) - Jetzt verbinden

07.01.2015, aktualisiert 15:04 Uhr, 2477 Aufrufe, 8 Kommentare

Moin,

ich bin mal wieder am testen und zwar habe ich folgendes Problem in der Gruppenrichtlinienverwaltung.
Wie Ihr vielleicht beim Bild sehen könnt ist an oberster Stelle die GPO "Default Domain Policy" welche sich auf alle OU´s auswirkt.
Dies dürfte aber eigentlich nicht sein, da ich die Vererbung bei Server und test1 deaktiviert habe.
Wenn ich dies aber teste zieht dennoch die Gruppenrichtlinie (Default Domain Policy)

Habt ihr da einen Tipp für mich?

54d858b8c633e0c55dcb9b3dc3c95ef2 - Klicke auf das Bild, um es zu vergrößern
Mitglied: Criemo
07.01.2015 um 15:39 Uhr
Hallo Partickebert,

also teile der DDP werden immer vererbt, egal ob du die Vererbung deaktivierst oder nicht ( z.b. Passwortrichtlinien).
Wenn du diese Teile auch von der Vererbung ausschließen möchtest, dann musst du auch die vererbung der DDCP deaktivieren.
Doch Vorsicht ist geboten.....


VG
Criemo
Bitte warten ..
Mitglied: patrickebert
07.01.2015 um 15:55 Uhr
Aber diese DDCP steht doch nicht mit an oberster Stelle?!? Daher kann ich die Vererbung dort nicht ausschalten unter test1 und Server.
Mein Problem ist das bei mir ein Skript läuft welches in der DDP eingebunden ist und dieses auf allen OU ausgeführt wird und das obwohl ich die Vererbung deaktiviert habe.
Bitte warten ..
Mitglied: Criemo
07.01.2015 um 16:00 Uhr
gpupdate gemacht....
Bitte warten ..
Mitglied: patrickebert
07.01.2015 um 16:01 Uhr
jop, auch unter Active Diretory-Standorte und Dienste die jeweiligen Server repliziert.
Bitte warten ..
Mitglied: exchange
08.01.2015 um 08:05 Uhr
Hallo,
da kannst Du so viel updaten wie Du möchtest, dass funktioniert nicht.
Die beiden default policys wirst Du immer sehen, daher stellt man da auch eigentlich nichts dran rum. Von dieser Regel sind Kennwortrichtlinien ausgenommen, da die dann definitiv immer und überall vertreten sind.

Gruß
Bitte warten ..
Mitglied: Logan000
08.01.2015 um 11:21 Uhr
Moin Moin,

Zitat von exchange:
.. daher stellt man da auch eigentlich nichts dran rum. Von dieser Regel sind
Kennwortrichtlinien ausgenommen, da die dann definitiv immer und überall vertreten sind.
Genau.

Mal abgesehen davon das es keinen Sinn macht die Vererbung der DDP (genau so wie die DDCP) zu deaktivieren, was bringt dich auf die Idee das die Richtlinien auf Benutzer/Computer in den Betroffenen OUs weiterhin angewendet werden?
Das die Einstellungen weiterhin greifen? Klar tun Sie das.

GPOs nehmen Einstellungen an den Clients vor. Wird eine Richtlinie deaktiviert bzw. über verweigerte Vererbung nicht mehr angewendet, sind deswegen die Einstellungen am Client nicht rückgängig gemacht.

Um zu sehen welche GPOs angewendet werden erstelle ein Richtlinienergebnis in der GPMC.

Gruß L.
Bitte warten ..
Mitglied: patrickebert
08.01.2015 um 15:08 Uhr
Die sollen ja nicht weiterhin greifen, zum Beispiel bei Servern wie du vllt an meinen Strukturbaum sehen kannst.
Server müssen meiner Meinung die Logon.cmd nicht ausführen, da dies nur unnötig Ressourcen wegnimmt.
Wie gesagt auch schon oben erwähnt bin ich am testen ob dies irgendwie möglich ist, was es ja eigentlich sein sollte?

Wenn ich ein gpresult /u:username /s: Rechnername /v ausführe sehe ich das die Computerrichtlinien nicht vererbt wurden sind, aber die Benutzerrichtlinien und daher auch die LOGON.CMD ausgeführt wird über die DDP.
Verstehe dies nicht so ganz da ja eigentlich ja nur die Kennwortrichtlinien greifen sollten.
Bitte warten ..
Mitglied: Logan000
09.01.2015 um 13:28 Uhr
Moin moin,

Verabschiede die von der Vorstellung das die Richtlinie das Skript ausführt. Das tut Sie nicht.
Sondern Richtlinien nehmen nur Einstellungen vor. z.B. bei der Anmeldung eines Benutzers ein LOGON.CMD auszuführen.
Wenn du dann die Vererbung deaktivierst, deaktivierst du nur das verteilen (oder auch aktualisieren) der Einstellungen.
Diese sind aber bereits am Rechner vorhanden und werden auch weiterhin verwendet.

Zitat von patrickebert:
Die sollen ja nicht weiterhin greifen, zum Beispiel bei Servern wie du vllt an meinen Strukturbaum sehen kannst.
Server müssen meiner Meinung die Logon.cmd nicht ausführen, da dies nur unnötig Ressourcen wegnimmt.
Wie gesagt auch schon oben erwähnt bin ich am testen ob dies irgendwie möglich ist, was es ja eigentlich sein sollte?

Es ist natürlich möglich. Vorschlag:
1. Aktiviere wieder die Vererbung der Richtlinien.
2. Stelle in der DDP. ein das kein LOGON.CMD ausgeführt wird.
3. Erstelle eine neue eigene GPO für dein Skript.

Gruß L.

.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows 10
gelöst Windows 10 nach Hause telefonieren deaktivieren via GPO? (2)

Frage von Hawkzton zum Thema Windows 10 ...

Windows Server
gelöst GPO: Systemeinstellungen deaktivieren (2)

Frage von cyberfreak zum Thema Windows Server ...

Windows 10
gelöst Bildschirm drehen per GPO deaktivieren bzw. verhindern (6)

Frage von d3x1984 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (29)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...