Jump to content

GPO's Vererbung


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo!

 

Mal ne allgemeine Frage. Ihr wisst ja sicherlicher, in welcher Reihenfolge die Richtlinien angewendet werden. Erst lokale, dann Standort, dann Domain und dann die OU's.

 

Jetzt mein Prob. Ich definiere z.B. auf Standortebene die Richtlinie, dass im Kontextmenü vom Arbeitsplatz die Eigenschaften entweder angezeigt oder ausgeblendet werden.

 

Wenn ich auf Standortebene diese Richtlinie "deaktiviere", dann heisst das ja meiner Meinung nach soviel, dass diese Richtlinie unverändert bleibt. Aktiviere ich jetzt hingegen in der Domain GPO diese Richtlinie, dann blendet es das Eigenschaftsfeld aus.

 

Logisch oder unlogisch, dass ist die Frage :confused:

Meiner Meinung nach unlogisch, da ich ja durch "deaktivieren" quasi ein Überschreiben einer späteren GPO verhindern möchte.

 

Wie seht ihr das?

 

Danke

Cyco

Link zu diesem Kommentar
Hallo!

 

Mal ne allgemeine Frage. Ihr wisst ja sicherlicher, in welcher Reihenfolge die Richtlinien angewendet werden.

Ja, weiß ich :D

 

Wenn ich auf Standortebene diese Richtlinie "deaktiviere", dann heisst das ja meiner Meinung nach soviel, dass diese Richtlinie unverändert bleibt.

Nein, deaktivieren heißt deaktivieren dieser Richtlinieneinstellung. bei den Richtlinien unter "Administrative Vorlagen" ist immer eine gute Erklärung dabei, hast du die mal gelesen, was beim Deaktivieren genau passiert? Solltest du immer tun ;)

 

Aktiviere ich jetzt hingegen in der Domain GPO diese Richtlinie, dann blendet es das Eigenschaftsfeld aus.

Es wird die Richtlinieneinstellung des Standort überschrieben, also die Einstellug aktiviert.

 

Logisch oder unlogisch, dass ist die Frage :confused:
Logisch

 

Meiner Meinung nach unlogisch, da ich ja durch "deaktivieren" quasi ein Überschreiben einer späteren GPO verhindern möchte.

Wo steht das? Wenn eine spätere Richtlinie (hier an der Domäne) die Einstellung anders setzt, ist diese spätere Einstellung wirksam, das ist die Standard-Konfliklösung bei Gruppenrichtlinen (Lichstschalterprinzip)

Link zu diesem Kommentar
bei den Richtlinien unter "Administrative Vorlagen" ist immer eine gute Erklärung dabei, hast du die mal gelesen, was beim Deaktivieren genau passiert? Solltest du immer tun

 

Habe ich und da steht -> Gibt an, dass die Registrierung einen Hinweis darauf enthält das die Richtlinie nicht für Benutzer oder Computer gelten soll, für die dieses GPO Objekt gilt <-

 

Ja und das klingt für mich eben auch so, dass eben später ziehende GPO's machen können was sie wollen, ohne Einfluss auf diese zu haben. Wäre ja meiner Meinung nach auch logischer, weil wenn man nicht will das eine spätere GPO die vorherige überschreiben soll.

Oder anders ausgedrückt, wie kann ich denn sonst verhindern, dass ein Domänenadmin Einstellungen vornimmt, die ich in meinem Standort gar nich haben will. Außer jetzt die komplette Vererbung von oben zu verhindern. Wenn ich das richtig verstanden habe, dann hat ja auch die Standort GPO Vorang gegbenüber Domian GPO.

Mal am Bsp. Ein Domäne mit 3 Standorten. Der DomänenAdmin würde für alle Sites das Eigenschaftsfeld ausblenden lassen. Jetzt hätte ja ein Standortadmin keine Chance dieses zuverhindern (obwohl die Site GPO eine höhere Prio hätte), außer eben die komplette Vererbung von oben zu deaktivieren. Wo soll da die Logic liegen???

 

Und außerdem wo soll dann der Unterschied zwischen "Nicht konf." und "deaktiviert" liegen, wenn beide eigentlich von oben her übschrieben werden können.

 

EDIT: Oder ist das so zu verstehen, dass die lokale GPO von der Standort GPO und die Standort GPO von der Domänen GPO "quasi" überschrieben wird? Also wie du schon schreibst oben, dass die Domian GPO die höchste Prio dann hat?

 

Danke

Cyco

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...