GPO aus Root auf Child-Domain anwenden

[kr244 10]

Hallo,

 

ich habe ein Problem mit einer Windows 2003 Domain.

Ist es moeglich eine GPO aus der Rootdomain auf eine Child-Domain zu linken?

 

Hintergrund ist, das ich gerne diverse Einstellungen fuer alle Child-Domains festlegen moechte.

 

Ist das technisch ueberhaupt moeglich oder muesste ich quasi alle Einstellungen auf Domain-Ebene in jeder Child-Domain machen?

 

Gruesse,

Micha

[nobex 10]

Hallo Micha,

 

Dein Vorhaben sollte funktionieren.

Btw, die GPMC ist dabei äußerst hilfreich.

 

Gruß Robert

[blub 115]

Hallo,

 

.... oder muesste ich quasi alle Einstellungen auf Domain-Ebene in jeder Child-Domain machen?

 

Kurz und einfach: so musst du es (leider) machen.

 

cu

blub

[kr244 10]

Hi, danke fuer die Antworten!

 

Es muss nicht in jeder Child-Domain gemacht werden. Man kann die GPO's in der Root-Domain einfach auf die Sites linken. Somit kann man sie prima auf die Childdomains verteilen.

 

Micha

[grizzly999 11]

Das ist so nicht der korrekte Weg, denn eine Domäne kann über verschiedene Standorte verteilt sein. Natürlich kann man die GPO an ALLE Standorte verlinken, aber dann kann ich sie genauso gut an die einzelnen Domänen verlinken, was verwaltungstechnisch korrekt wäre

 

grizzly999

[kr244 10]

Hallo grizzly,

 

sorry, aber das verstehe ich nicht.

Ich kann in der Childdomain nicht auf GPO-Objekte der Root-Domain zugreifen. Wenn ich in der Childdomain eine GPO verlinken moechte, werden mir nur die der aktuellen Child-Domain angezeigt.

 

Oder ist es so zu verstehen, dass Child-Domains quasi autark sind. Wie wuerde man es dann loesen, wenn man z.B. einen Konzern hat, der ueber eine Root-Domain verfuegt und seine Tochergesellschaften ueber ChildDomains im AD integriert hat. Auf der Root soll nun eine GPO definiert werden, die gewissen Vorgaben fuer alle Tochergesellschaften setzen soll.

Vielleicht jemand eine Idee?

 

Michael

[nobex 10]

Ich kann in der Childdomain nicht auf GPO-Objekte der Root-Domain zugreifen. Wenn ich in der Childdomain eine GPO verlinken moechte, werden mir nur die der aktuellen Child-Domain angezeigt.

Womit verwaltest Du die GPOs?

[kr244 10]

hallo nobex,

 

mit der GPMC

[nobex 10]

Dann solltest Du doch im Dialog zum Verlinken vorhandener GPOs oben im Feld 'Für Domäne:' die Domäne umswitchen können.

[kr244 10]

hey nobex,

 

stimmt du hast recht.

haette ich ja selbst drauf kommen koennen :)

 

waere es nun die "sauberere" loesung das ganze direkt auf die child-domain zu linken oder es auf der site gelinkt zu lassen?

 

michael

[grizzly999 11]

waere es nun die "sauberere" loesung das ganze direkt auf die child-domain zu linken oder es auf der site gelinkt zu lassen?

 

michael

Wie ich schon weiter oben sagte, "sauber" ist es die GPO an die Child Domains zu verlinken, denn dort willst du sie ja haben, und nicht an den Standorten.

 

grizzly999

[kr244 10]

Ok, vielen Dank. So werde ich das wohl machen.

 

Eine Frage noch zur Reihenfolge der Verarbeitung von GPOs.

Wenn ich nun von der Root-Domain aus eine GPO auf die Childdomain verlinke, diese als "Erzwungen" markiere und an die Position 1 verschiebe, so sollte diese Policy doch vor der Default Domain Policy ziehen.

Das funktioniert auch wunderbar, jedoch kann der Domain-Administrator der Childdomain den "Erzwungen-Haken" entfernen und auch die Policy-Reihenfolge aendern.

Wie kann das verhindert werden?

 

Ich wuerde gern von der Root aus ein paar Einstellungen als zwingend und nicht ueberschreibbar fuer alle Child-Domains vorgeben.

 

Vielen Dank.

 

Michael Brunn

[nobex 10]

Da wirst Du m.E. so nix machen können. Domänen-Admins sind in ihrer Domäne die Chefs und bestimmen somit, welche GPOs wo verlinkt werden (auch wenn sie die GPOs selbst nicht ändern können).