Jump to content

GPO Verständniss Frage


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

hallo,

 

folgende Frage

 

wenn ich zb auf eine OU Vertrieb eine GPO Verlinke mit irgendeiner aktion

 

in dieser OU zb 5 Leude von Vertrieb sind und 2 User (Vertrieb extern)

 

und ich eine GOp auf die OU setzte gilt das ja für alle IN DIESER OU!!!

 

wenn NUN aber für diese 2 User(Vertrieb ext) die GPO NICHT gelten soll

 

kann ich doch dann

 

a) in den Sicherheitseinstellungen der GPO das Gruppenrichtlinen übernehmen verweigern!!

b) die 2 User zu dieser GPO hinzufügen und auf Lesen Verweigern oder?

 

geht doch beides oder?

oder wie wäre der "the best way"

 

ich freue mich auf antworten

 

ps

 

kann man im gruppenrichtlinien verwaltungseditor gpedit

suchen, oder einen Filter verwenden, da sucht mann sich ja nen wolf :(

zu meiner frage

 

ich habe eine OU Warehouse habe eine GPO verlinkt, sie is aktiv "eigene datei entfernen vom desktop"

in der OU habe ich 3 testuser

die eigenen Datei ist weg von desktop!! funktioniert doch, wenn ich nun

einen user in der OU warehouse in den Sicherheitseinstellungen der GPO das Gruppenrichtlinen übernehmen verweigern einstelle und ich mit gpupdate oder gpupdate/ force oder mich ab/ anmelde ist das eigene datei icon IMMERNOCH verschwunden, sollte nun doch für diesen EINEN User wieder da sein?

was mache ich falsch liebe leudde?

 

nachtrag

 

wie kann ich über die gpmc konsole bei einer GPO kein Vorrag No overrite einstellen oder ist erzwungen das selbe?

mfg

Link zu diesem Kommentar

du meinst die

lsdo regel?

 

lokal

site

domäne

ou

 

?

nun nocheinmal

 

ich habe eine OU, darin sind 3 User ich hab die GPO verlink und aktiviert "entferne Icon eigene datei am desktop"

das geht!!

 

aber nun

 

habe ich bei einem User aus DIESER OU in den Sicherheitseinstellungen verweigern angeklickt => eigentlich sollte der User nun vor der GPO "geschützt" sein das heisst

für eben diesen einen User sollte sollte eigene Datei am Desktop wieder erscheinen

tut`s aber leider nicht?

weitere Ideen?

mfg

Link zu diesem Kommentar

Entweder wird diesem einen Benutzer die Berechtigung "Gruppenrichtlinie übernehmen" verweigert oder man arbeitet nicht mit den "Authentifizierten Benutzern", sondern mit einer Gruppe, die nur die Benutzer enthält, für die die Richtlinien wirken soll. Die Berechtigung wird z.B. mittels GPMC.MSC bei der GPO-Verknüpfung im Reiter "Delegierung" durchgeführt. Prüfe mit RSOP.MSC, ob diese Richtlinie wirksam ist oder nicht ...

Soweit ich das verstanden habe überschreibt eine GPO auf Dom-Ebene die GPO auf Ordnerebene.

Nein, tut sie nicht, genau andersrum (je näher am Objekt, desto höher die Priorität) ...

Link zu diesem Kommentar
du meinst die

lsdo regel?

 

lokal

site

domäne

ou

 

?

 

Hmm, soweit ich das weiß kommt als niedrigste lokal, dann OU und dann Dom. Dom überschreibt also die OU und die OU überschreibt die lokal.

 

nun nocheinmal

 

ich habe eine OU, darin sind 3 User ich hab die GPO verlink und aktiviert "entferne Icon eigene datei am desktop"

das geht!!

 

aber nun

 

habe ich bei einem User aus DIESER OU in den Sicherheitseinstellungen verweigern angeklickt => eigentlich sollte der User nun vor der GPO "geschützt" sein das heisst

für eben diesen einen User sollte sollte eigene Datei am Desktop wieder erscheinen

tut`s aber leider nicht?

weitere Ideen?

mfg

 

An dem verteilen der GPO kanns nicht liegen. Kannst du nicht einfach die User aus der GPO rausnehmen? Zumindest ist das hier auf W2K8 so dass man da explizit angeben kann für wen die GPO gilt. Also womit sie verknüpft wird (Dom;OU) und für wen sie dann in der OU gilt. Gibts das bei dir als option in der Gruppenrichtlinienverwaltung?

 

Nein, tut sie nicht, genau andersrum (je näher am Objekt, desto höher die Priorität) ...

 

Hmm, das würde ja heißen dass eine lokale vorrang vor der OU hat. Wieso geht das dann bei mir nicht? Ich kann lokal sagen dass der Papierlorb weg kommt, kommt er aber nicht weil die in der OU des Benutzers sagt dass er nicht weg kommt.

 

Läuft da was schief?

 

Hey! Uns sogar die default Domain Policy überschreibt die lokale und die ist ja ziemlich weit weg.

 

 

Ok. Reihenfolge "lsdo" ist richtig. Hab jetzt alles durchgetestet und genau so ist es.

Link zu diesem Kommentar

@ ITHOME

 

ich hab gelesen das es best practise ist so vorzugehen?

 

 

 

wie gesagt ist nur eine TESTumgebung

 

also mit gpresult

 

wird mit die GPO noch angezeit was ja auch fast klar is !!

 

den nur weil ich den User Gruppenrichtlinie verweigert habe is mir fast kla das sie mit gpresult noch angezeigt wird

 

und wo bitte is der unterschied zwischen gpresult und rosp.msc meiner meinung nach keiner!! gpresult finde ich übersichtlich ist halt textbasiert

 

ps

 

ich verwende dc gc mit sever2008!! sowie xp als client!!

Link zu diesem Kommentar

Sicherheitsfilterung was soll ich machen?

 

ahhh

 

doch unter der SF

kann ich doch NUR user, gruppen reinnehmen welche expliziet die GPO erhalten sollen NICHT aber welche die die GPO NICHT erhalten sollen, oder irre ich mich da?

 

 

ich hab den User der KEINE Gpo bekommen soll auf dem DC in der GPMC in der OU Warehouse in der GPO unter Deligierung ist der User drin mit verweigern?

 

was genau meinst du?

 

hast du nen messi?

 

geht vielleicht schneller als hier zu schreiben ?

 

ich schick dir meine per pn

Link zu diesem Kommentar

so

 

nun hab ich alles nochma neu gemacht

 

doch oh wunder

 

wenn ich auf dem client gpresult ausführe zeigt der mir eine gpo die es auf dem server gar NICHT mehr gibt!!!

 

wie is das denn möglich?

 

bei 2 anderen usern welche auch in der ou sind (melden sich immer mit dem entsprechenden Userprofil am SELBEN Client an)

kann ich gar KEINE geresult erhalten bekomme da ne fehlermeldung!!

hab nun die schna** voll gehe schlafen

 

hoffe ihr habr noch ideen

 

bis morgen

:confused::confused::confused::confused:

Link zu diesem Kommentar
Hmm, soweit ich das weiß kommt als niedrigste lokal, dann OU und dann Dom. Dom überschreibt also die OU und die OU überschreibt die lokal.

Die Priorität von niedrig bis hoch ist: Lokal, Standort, Domäne, OU, wobei nur die letzten 3 Domänenrichtlinien sind, bei denen gilt ... je näher am Objekt, desto höher die Priorität ...

 

Hmm, das würde ja heißen dass eine lokale vorrang vor der OU hat.

[/Quote]

Nein, das heisst es nicht, siehe oben ...

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...