GPO UO-übergreifend

[al3x 11]

Hi,

 

GPO gelten ja für die User/Computer, die in der gleichen OU sind wie die Richtlinie bzw. in der darunterliegenden OU durch Vererbung.

 

Kann ich eine OU-übergreifende Gültigkeit nur durch Vererbung/Nicht-Vererbung realisieren?

 

Bsp:

 

-domain

----ou1

----ou2

---------ou2.1

---------ou2.2

----ou3

---------ou3.1

----ou4

 

 

Ich würde gerne eine GPO definieren (RemoteAccess), mit regeln für die ou1, ou2.1 und ou3.1.

 

Wenn ich auf oberster ebene (domain) eine entsprechende GPO erstelle, werden die Richtlinien nach unten weiter vererbt, aber was ist mit den OU's, die ich ausklammern möchte? Deaktiviere ich die Vererbung für ou4, dann erbt diese OU von keiner übergeordneten Policy etwas - richtig?

 

Oder kann man auch ein Art Abhängigkeit da rein bringen, dass die Deaktivierung der Vererbung NUR für EINE übergeordnete Policy gilt?

 

ehm...hoffe ihr wisst was ich meine :D

 

thx

[IThome 10]

Du kannst stattdessen mit der Sicherheitsfilterung arbeiten und Gruppen von Computern und Benutzern erstellen, auf die die verschiedenen GPOs wirken ...

[Sonic 10]

Leg doch einfach ne Domänengruppe z.B Remote_Zugriff an, häng dann die Policy auf die oberste OU, und Berechtige nur die Gruppe Remote_Zugriff darauf.

Somit kannst du das ganze bequem per Gruppenzugehörigkeit verwalten. Dann noch die User in die Gruppe und fertig.

[NorbertFe 1.845]

Hi,

 

GPO gelten ja für die User/Computer, die in der gleichen OU sind wie die Richtlinie bzw. in der darunterliegenden OU durch Vererbung.

 

Kann ich eine OU-übergreifende Gültigkeit nur durch Vererbung/Nicht-Vererbung realisieren?

 

Bsp:

 

-domain

----ou1

----ou2

---------ou2.1

---------ou2.2

----ou3

---------ou3.1

----ou4

 

 

Ich würde gerne eine GPO definieren (RemoteAccess), mit regeln für die ou1, ou2.1 und ou3.1.

 

Wenn ich auf oberster ebene (domain) eine entsprechende GPO erstelle, werden die Richtlinien nach unten weiter vererbt, aber was ist mit den OU's, die ich ausklammern möchte? Deaktiviere ich die Vererbung für ou4, dann erbt diese OU von keiner übergeordneten Policy etwas - richtig?

 

Oder kann man auch ein Art Abhängigkeit da rein bringen, dass die Deaktivierung der Vererbung NUR für EINE übergeordnete Policy gilt?

 

ehm...hoffe ihr wisst was ich meine :D

 

thx

 

Andere Alternative in deinem Fall wäre das mehrfache Verlinken des selben GPO auf die jeweiligen OUs (ou1, ou2.1 und ou3.1.). Ist zwar ein wenig mehr Aufwand, aber dafür übersichtlicher als die Sicherheitsfilterung.

 

Bye

Norbert

[IThome 10]

Hm, dann müsste er aber auch wieder die Vererbung deaktivieren, was es wieder weniger übersichtlich macht ... Möglicherweise sind auch beim Design der OU-Struktur Fehler gemacht worden ...

[al3x 11]

Du kannst stattdessen mit der Sicherheitsfilterung arbeiten und Gruppen von Computern und Benutzern erstellen, auf die die verschiedenen GPOs wirken ...

 

also trotzdem auf der obersten ebene, aber statt vererbung einfach nur die computer unter sicherheitsfilterung eintragen?

 

kann man computer (objekte) eigentlich auch gruppieren?

[IThome 10]

Ja , mit der Sicherheitsfilterung kannst Du auch auf oberster Ebene arbeiten. Die Zugehörigkeit zu OUs ist dann weniger wichtig (vom Standpunkt der Anwendung der Richtlinie aus gesehen).

Was meinst Du mit gruppieren ?

[NorbertFe 1.845]

Hm, dann müsste er aber auch wieder die Vererbung deaktivieren, was es wieder weniger übersichtlich macht ... Möglicherweise sind auch beim Design der OU-Struktur Fehler gemacht worden ...

 

Zumindest in seinem Schaubild müßte er überhaupt nichts deaktivieren. Die OUs sind nicht untereinander.

 

Bye

Norbert

–

also trotzdem auf der obersten ebene, aber statt vererbung einfach nur die computer unter sicherheitsfilterung eintragen?

 

Computer willst du da nicht eintragen. Ginge aber.

 

kann man computer (objekte) eigentlich auch gruppieren?

 

Falls du damit meinst, ob man Computer in Gruppen stecken kann, dann ja, das kann man.

 

Bye

Norbert

[al3x 11]

Ja , mit der Sicherheitsfilterung kannst Du auch auf oberster Ebene arbeiten.

ich meinte in meinem Fall, auf der obersten gemeinsamen Ebene eine GPO erstellen, Vererbung zulassen, ABER per Sicherheitsfilterung die entsprechende "Objekte" hinzufügen?

 

Heißt also Sicherheitsfilterung greift NUR bei Vererbung bzw. wenn die GPO auch in der OU ist?

Alternative wäre GPO zu verlinken, dann ist es egal wo sich OU und GPO befinden.

Hab ich das so richtig verstanden?

 

 

Was meinst Du mit gruppieren ?

analog zu Benutzergruppen......statt jeden Rechner einzeln aufzuführen, für den die GPO gelten soll. Also gleich eine Gruppe anlegen.

[Sonic 10]

Was willst du eigentlich genau in deiner Policy einstellen, handelt es sich nur um User Einstellungen? Liegen die User in der selben OU wie deine Computer?

Ein paar nähere Erläuterungen würde denk ich mal weiterhelfen.

 

Für die Rechner gibts Standardmäßig ne Gruppe "Domänencomputer" allerdings ziehen dann natürlich deine User Einstellungen nicht.

Willst du nur eine Policy für User und Computer Einstellungen verwenden?

 

Gruß

[al3x 11]

Computer willst du da nicht eintragen.

 

wieso nicht?....RemoteAccess-Einstellungen werden doch über die Computerkonfig definiert!?

–

Was willst du eigentlich genau in deiner Policy einstellen, handelt es sich nur um User Einstellungen?

 

In dem Fall geht es um Computer (RemoteAccess).

[IThome 10]

Sicher kannst Du auch Computer in Gruppen packen und dann filtern. GPOs werden sicherheitsgefiltert. Diesen Gruppen wird die Berechtigung "Lesen" und "Gruppenrichtlinie übernehmen" auf das GPO gewährt. In der Regel wird die Gruppe "Authentifizierte Benutzer" aus der Sicherheitsfilterung entfernt. Diese so gefilterten GPOs werden hoch angesetzt und wirken auf alle Objekte, die sich in deren Reichweite befinden UND entsprechend durch die Filterung berechtigt sind ...

[al3x 11]

In der Regel wird die Gruppe "Authentifizierte Benutzer" aus der Sicherheitsfilterung entfernt. .

 

In der GroupPolicyManagement-Console sind die "Auth. Benutzer" entfernt, aber über Eigenschaften des GPO - Sicherheit sind sie noch aufgeführt, allerdings ohne Häkchen bei den Rechten.

Wieso werden die hier nicht gelöscht?

 

 

....und wieso sollte man in dem Fall keine Computer in Gruppen packen?

[Sonic 10]

Solangsam kommen wir der Sache näher. Also dann legst du ne Gruppe an diese trägst du bei Sicherheitsfilterung ein. Dann alle Computer der Gruppe hinzufügen und damit hättest du was du brauchst.

 

Nur so als Anregung ich würde dir empfehlen die Computer Konten komplett von den Usern zu trennen. Also in ne eigene OU auf oberster Ebene zu packen da kannst dann die computerpolicy drauf loslassen. Ist übersichtlicher und besser zu verwalten.

Dann machste noch ne 2te OU mit ner eingenen Policy für deine RemoteAccess Rechner, dann musst du nur die computerkonten hin und her schieben.

 

Dann brauchste die ganzen Computerkonten auch nicht immer zusätzlich einer Gruppe zuweisen, den Mitglied der Domänencomputer sind die Standardmäßig.

[al3x 11]

Nur so als Anregung ich würde dir empfehlen die Computer Konten komplett von den Usern zu trennen. Also in ne eigene OU auf oberster Ebene zu packen da kannst dann die computerpolicy drauf loslassen.

 

hm..ich habe bisher die Computer immer in die zugehörigen OUs (Abteilungen) gepackt......