Gruppenrichtinien Vererbung

[kleiner-romeo 10]

Hallo zusammen,

 

vielleicht kennt sich ja hier jemand gut mit Gruppen Richtlinien Vererbung aus.

 

Ich hab auf einer OU 23 GPO´s sitzen würde jetzt aber gerne eine rausnehmen die 22 anderen sollen aber erhalten bleiben. Wenn ich jetzt noch eine OU eine ebene Tiefer erstelle und da dann die Vererbung abbreche sind alle weg ich will aber nur die eine nicht. 

 

Gibts das nicht so wie beim AD das ich sag behalte die Vererbten aber unterbreche von hier an?

Ich mein 23 sind noch überschaubar, ich könnte ja auch die 22 die ich trotzdem will von Hand einhängen. Aber wenn ich jetzt 200 GPO´s hätte wär das schon nicht mehr so lustig.

 

 

Vielen Dank für die Hilfe schon mal!

[duerener 12]

Hi,

 

warum nimmst du nicht einfach die Verknüpfung auf der OU weg?

[kleiner-romeo 10]

Na ja. Die neue OU hat ja keine Linked GPO´s nur die Vererbten.

 

Ebene 1 Domain

Ebene 2 Abteilung

Ebene 3 Neu

 

Wenn ich die OU auf Ebene 3 erstelle und die Vererbung abbreche ist sogar die Default Domain Policy weg. 

[blub 115]

Ich kapier leider nicht, was du willst.

- Wenn du die Vererbung blockierst, wird auch nichts vererbt. Works as designed.

- Wenn du mit OUs und GPOs arbeitest, bist du bereits im AD.

 

du wirst aber sicher verständlicher, wenn du beispielsweise deine Kommataste reparieren lässt.

[NorbertFe 1.805]

Ich hab auf einer OU 23 GPO´s sitzen würde jetzt aber gerne eine rausnehmen die 22 anderen sollen aber erhalten bleiben. Wenn ich jetzt noch eine OU eine ebene Tiefer erstelle und da dann die Vererbung abbreche sind alle weg ich will aber nur die eine nicht.

Hmm dann häng die OU nicht darunter. ;) Vererbung unterbrechen ist immer schlecht (die 1-2 Ausnahmen treffen sowieso nie zu). ;)

 

Gibts das nicht so wie beim AD das ich sag behalte die Vererbten aber unterbreche von hier an?

Nein.

 

Ich mein 23 sind noch überschaubar, ich könnte ja auch die 22 die ich trotzdem will von Hand einhängen. Aber wenn ich jetzt 200 GPO´s hätte wär das schon nicht mehr so lustig.

Wenn ich 200 GPOs auf einer OU hätte, hätte ich falsches Design. Das was dir wahrscheinlich am einfachsten fallen dürfte wäre Sicherheitsfilterung. Da du aber nichts über die GPOs an sich erzählst (User oder COmputereinstellungen), mußt du dir das selbst erarbeiten. ;) Bei 23GPOs gehe ich mal nicht davon aus, dass in allen GPOs besonders viel definiert ist, oder?

 

Bye

Norbert

[NilsK 2.785]

Moin,

 

für mich klingt das, als sollte man das Design der Struktur ändern.

 

Gruß, Nils

[NorbertFe 1.805]

Denke ich auch. ;)

[Userle 140]

Hat mich gehelft: www.gruppenrichtlinien.de :D

bearbeitet 27. April 2016 von Userle

[P-a-x-i 12]

Wenn ich hier manche Threads lese, frage ich mich, ob mein AD unzeitgemäß designed ist.

 

Ich habe bei mir wirklich jede Abteilung und darunter jede Unterabteilung in einer eigenen OU verfasst.

Pro OU habe ich dann in der Regel selten mehr als 5-6 Gruppenrichtlinien.

Wenn ich lese, dass manche alles in einer OU haben und dann noch jenseits der 20 Gruppenrichtlinien pro OU, würde ich wahnsinnig werden.

Sowas ist doch wahnsinnig unübersichtlich und birgt doch schon fast automatisch einen Fehlerpool in sich.

 

Sehe ich das so falsch oder verbissen oder bin ich nicht mehr up-to-date?  :confused:

[Userle 140]

Das hat oft mit "gewachsenen" Strukturen zu tun @P-a-x-i . Wenn Du mit einer handvoll Clients und einem Server anfängst und das ganze Jahr für Jahr in der Anzahl und den bereitgestellten Diensten und Funktionen wächst ist das fast schon als natürlich anzusehen. Mir persönlich hat letzlich die Entscheidung geholfen eine neue AD zu machen. Das war zwar viel Arbeit, da es live und im Paralellbetrieb erfolgte, aber ich bin heute sehr froh mich dazu durchgerungen zu haben. Viele Erfahrungen konnten so in die neue Struktur einfließen. Nicht zuletzt dank der vielen "Helden" hier, die ihr Wissen und ihre Erfahrung kostenlos geteilt haben. Ich habe da eine Riesenliste meiner persönlichen Hall of Fame. Hier im Thread z.B. NilsK und NorbertFe. Aber da sind noch viele Andere die zu nennen wären.

[NorbertFe 1.805]

Wenn ich hier manche Threads lese, frage ich mich, ob mein AD unzeitgemäß designed ist.

 

Ich habe bei mir wirklich jede Abteilung und darunter jede Unterabteilung in einer eigenen OU verfasst.

Eigentlich ist das Abbilden Organigramms im AD eine extrem schlechte Angewohnheit, da eben in vielen Fällen eine administrative Trennung gar nicht gerechtfertigt ist und damit dann viele Umwege gegangen werden müssen. Aber das muß im Endeffekt jeder für sich selbst entscheiden.

 

Pro OU habe ich dann in der Regel selten mehr als 5-6 Gruppenrichtlinien.

Wenn ich lese, dass manche alles in einer OU haben und dann noch jenseits der 20 Gruppenrichtlinien pro OU, würde ich wahnsinnig werden.

Weder aus dem einen noch aus dem anderen kann man pauschal sagen ist schlecht oder ist gut. Dein Design kann genauso gut schlecht sein wie das des TO. ;)

 

Bye

Norbert

[daabm 1.185]

Wenn ich hier manche Threads lese, frage ich mich, ob mein AD unzeitgemäß designed ist.

 

Klingt jetzt hart, aber: Ja, ist es. Der Nachbau von Unternehmensstrukturen im AD ist eine Unsitte, die seit 16 Jahren nicht tot zu kriegen ist... Wie ja Norbert schon sagte :)

 

Was Dir trotzdem helfen könnte: Erstelle für die OUs Shadow Groups (alle Objekte in der OU kommen in eine Gruppe) und setze "Anwenden verweigern" auf Deine Problem-GPO. Ist aber auch nur eine schmutzige Lösung - Deny ist bei GPOs immer sensibel, weil man es nicht "direkt" sieht.

[P-a-x-i 12]

Wie macht ihr das denn?

 

Ich bin ja immer bereit zu lernen :)

[NorbertFe 1.805]

Anforderungen aufnehmen und überlegen warum und ob man separieren sollte. ;) dann kommt man üblicherweise bei einer von 2 gängigen Varianten an.

[daabm 1.185]

...und AD so gestalten, daß es die Administration unterstützt (und nicht die Hierarchie der Personalabteilung) :)