GPO überschreibt Einstellung in GPP

[speer 19]

Hallo zusammen,
wir verwenden eine GPO um die lokalen Administratoren und Remotedesktopbenutzer über die "restricted Users" zu verwalten. Diese GPO ist universell an einer OU nahe am Stamm gebunden. Weiter unten verzweigen sich weitere OU in weitere OUs usw. usw. . Jedenfalls benötigen wir in einer weit darunterliegenden OU eine Richtlinie, die ebenfalls Gruppen zur lokalen Remotedesktopbenutzer hinzufügen soll. Durch das Item-Level-Targeting lässt sich die GPP sehr fein einstellen. 

Das Problem ist nun, wird der Rechner neu gestartet, sind sowohl die Einstellungen der GPO als auch der GPP enthalten. Führt man nun ein gpupdate durch oder wartet die 120min bis zur Aktualisierung, dann wird nur noch die Einstellungen der GPO angewendet und die Einstellungen der GPP entfernt. Starte ich den Rechner neu, sind beide Eintragungen in der lokalen Gruppe vorhanden.

Laut gpresult sind beide Richtlinien erfolgreich und fehlerfrei angewendet. Ich dachte immer, die Richtlinie die näher am anzuwendenden Objekt befindet, deren Einstellungen werden übernommen.

Gibt es gerade bei den "restricted groups" und Anwendung der GPP bei lokalen Gruppen einen Kniff oder was übersehe ich hier?

[testperson 1.962]

Hi,

 

mache doch alles "nahe am Stamm" per GPP und ITIL. Dann hast du die komplette Verwaltung der lokalen Gruppen in einem GPO. Evtl. dann noch mit diesem Ansatz: What you can do, should do and should NOT do with GPOs: Wer bin ich und was darf ich - Gruppenmitgliedschaften und Benutzerrechte

 

Gruß

Jan

[speer 19]

Hallo Jan,

den Ansatz würde ich gerne verfolgen, übrigends eine sehr informative und lesenswerte Webseite 

Allerdings steht mir in meinem Bereich nur zu, die OUs zu administrieren für die ich zuständig bin. Das AD Team hat bei uns Ihren Sitz in den USA, dort einen Change zu beantragen dauert mehrere Monate wenn nicht sogar Jahre. Neben Anträge ausfüllen, beschreiben was man will und erreichen muss... dann kommt der DA´ler und ISB´ler noch dazu... bis das dann durch oder abgelehnt ist, bin ich in Rente. :)

Verstehe nur nicht, weshalb die GPP, die direkt in der OU mit den Computerobjekten verlinkt ist, durch die GPO mit den restricted groups gekickt wird. Vermutlich läuft es auf zig GPOs, die ebenfalls die restricted User für die Remotedesktopbenutzer setzt, hinauslaufen die durch WMI Filter eingegrenzt wird. 

 

Werde ich morgen mal testen wie ich trotzdem zum Ziel kommen kann. 

 

Vielen Dank soweit und dir einen schönen Abend :)

[cj_berlin 1.567]

Moin,

 

wenn die Restricted Groups-GPO die Mitgliedschaften im oberen Bereich pflegt, sind sie verbindlich und Du hast verloren. Wenn sie im unteren Feld gepflegt sind, müsste man schauen, das muss eigentlich gehen.

[daabm 1.465]

@cj_berlin so einfach ist es nicht. Es gibt nicht nur die Vererbungsreihenfolge der GPOs, sondern - viel wichtiger und viel unbekannter - die Verarbeitungsreihenfolge der CSEs. Dazu kommt dann noch, daß je nach Konfiguration manche nur Foreground, Changed oder Everytime aktualisiert werden... Letzteres könnte hier der Schlüssel zur Lösung sein.

Hier gibt's in der ersten Tabelle die CSE-Verarbeitungsreihenfolge: https://evilgpo.blogspot.com/2012/11/guids-guids-guids-2.html

Und wie gesagt, wichtig ist nicht nur diese Reihenfolge, sondern auch welche "wann anwenden"-Richtlinie sie haben.

[cj_berlin 1.567]

@daabm von der Vererbung der GPOs habe ich doch gar nicht gesprochen, die wäre hier m.E. auch vollkommen wurscht, solange GPO und GPP beide ankommen...

 

Und dann geht es tatsächlich um die Verarbeitung der CSEs, aber halt nur von zwei konkreten... Und sobald die Restricted Groups einmal verarbeitet wird, überschreibt sie alles, wenn es dort im oberen Teil gesetzt ist, unter "Mitglieder dieser Gruppe sind:"