Jump to content

Geltungsbereiche Sicherheitsrichtlinien / GPOs


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hi Leute,

 

ich habe mal ne Frage zu den Sicherheitsrichtlinien und GPOs da es gewisse Unklarheiten gibt bzw. mein Dozent das nicht korrekt aufklärt / sich irgendwie widerspricht. Es geht um die Geltungsbereiche und Reihenfolgen des Topics welche geladen werden und sich durchsetzen. Wie gesagt habe ich da schon einiges gelesen und beim Ansprechen des Dozenten bekommt man keine genau Antwort über diese Sache.

 

Also das Bsp an welches ich dies fest machen will besteht aus einer übergeordneten Domäne (OD), einer untergeordneten Domäne (UD) und einem Client welcher sich in der UD befindet.

 

Hierdurch ergeben sich nun 3 lokale Sicherheitsrichtlinien (LS). Dies wären dann die LS des Clients, LS der UD und LS der OD. Des Weiteren können existieren die lokalen GPOs des Clints, die UD - GPOs und die OD - GPOs.

Wenn nun ein User an den Client in der UD sich anmelden will und den Rechner startet werden vollende LS und GPOs geladen.(Standart Einstellungen werden angenommen)

 

1 LS des Clients, 2 die LS der UD, 3 die LS der OD, 4 die lokalen GPO des Clients, 5 die GPO der UD als letztes. So habe ich das jedenfalls verstanden und bitte euch mich gegebenenfalls zu korrigieren.

 

Ein bissel unsicher bin ich mir da jetzt wegen den LS der OD und den Lokalen GPOs des Clients. Werden die LS der OD immer geladen oder erst nach Anmeldung an der jeweiligen Domänen. Oder werden nur die LS aus der OD geladen wenn sich ein User aus der OD in der UD anmeldet?

Das zweite unklare sind die lokalen LS und GPO. Bei der Domäne ist das schon getränt voneinander aber bei der Lokalen Geschichte beinhaltet doch das GPO Objekt die lokalen Sicherheitseinstellungen und so sind doch beide quasi ein und dasselbe. Oder wird beim Systemstart nur der teil der lokalen Sicherheitseinstellungen aus der GPO heraus gelösst und geladen und später dann der Rest der GPO nachdem alle Sicherheitsrichtlinien geladen worden sind?

 

Wie ihr seht herrscht gerade ein gewisses Chaos und extreme Unklarheit in meinem Kopf. Bis gestern war ich mir eigentlich sicher wie es richtig ist aber nach einer Lernrunde wo jede eine gewisse andere Meinung hatte und nachdem die Fachlektüre auch etwas anderes sagte als mein Dozent bin ich ein bissel durcheinander und hoffe einer von euch kann mir da nen bissel helfen Licht ins dunkle zu bringen.

 

Thx schon mal an alle

Link to comment

Also, ich verschiebe mal :D

 

Wie gesagt habe ich da schon einiges gelesen und beim Ansprechen des Dozenten bekommt man keine genau Antwort über diese Sache

Das ist sehr schade :(

 

Aber da ist ein bischen was durcheinander geraten, bzw. ziemlich falsch. Als Wichtigstes: die Domäne ist eine Sicherheitsgrenze. Das bedeutet, Grupenrichtlinien auf Domänenebene wirken sich nur auf Objekte innerhalb dieser Domäne aus, aber NIEMALS auf untergerordnete Domänen!

 

Dann:

Das zweite unklare sind die lokalen LS und GPO. Bei der Domäne ist das schon getränt voneinander aber bei der Lokalen Geschichte beinhaltet doch das GPO Objekt die lokalen Sicherheitseinstellungen und so sind doch beide quasi ein und dasselbe. Oder wird beim Systemstart nur der teil der lokalen Sicherheitseinstellungen aus der GPO heraus gelösst und geladen und später dann der Rest der GPO nachdem alle Sicherheitsrichtlinien geladen worden sind?

Dein erster Ansatz ist der korrekte. Die Lokale Sicherheitsrichtlinie und die lokale Gruppenrichtlinie sind ein und das selbe. Es ist nur so: das Tool lokale Sicherheitsrichtlinie zeigt nur ganz begrenzt den Ausschnitt der Sicherheitseinstellungen der lokalen Gruppenrichtlinie, also quasi das ganze andere "störende" Drumherum einer Lokalen GPO wird wegbeblendet.

Es ist aber faktisch völlig unerheblich, wo du die Sicherheitseinstellungen vornimmst, in der Lokalen Sicherheitsrichtlinie oder der lokalen GPO, es ist eigentlich eine Einstellung der lokalen GPO.

Nochmals, das Tool Verwaltung\Lokale Sicherheitseinstellungen ist nur ein "kastriertes" gpedit.msc, um es mal so auszudrücken, aber es trifft den Kern der Sache. ;)

 

Ich hoffe, dass sich damit die ganzen Fragen mit der Reihenfolge der Auswertung von GPOs beantwortet haben. Wenn nicht, dann melden ....

 

 

grizzly999

Link to comment

Hi grizzly

 

thx, das mit der lokalen Geschichte ist mir jetzt fast klar. Nur noch die Frage wie wird was jetzt geladen von der Reihenfolge her.

Am Bsp Client in Domäne

Als erstes wird also die komplette lokale GPO geladen, danach die lokalen Sicherheitsrichtlinien der Domäne und dann die jeweiliegen erlassenen GPOs.

Aber wie sieht es jetzt in einer Unterdomäne aus? Also der Client befindet sich in der untergeordneten Domäne.

Es werden jetzt die lokale GPO, lokale Sicherheitsrichtlinen der Untergeordneten Domäne und dann die Sicherheitsrichtlinien der Übergerodneten Domäne geldaen denke ich oder werden die Sicherheitsrichtlinien der Übergerodneten Domäne nicht vererbt in die Untergeordnete?

Link to comment

Es wird schon richtiger :)

Allerdings:

Als erstes wird also die komplette lokale GPO geladen

Ja.

danach die lokalen Sicherheitsrichtlinien der Domäne und dann die jeweiliegen erlassenen GPOs.

Nein. Das ist grad genauso wie mit den lokalen Richtlinien, ob lokal, an einer Domäne, an einer OU ......

Es wird immer nur die ganze Richtlinie geladen. Ganz. Komplett. Es gibt nicht die "irgendwoher Sicherheitsrichtlinie" und dann dazu noch die "irgendwoher Gruppenrichtlinie". Es gibt eine Richtlinie nur als Ganzes.

Es gibt allerdings Tools, die nur einen Teil einer Richtlinie bearbeiten lassen, z.B. das Tool "Lokale Sicherheitsrichtlinie", z.B. das Tool "Sicherheitsrichtlinie für Domäne", z.B. das Tool "Sicherheitsrichtline für Domänencontroller". Aber das ist exakt das selbe wie im Beitrag vorher für die Lokale Richtlinie beschrieben. ;)

Aber wie sieht es jetzt in einer Unterdomäne aus. Also der Client befindet sich in der untergeordneten Domäne.

Es werden jetzt die lokale GPO, lokale Sicherheitsrichtlinen der Untergeordneten Domäne und dann die Sicherheitsrichtlinien der Übergerodneten Domäne geldaen denke ich

nein, wie oben schon geschrieben hatte, GPOs werden nicht an untergerodnete Domänen vererbt, damit werden sie dort auch nicht gezogen.

oder werden die Sicherheitsrichtlinien der Übergerodneten Domäne nicht vererbt in die Untergeordnete?

Genau so ......

 

grizzly999

Link to comment

Hi grizzly

 

Thx nochmal, solangsam wird alles klar.

 

Nochmal zusammengefaßt ob ich das richtig verstanden habe.

 

Sicherheitsrichtlinien und GPOs sind auf jeder Ebene "ein Paket" was auf jeder Ebene immer komplett geladen wird.

 

 

Jetzt aber nen bissel komplizierter.

 

Der Client befindet sich in einer Unterdomäne in einer OU für den GPOs für den Client definiert sind. Ein User welcher in der übergerodneten Domäne sich in einer OU mit definierten GPOs befindet meldet sich auf dem Client an.

 

Also zusammengefaßt:

Client mit definierten GPOs in Unterdomäne und User mit definierten GPOs in übergeordneter Domäne.

 

Ich würde sage in dieser Reihenfolge werden jetzt die Einstellungen geladen.

 

Komplette lokale GPO, komplette GPO (teil der allg. Sicherheitseinstellungen und der Teil der definierten GPOs der OU) der Unterdomäne (da der Clients sich in dieser befindet) und die komplette GPO der Überdomäne (teil der allg. Sicherheitseinstellungen und der Teil der definierten GPOs der OU) da sich der User in der OU der Übergeordneten Domäne befindet.

 

Die Zusammenfassung:

loakle GPO, Unterdomänen GPO, Überdomänen GPO

 

Sehe ich das so richtig?

Link to comment

Ist alles so richtig.

Nur die sprachliche Darstellung ist noch nicht so optimal.

Sicherheitsrichtlinien und GPOs sind auf jeder Ebene "ein Paket" was auf jeder Ebene immer komplett geladen wird

In meinen Augen etwas "verquert" ausgedrückt, aber, ...hmmm..., ja. Es wird immer eine komplette GPO geladen.

 

Der Client befindet sich in einer Unterdomäne in einer OU für den GPOs für den Client definiert sind. Ein User welcher in der übergerodneten Domäne sich in einer OU mit definierten GPOs befindet meldet sich auf dem Client an.

Ok.

 

Ich würde sage in dieser Reihenfolge werden jetzt die Einstellungen geladen.

 

Komplette lokale GPO, komplette GPO (teil der allg. Sicherheitseinstellungen und der Teil der definierten GPOs der OU) der Unterdomäne (da der Clients sich in dieser befindet) und die komplette GPO der Überdomäne (teil der allg. Sicherheitseinstellungen und der Teil der definierten GPOs der OU) da sich der User in der OU der Übergeordneten Domäne befindet.

Ja, so stimmt es

 

loakle GPO, Unterdomänen GPO, Überdomänen GPO

Wenn man die GPO-Einstellungen der SubDomain für den Client sieht und die GPO-Einstellungen der ParentDomain für den User sieht, ja.

 

 

grizzly999

Link to comment

Sorry das ich nochmal Frage,

 

wie sieht das eigentlich mit dem profil jetzt aus?

Bis zur Anmeldung werden die Hardware bezogenen GPO teile geladen. Dann erfolgt die Anmeldung und das Profil mit den reg. Einstellungen. Nach dem Laden des profils wird noch der userbezogene Teil der GPO geladen.

 

Ist das so korrekt?

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...