Petho 10 Posted April 3, 2003 Report Posted April 3, 2003 Hallo alle zusammen ! :) Nachdem ich nun die letzten 3-4 Wochen hier im Board schon viele nützliche Dinge erfahren habe, habe ich mich die Tage einfach mal angemeldet und hoffe hier und da auch mal was Sinnvolles beitragen zu können... Hab auch gleich schon ne Frage: Wir haben nen W2k-Server mit W2k-Clients. Im AD sind 2 (Haupt)-OUs mit je ca. 12 (Unter)-OUs. Alle GPs liegen in den (Haupt)-OUs. Wenn ich jetzt in einer (Unter)-OU möchte, dass meine GP "Systemsteuerung deaktivieren" (aktiviert) nicht umgesetzt wir, muss ich dann eine zweite GP erstellen "Systemsteuerung deaktivieren" (deaktiviert) und kein Vorrang anklicken??? Oder geht das auch einfacher ohne eine neue GP erstellen zu müssen, weil ich das ziemlich kompliziert finde eine GP mit einer GP zu deaktivieren???? Danke schonmal ...... Gruss, Petho Quote
Cyco 10 Posted April 3, 2003 Report Posted April 3, 2003 Hallo ! Ganz einfach zu beantworten. Erstelle einfach eine GPO auf der OU, in der DU dies verbieten/erlauben willst. Kein Vorrang in einer Haupt-OU bringt Dir in sofern nichts, weil Du dies dann für alle untergeordneten OU's erzwingen würdest u. somit alle OU's von diesem Recht gebrauch machen. So müßte es klappen, da alle sich Richtlinien von der HauptOU mit in dieses GPO vererben, außer der einen Richtlinie, da sie am nächsten an den USER/Computer liegt. gruß Cyco Quote
Petho 10 Posted April 3, 2003 Author Report Posted April 3, 2003 Hi Cyco, Original geschrieben von Cyco Kein Vorrang in einer Haupt-OU bringt Dir in sofern nichts, weil Du dies dann für alle untergeordneten OU's erzwingen würdest u. somit alle OU's von diesem Recht gebrauch machen. Die GP mit "kein Vorrang" ist die "Systemsteuerung deaktivieren" (deaktiviert) und sitzt in der (Unter)-OU, damit die GP Syst... deaktivieren (aktiviert) aus der Haupt-OU nicht "von oben" wirkt... Oder hab ich Dich falsch versdtanden...???? Gruss vom Petho Quote
Cyco 10 Posted April 3, 2003 Report Posted April 3, 2003 Hi ! Im Grunde kannst Du es so machen, aber viel Sinn hat es nicht. Die Option "Kein Vorrang" wird eigendlich nur eingesetzt, wenn Du möchtest, das aus der HauptOU alle Richtlinien nach unten vererben. Selbst wenn DU die übergeordnete Richtlinienvererbung einer untergeordneten OU deaktivierst, wirkt trotzdem noch die GPO von der HauptOU. Mit "Kein Vorrang" überschreibst Du somit alle untergordneten GPO's. OK!! So jetzt zu deinem Vorhaben. Erstelle eine GPO in der HauptOU. Lege darin alle Richtlinien fest die Du auf die untergeordn. OU's anwenden willst. Durch Vererbung wirken jetzt alle Einstellungen auf die User & Comp. in den untergordneten OU's. Erstelle jetzt eine zweites GPO in der OU, wo DU diese spezielle Richtlinie mit der Systemsteuerung einstellen willst. Neu erstelle GPO's setzten alle Richtlinien auf "nicht definiert" d.h. diese Einstellungen werden dann wieder von dem GPO aus der HauptOU überschrieben. Diese spezielle Richtlinie mit der Sys.-steuerung wird jetzt aber nicht mehr von der HauptOU überschrieben, da diese sozusagen näher am User/Computerobject im AD liegt. Hier nochmal die Richtlinienabarbeitung. 1. lokales GPO 2. Standort GPO 3. Domänen GPO 3. OU GPO's Glaube so wars. d.h. GPO's/Richtlinien die im AD definiert werden, überschreiben immer lokale Richtlinien. Wenns noch Fragen gibt melde Dich einfach! gruß Cyco Quote
Petho 10 Posted April 3, 2003 Author Report Posted April 3, 2003 Hi Cyco ..... klingt recht logisch Deine Erklärung. Ich versuch das jetzt mal gleich. Aber wird schon funzen.... Besten Dank dafür. Gruss, der Petho Quote
Petho 10 Posted April 3, 2003 Author Report Posted April 3, 2003 Hi nochmal, wenn ich in dem GPO-Fenster meiner (Unter)-OU die gleiche GP hinzufüge, die ich schon in der Haupt-OU verwende und in der Unter-OU einfach über den Button "Optionen ->Deaktiviert" sage.... Da steht dass diese GP in dieser OU nicht wirkt. Das tuts aber nicht, obwohl diese dann ja näher am User/Comp. ist Es funzt bisher nur so wie schon beschrieben.... Aber ist sonst auch egal, es geht mir eigendlich darum nicht so viele GPO's zu erzeugen. Der Übersichtlichkeit wegen...... Gruss, der Petho Quote
Petho 10 Posted April 3, 2003 Author Report Posted April 3, 2003 ääähh... meinen letzten Post einfach überlesen. hab's nu verstanden.. Danke für die Tipps... Petho ;) Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.