Jump to content

Frage zu GPO vererbung deaktivieren

genab.de

Von genab.de
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

genab.de Experienced

genab.de   10

Geschrieben
Geschrieben

Fage:

 

wenn ich eine OU erstelle (und dort eine GPO anwende)

 

und in dieser OU wieder eine OU erstelle (und dort eine GPO anwende)

 

und in dieser OU wieder eine OU erstelle

 

und an der letzten OU die Vererbung deaktiviere

 

wir´dann die GPO in der 1. OU wieder angewendet?

 

 

also wird bei deaktivierung der Verrerbung nur ein eine Ebene zurück geblockt?

 

 

 

(alle GPOs haben No Override 'nicht aktiviert - sondern nur normale GPOs)

Link zu diesem Kommentar
genab.de Experienced

genab.de   10

Geschrieben
  • Autor
Geschrieben

das hab ich nun nicht kappiertß

 

 

 

also

 

ich erstelle OU1 mit GPO1

 

 

ich erstelle Child OU2 ind OU1 mit GPO2

 

 

und erstelle Child OU3 in OU2 -- bei OU3 sage ich vererbung deaktivieren

 

 

so greift in OU3 die GPO2 nicht mehr (das ist diue GPO eins drüber)

 

aber GPO1 greift ind OU3, da das ja nicht direkt über der OU ist - also 2 Ebenen weg ist?

 

 

so hat es mir mein Dozent erklärt - das wenn ich Vererbung deaktivierte, das nur für eine Ebene gilt

Link zu diesem Kommentar
IThome Grand Master

IThome   10

Geschrieben
Geschrieben

Es trifft nicht für die Passwortrichtlinien zu. Diese Richtlinie wird nach unten weitergereicht, also auch für die Domain Controllers OU, und genau da (auf den DCs) werden die Kennwörter verändert. Andere Einstellungen, die in der Default Domain Policy eingestellt wurden, werden nicht geerbt, wenn in Deiner OU die Vererbung deaktiviert wurde ...

Link zu diesem Kommentar
Theo Dor Fellow

Theo Dor   10

Geschrieben
Geschrieben

ja und nein

auch die Vererbung der Default Domain Policie wird unterbunden

 

Aber: die Kennwortwortrichtlinen gelten (wirken) sowieso nur auf Domänen-Ebene und werden weiter unter gar nicht angewendet. Z.B. kannst du weiter unter Kennwortrichtlinen setzen wie Du willst - sie wirken nicht.

 

Die Domäne holt sich die Kennwortrichtlinien aus der höchstpriorisiertesten, direkt auf Domänenebene gesetzten GPO.

Link zu diesem Kommentar
genab.de Experienced

genab.de   10

Geschrieben
  • Autor
Geschrieben

um es kurz zu fassen: (um es als klare Aussage im Forum in Stein zu hämmern)

 

 

wenn an einer OU die Vererbung ausgeschalten ist,

 

dann kommt rein gar nichts mehr von Oben durch

 

egal wieviel Ebenen drüber, egal ab Sie von einer Site kommt

oder es sich um die Default Domain Policy handelt

oder es sich um Passwort richtlinien handelt

 

 

Ab hier wird dann geblockt, und alle Child OUs, egal wie viele Ebenen tief bekommen nichts mehr vererbt

 

 

 

 

einzige Ausnahme ist die Option - No Override

 

 

 

Grüße

 

Herby

Link zu diesem Kommentar
IThome Grand Master

IThome   10

Geschrieben
Geschrieben

Nein, die Passwortrichtlinie steht aussen vor. Deaktiviere ich die Vererbung, kommt hier von oben nichts mehr an (egal von wo). Alles was hier definiert wird, vererbt sich weiter nach unten (ausser, wenn weiter unten wieder die Vererbung deaktiviert wurde, dann gilt wieder:ab hier was anderes, was nach unten vererbt wird). Die OUs unterhalb der OU, in der die Vererbung deaktiviert wurde, erben nichts von OUs die sich oberhalb der OU befinden, in der die Vererbung deaktiviert wurde. Sie erben aber von der OU, in der die Vererbung deaktiviert wurde.

Anders verhält es sich , wenn Kein Vorrang definiert wird ...

Link zu diesem Kommentar
IThome Grand Master

IThome   10

Geschrieben
Geschrieben

Wo steht das ? Die Richtliniereihenfolge ist

Lokal

Standort

Domäne

OU

Warum sollte eine Richtlinie auf Standortebene nicht blockiert werden, wenn ich die Vererbung in einer OU deaktiviere ? Ich lerne gerne dazu, ein Link, was das bestätigt, wäre schön ... :)

Habe gerade im 70-294 nachgeschlagen, dort steht es genauso, wie ich sage (sogar mit Beispiel). In einer OU wird die Vererbung deaktiviert, die Richtlinien auf Standort- und Domänenebene werden nicht angewendet.

Jetzt kommst Du, das musst Du ja irgendwo her haben ...

Link zu diesem Kommentar
Theo Dor Fellow

Theo Dor   10

Geschrieben
Geschrieben

Jaaahaaaa ...

Das ist die Reihenfolge der Anwendung! Erst die lokalen, dann die der Site, dann der Domäne und dann der OU's. Soll heißen, bei Konflikten gelten z.B. die der OU's vor denen der Site, sofern nicht erzwungen (NO Override).

Vererbung deaktivieren bedeutet aber, dass eine GPO gar nicht erst angewendet wird.

 

Beim Login oder Startup erfolgt ein Collect aller anzuwendenen GPO's in der Reihenfolge ihrer Priorität aufsteigend, die höchste zuletzt. Hier gilt, wer zuletzt kommt, (über)malt zuletzt. Wenn Du an einer OU die Vererbung deaktivierst, dann werden trotzdem die

 

1. lokalen GPO's,

2. die der Site,

3. die der Domäne,

4. die der OU's (ab da, wo Vererbung deaktiviert, aufsteigend betrachtet vom jeweiligen Objekt)

 

angewendet.

 

Ich kann im Moment leider keinen Link nennen, nur meine Erfahrung anwenden, die da sagt, das (leider) nicht jedes Lehrbuch stimmt. Auch nicht wenn Microsoft Press draufsteht.

Bin auch MCSE und MCT und habe schon viele MCSE rangezüchtet. Vertrau mir :D

Link zu diesem Kommentar
genab.de Experienced

genab.de   10

Geschrieben
  • Autor
Geschrieben

Nummer 1:

 

@IThome - du hast mir doch enen Link geschickt, wo MS sagt:

 

Changes are not applied when you change the password policy

 

SYMPTOMS

When you change the password policy, the changes are not applied as expected.

CAUSE

This issue can occur in either of the following scenarios: • The Block Policy Inheritance option is enabled on the Domain Controllers organizational unit.

• The password policy is not set in the Default Domain policy.

 

 

wieso sollte das nicht auch für andetre OUs (also nicht Deafult Sertver OU) gelten......

 

 

also sperr ich mit "Vererbung deaktivieren" doch alles aus?

 

 

 

und 2.

 

ich klerne gerade für 70-294 - kein Mensch kann mir genau sagen wie das nun genau läuft - mein Dozent sagt was das nur eine Ebene drüber deaktiviert wird. also die zuvor?

 

Ob das stimmt kann ich nicht nachvollziehen? Deshalb frag ich hier nach -hier sind nun einmal die schlausten Kopfe

 

Aber eigentlich sollten doch solche sachen für Profis Kinderkram sein? (das soll keine Kritik sein!!!) so dachte ich es mir? Aber anscheinend gibt sich Microsoft wirklich sehr begrentzt was dan anbelangt. Kein Wunder wenn jeder über GPOs schimpft.

 

Und mit der Suchenfunktion im Forum ha ich auch nichts gefunden.

 

 

 

Deshalb würde ich sagen, das man das mal gescheit durchdisskutiert, und dann mal gescheit ins Forum meisselt - damit man das auch immer wieder finden kann.

 

 

 

SO - Nun sind die Profis gefragt

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...