Frage zu GPO vererbung deaktivieren

[IThome 10]

Probiere ich gleich aus und melde mich :)

[IThome 10]

Nein, wenn man die Vererbung an der OU blockt, dann blockt das NICHT die Vererbung über die Site !

Ich habe eine OU Benutzer erstellt, dorthin einen Benutzer geschoben. In diese OU ein GPO gelinkt, in dem ich im Startmenü Hilfe ausblende. Auf Standortebene ein GPO gelinkt , in dem ich im Startmenü Suchen ausblende. Abmelden mit diesem User, wieder anmelden, Suchen und Hilfe sind ausgeblendet. GPRESULT ergibt, dass die Benutzerpolicy, die Default Domain Policy und die Standortpolicy angewendet werden. Vererbung auf OU-Ebene deaktiviert, GPUPDATE, abmelden, anmelden , User hat nur Hilfe ausgeblendet, Suchen wird angezeigt. GPRESULT ergibt, dass nur die Benutzerpolicy angewendet wird.

Entweder reden wir jetzt gehörig aneinander vorbei oder mein Test war falsch ...

[IThome 10]

@genab.de

Die Passwortpolicy ist eine besondere Policy, die auf Domänenebene gelinkt wird. Wenn Du die Vererbung in der Domain Controllers OU deaktivierst, wird die Passwortrichtlinie nicht angewendet und funktioniert somit nicht (für die Domänenkonten). Es wird auch keine andere Einstellung der Default Domain Policy angewendet. Deaktivierst Du in irgendeiner OU die Vererbung, wird (meiner Meinung nach) nichts von oben angewendet, weder aus der Default Domain Policy, noch der Standortpolicy, noch von irgendeiner OU-Policy, die sich über der OU befindet, in der Du die Vererbung deaktiviert hast (ausser in einem GPO ist Kein Vorrang definiert, aber das ist jetzt was anderes). In der von der Vererbung ausgeschlossenen OU beginnen also neue Richtliniensätze, die ab da gelten und wiederum nach unten vererbt werden.

[Velius 10]

Deaktivierst Du in irgendeiner OU die Vererbung, wird (meiner Meinung nach) nichts von oben angewendet, weder aus der Default Domain Policy...

 

Bis auf die Passwort Policy (möglicherweise auch Kerberos, usw.). Das die Passwort Policy bei "Vererbung deaktiviert" nicht vererbt wird kann ich definitv verneinen.

[IThome 10]

Ja , das sehe ich auch so, egal auf welcher OU ich die Vererbung deaktiviere (mit Ausnahme der Domain Controllers OU), hat es keinen Einfluss auf die Domänen-Kennwortrichtlinie ...

Welchen Einfluss die Vererbung auf die Kennwortrichtlinien eines lokalen Members hat, teste ich jetzt noch mal ...

[IThome 10]

Wie erwartet, wenn ich in der Default Domain Policy eine Passwortrichtlinie anwende, gelten diese Werte auch für die lokalen User (wenn ich welche anlege) des Members. Ist der Member in einer OU, in der die Vererbung deaktiviert wurde, gelten für die lokalen User die Einstellungen der lokalen Richtlinie (ich habe in der lokalen Richtlinie keine Beschränkungen, in der DDP Komplexität, 5 Zeichen usw. mit Vererbung müssen lokale Konten ein komplexes Kennwort haben, mit deaktivierter Vererbung gelten keine Einschränkungen)

[grizzly999 11]

Ich kann im Moment leider keinen Link nennen, nur meine Erfahrung anwenden, die da sagt, das (leider) nicht jedes Lehrbuch stimmt. Auch nicht wenn Microsoft Press draufsteht.

Bin auch MCSE und MCT und habe schon viele MCSE rangezüchtet. Vertrau mir :D

Nein, ich vertrau dir nicht :suspect: :D

Site GPOs werden an OUs geblockt, wie jede andere Policy weiter oben in der Hierarchie auch. Und: Dass du keinen Link nennen kannst, verstehe ich, denn es gibt keinen, der das so behauptet. Ich nenne dir aber einen Link: http://support.microsoft.com/kb/322143/en-us

oder den:

http://www.microsoft.com/windows2000/en/advanced/help/default.asp?url=/windows2000/en/advanced/help/orderUser.htm

oder den:

http://technet2.microsoft.com/WindowsServer/f/?en/Library/212eb1fd-11f4-465f-b243-73e542d06b2c1033.mspx

... u.w.

Und ich sage dir: nehme einen DC, einen Client und probiere es aus, und sage mir hier bitte nichts von "Erfahrung", die hast du nämlich nicht. Denn wenn du sie hättest, würdest du sowas nicht verbreiten.

 

Auch ich habe schon sehr sehr viele MCSE's herangezüchtet und sage dir: Vertraue mir ;)

 

 

grizzly999