Berechtigung auf GPOs

[menkee 10]

Hallo Leute

 

Kämpfe mich gerade durch die GPO`s durch, was ich bis jetzt alles verstanden habe, bloss bei den Berechtigungen, habe ich den Druchblick noch nicht so.

Was bewirken die berechtigungen auf die OE?

Wenn ich in eine OE eine Gruppe aufnehme und ihr z.b schreibezugriff gib, wo/auf was hat sie dann schreibzugriff?

 

Sind damit wohl die Admins denen Berechtigungen vergeben werden um die OE zu supporten? Habe ich das richtig verstanden?

[Gadget 37]

Moin,

 

OE die Abkürzung ist mir noch nie untergekommen u. ich beschäftige mich schon lang mit Gruppenrichtlinien. Ich gehe davon aus du sprichst von ACL´s (Access Control Lists) auf GPO´s (Group Policy Object).

 

Ich würds nicht komplizierter machen wie´s ist an den Schreibberechtigungen brauchst du nix verändern, das einzige was interessant ist, ist der Eintrag "Gruppenrichtlinie übernehmen" wenn du die auf verweigern setzt kannst du efektiv filtern. Nachdem du natürlich die Authentifizierten Benutzer entfernt hast.

 

Targeting GPOs / Security Filtering

By modifying the security groups associated with a GPO, the application of the GPO can be further refined. For example, if a GPO is linked to OU A and has a security filter for the MyGroup security group, then all accounts that are in OU A and MyGroup will be affected by the GPO. By default a newly created GPO's security Access Control List (ACL) contains an Access Control Entry (ACE) for the Authenticated Users group which has the Read and Apply Group Policy permissions. Since Authenticated Users includes all computers and users in the domain, a new GPO will be processed by all users and computers. So, for example, if you want to restrict a GPO's application to only the users in MyGroup, you would remove the Authenticated Users ACE and add one for MyGroup with Read and Apply Group Policy permissions.

 

LG Gadget

[Meierkurth 10]

Ich vermute OE steht für "Organisations Einheit", besser bekannt als OU "Organisational Unit". Also, wenn man so will, ein "Ordner" im AD.

 

Also prinzipiell kann man mit den Berechtigungen auf ein GPO zwei Dinge steuern:

1.) Wer soll das GPO anwenden?

2.) Wer soll das GPO bearbeiten/lesen dürfen?

 

Um eine GPO anwenden zu können braucht die Gruppe/der User die Berechtigungen für "Lesen" und "übernehmen".

 

Will ich expliziet einer Gruppe/einem User das Recht die Anwednung einer GPO verweigern, so empfiehlt es sich, die Leseberechtigung zu entziehen. Dies ist aus Performancegründen von Vorteil. Wenn ich "nur" das recht auf übernehmen entziehe, wird die GPO komplett durchgearbeitet und am Ende wird dann die Übernahme der Einstellungen verweigert.

Allerdings ist es Best Practice, möglichst wenig "negative" Berechtigungen (so wie explizietes Verweigern) einzusetzen, weil man nach einer gewissen Zeit die Übersicht verlieren kann....

[NetSpider 10]

Die User welche die GPO nicht übernehmen dürfen durch einen WMI Filter Filtern oder ein eine OU Verschieben welche die Vererbung von oben nicht erlaub.

 

Is auch noch ne möglichkeit

[menkee 10]

Ich vermute OE steht für "Organisations Einheit", besser bekannt als OU "Organisational Unit". Also, wenn man so will, ein "Ordner" im AD.

 

Also prinzipiell kann man mit den Berechtigungen auf ein GPO zwei Dinge steuern:

1.) Wer soll das GPO anwenden?

2.) Wer soll das GPO bearbeiten/lesen dürfen?

 

Um eine GPO anwenden zu können braucht die Gruppe/der User die Berechtigungen für "Lesen" und "übernehmen".

 

Will ich expliziet einer Gruppe/einem User das Recht die Anwednung einer GPO verweigern, so empfiehlt es sich, die Leseberechtigung zu entziehen. Dies ist aus Performancegründen von Vorteil. Wenn ich "nur" das recht auf übernehmen entziehe, wird die GPO komplett durchgearbeitet und am Ende wird dann die Übernahme der Einstellungen verweigert.

Allerdings ist es Best Practice, möglichst wenig "negative" Berechtigungen (so wie explizietes Verweigern) einzusetzen, weil man nach einer gewissen Zeit die Übersicht verlieren kann....

 

Ok, nun habe ich das auch verstanden, werde ich gleich mal einige male probieren, Vielen Dank