Jump to content

Berechtigung auf GPOs

menkee

Von menkee
in Windows Forum — Allgemein

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

menkee Proficient

menkee   10

Geschrieben
Geschrieben

Hallo Leute

 

Kämpfe mich gerade durch die GPO`s durch, was ich bis jetzt alles verstanden habe, bloss bei den Berechtigungen, habe ich den Druchblick noch nicht so.

Was bewirken die berechtigungen auf die OE?

Wenn ich in eine OE eine Gruppe aufnehme und ihr z.b schreibezugriff gib, wo/auf was hat sie dann schreibzugriff?

 

Sind damit wohl die Admins denen Berechtigungen vergeben werden um die OE zu supporten? Habe ich das richtig verstanden?

Link zu diesem Kommentar
Gadget Grand Master

Gadget   37

Geschrieben
Geschrieben

Moin,

 

OE die Abkürzung ist mir noch nie untergekommen u. ich beschäftige mich schon lang mit Gruppenrichtlinien. Ich gehe davon aus du sprichst von ACL´s (Access Control Lists) auf GPO´s (Group Policy Object).

 

Ich würds nicht komplizierter machen wie´s ist an den Schreibberechtigungen brauchst du nix verändern, das einzige was interessant ist, ist der Eintrag "Gruppenrichtlinie übernehmen" wenn du die auf verweigern setzt kannst du efektiv filtern. Nachdem du natürlich die Authentifizierten Benutzer entfernt hast.

 

Targeting GPOs / Security Filtering

By modifying the security groups associated with a GPO, the application of the GPO can be further refined. For example, if a GPO is linked to OU A and has a security filter for the MyGroup security group, then all accounts that are in OU A and MyGroup will be affected by the GPO. By default a newly created GPO's security Access Control List (ACL) contains an Access Control Entry (ACE) for the Authenticated Users group which has the Read and Apply Group Policy permissions. Since Authenticated Users includes all computers and users in the domain, a new GPO will be processed by all users and computers. So, for example, if you want to restrict a GPO's application to only the users in MyGroup, you would remove the Authenticated Users ACE and add one for MyGroup with Read and Apply Group Policy permissions.

 

LG Gadget

Link zu diesem Kommentar
Meierkurth Contributor

Meierkurth   10

Geschrieben
Geschrieben

Ich vermute OE steht für "Organisations Einheit", besser bekannt als OU "Organisational Unit". Also, wenn man so will, ein "Ordner" im AD.

 

Also prinzipiell kann man mit den Berechtigungen auf ein GPO zwei Dinge steuern:

1.) Wer soll das GPO anwenden?

2.) Wer soll das GPO bearbeiten/lesen dürfen?

 

Um eine GPO anwenden zu können braucht die Gruppe/der User die Berechtigungen für "Lesen" und "übernehmen".

 

Will ich expliziet einer Gruppe/einem User das Recht die Anwednung einer GPO verweigern, so empfiehlt es sich, die Leseberechtigung zu entziehen. Dies ist aus Performancegründen von Vorteil. Wenn ich "nur" das recht auf übernehmen entziehe, wird die GPO komplett durchgearbeitet und am Ende wird dann die Übernahme der Einstellungen verweigert.

Allerdings ist es Best Practice, möglichst wenig "negative" Berechtigungen (so wie explizietes Verweigern) einzusetzen, weil man nach einer gewissen Zeit die Übersicht verlieren kann....

Link zu diesem Kommentar
menkee Proficient

menkee   10

Geschrieben
  • Autor
Geschrieben
Ich vermute OE steht für "Organisations Einheit", besser bekannt als OU "Organisational Unit". Also, wenn man so will, ein "Ordner" im AD.

 

Also prinzipiell kann man mit den Berechtigungen auf ein GPO zwei Dinge steuern:

1.) Wer soll das GPO anwenden?

2.) Wer soll das GPO bearbeiten/lesen dürfen?

 

Um eine GPO anwenden zu können braucht die Gruppe/der User die Berechtigungen für "Lesen" und "übernehmen".

 

Will ich expliziet einer Gruppe/einem User das Recht die Anwednung einer GPO verweigern, so empfiehlt es sich, die Leseberechtigung zu entziehen. Dies ist aus Performancegründen von Vorteil. Wenn ich "nur" das recht auf übernehmen entziehe, wird die GPO komplett durchgearbeitet und am Ende wird dann die Übernahme der Einstellungen verweigert.

Allerdings ist es Best Practice, möglichst wenig "negative" Berechtigungen (so wie explizietes Verweigern) einzusetzen, weil man nach einer gewissen Zeit die Übersicht verlieren kann....

 

Ok, nun habe ich das auch verstanden, werde ich gleich mal einige male probieren, Vielen Dank

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...