Gruppenrichtlinien

Diskutiere Gruppenrichtlinien im Windows Server 2000 Forum im Bereich Server Systeme; Hi Leutz, das mit den beiden Netzwerkkarten habe ich zwar erst so halb gelöst (eine deinstalliert :D) und schon habe ich das nächste Problem: Man...
A

achterburg

Threadstarter
Mitglied seit
03.08.2004
Beiträge
11
Hi Leutz, das mit den beiden Netzwerkkarten habe ich zwar erst so halb gelöst (eine deinstalliert :D) und schon habe ich das nächste Problem:

Man kann ja bei W2k Server für jede Organisationseinheit eine eigene Gruppenrichtlinie vergeben. Standartmäßig gibt es eine für die Domäne und eine für die Domänencontroller. Jetzt ist es bei mir aber leider so, dass meine Clients die Einstellungen der Domän Group Police nur halbherzig bis gar nicht übernehmen (also des öfteren bekommt der IE seine Einstellungen und die Favoriten usw werden ausgeblendet, was aber noch nie geklappt hat sind die IPSec Richtlinien oder die Benutzerrechte oder Sicherheitsoptionene, diese werden nie übernomen). Dafür übernimmt mein Dc (Domain Controller) Diese Gruppenrichtilinie umso mehr, was er ja aber gar nicht soll. Für ihn ist ja eine eigene vorgesehen. Jetzt habe ich schon mehrer sache versucht, und glaube, dass es daran liegt, dass zwar seine eigene Gruppenrichtlinie vorrang hat, sobald dort aber etwas nciht definiert wurde, nimmt er die einstlungen der Domain Gruppenrichtilinie.

Frage 1: Kann man das abschalten?
Frage2: Warum übernehmen meine Clients die Einstellungen nicht??

gruß Börnie
 
A

achterburg

Threadstarter
Mitglied seit
03.08.2004
Beiträge
11
alles klar, das erste prob mit dem Gruppenrichtlinienauswirkungen auf den DC hat sich erledigt: In Der Group Police der Domäne war "kein Vorrang" eingestellt, so dass diese Richtlinie alle unter ihr liegenden überschrieben hat, egal, ob man übergeordnete Richtlinien übernimmt oder nicht

Trotzdem weis ich nicht, warum meine Clients ihre Richtlinien nur unregelmäßig und unvollständig erhalten
 
R

rajsio

Mitglied seit
01.10.2002
Beiträge
527
Alter
46
Standort
Castrop-Rauxel
Hi
grundsätzlich werden die GP von oben nach unten angewendet, es sei den das z.B. kein vorrang gesetzt ist.

Heist also als erstes wird die Domain GPO angewendet dann der Reihe nach (Baumstruktur der OUs).
Wenn Du in der Domain GP eine Einstellung gemacht hast mit z.B. deaktiviert und auf eine OU ein GP gesetzt hast wo die selbe einstellung mit aktiviert steht, gillt die letzte GP also aktiviert.

HMM hoffe das man es verstehen kann was ich da so schreibe.

Ich habe meine GPOs so gemacht (versuche es in Baumstruktur):

> Domaine (Domain Policy)
---> Computers (standardmässig kommen hier neue Pc-Accounts)
---> Domain-Server (hier habe ich Server)
---> Domain Controllers (hier ind die DCs)
---> Domain Computer (hier packe ich die PCs aus "Computers")
------> Region Ruhgebiet (PCs aus dem Ruhgebiet)
-------|-> Gelsenkirchen (PCs aus GE)
----------|-> Einrichtung A (PCs aus Einrichtung A)
-------------|-> Abteilung A (PCs Abteilung A)
-------|-> Dortmund (PCs aus Dortmund)
----------|-> Einrichtung A (PCs aus Einrichtung A)
-------------|-> Abteilung A (PCs Abteilung A)
-------|-> usw.
------> Region Westfallen Nord (PCs aus dieser Region)
-------|-> ...
----------|-> Einrichtung A (PCs aus Einrichtung A)
-------------|-> Abteilung A (PCs Abteilung A)
------> Region Westfallen Süd (PCs aus dieser Region)
-------|-> ...
---> Domain User (hier kommen die User)
------> Region Ruhgebiet (User aus dem Ruhgebiet)
-------|-> Gelsenkirchen (User aus GE)
----------|-> Einrichtung A (User aus Einrichtung A)
-------------|-> Abteilung A (User Abteilung A)
-------|-> Dortmund (User aus Dortmund)
----------|-> Einrichtung A (User aus Einrichtung A)
-------------|-> Abteilung A (User Abteilung A)
-------|-> usw.
------> Region Westfallen Nord (User aus dieser Region)
-------|-> ...
------> Region Westfallen Süd (User aus dieser Region)
-------|-> ...

Jetzt kannst Du auf die OU Domain Server GP setzen die nur auf Server gelten sollen.
Auf die Domain Computers und darunterliegende OUs entsprechende GPOs setzen die nur auf Computer gelten sollen und gezielt auf deine Region bzw. Abteilung (wie genau du dir das machst ist egal, ich habe mit Region angefangen und bin auf Abteilung einer bestimmten Einrichtung stehen geblieben).
Auf die Domain User macht man genau das selbige wie Computer nur dass dort die User drin sind.

schau hier nach
http://www.gruppenrichtlinien.de/

Hier kannst Du dir ein MS Tolls fü XP laden mit dem man wunder bar die Funktionalität der Richtlinien überprüfen kann und die Richtlinien verwalten erstellen usw. kann.

Group Policy Management Console with Service Pack 1 - Deutsch
http://www.microsoft.com/downloads/details...&DisplayLang=de

Gruß Raphael
 
A

achterburg

Threadstarter
Mitglied seit
03.08.2004
Beiträge
11
Vielen Dank, das mit der Reihenfolge habe ich glaube ich verstanden. Ich muss mir nur nochmal anschau wie das ist, wenn ich bei "Richtlinien Vererbung deaktivieren" ein Häkchen setze. Irgendwie stoppt der die Vererbung trotzdem nicht, da bn ich mir jetzt sicher. Ich habe nämlich erstal standartmäßig eine GP für die Domain und eine für den Domänencontroller. Bei der für den Domänencontroller habe hab ich den benutzerdefinierten teil über "Eigenschaften" ausgeschaltet, weil ich den beim PDC meiner Meinung nach nicht brauche. Damit er aber nicht die Benutzerrichtlinien der Domäne erhällt, weil die strenger sind, habe ich auf "Richtlinien Vererbung deaktiviern" in der OU des Domänencontrollers gklickt. Was ich daher nicht verstehe ist, dass dennoch Programme beim start gestartet werden oder andere Einstellungen vorhanden sind, die ich nur in der GP der Domäne vorgenomen habe. hm..komisch, na wenigstens geht das mit den Computerrichtlinien jetzt :danke
 
F

Fengari

Mitglied seit
08.09.2004
Beiträge
3
Hallo,

das Stoppen der Richlinien von OU´s klappt nur solange die für übergeordnete Richtlinien die Einstellung "Kein Vorang" weg lässt. Man kann in jeder OU die Richtlinienvererbung ja deaktivieren, wenn jedoch eine übergeordnete einen Vorrang hat, wird sie trotzdem ausgeführt. Deshalb sollte man mit "Kein Vorrang" ja auch sehr vorsichtig sein.

Ich bin IT-Trainer mit 13 Jahren Schulungserfahrung, gebe Workshops und Schulungen in Microsoft Windows

Server, Exchange, Citrix Metaframe Presentation Server / XP sowie Novell NetWare.

Ich biete individuelle und professionelle Kurse für Unternehmen als Inhouse-Seminar / Workshop an. Meine
Workshops sind ganz auf die Bedürfnisse des jeweilgen Unternehmens abgestimmt.

inhouse.seminare@t-online.de

http://www.direct-trainer.de

Gruss

Werner :prof :prof :prof :prof :prof
 
T

Tomy Tom

Mitglied seit
31.12.2003
Beiträge
158
Alter
50
Das mit dem KEIN VORRANG wurde auch von MS etwas dumm übersetzt.
In einem englischen BS heißt diese Option "NO OVERRIDE" und damit wird es auch klarer ;)

Die GPO wird immer wie folgt abgearbeitet: DOMÄNE -> DC -> OU -> OU...... -> LOKAL.

Ist nun wie bei Dir auf dem DC eine GPO aktiv die KEIN VORRANG (No OVERRIDE) hat, dann kann in der GPO in den OU's und LOKAL drinstehen was will, die GPO wird nicht übernommen/überschrieben weil die GPO von oben eben nicht überschrieben werden kann.

Das einige CLIENTS bei Dir die GPO eventuell nicht annehmen kann durchaus daran liegen, daß eventuel LOKAL GPO's aktiv sind die eine GPO von der OU überschreibt bzw. die Vererbung deaktiviert ist.

Nur nochmals zum Verständnis:

VERERBUNG DEAKTIVIEREN heißt das ich eine Richtlinie über mir DEAKTIVIERE also nicht abbekomme, es sei denn diese Richtlinie hat KEIN VORRANG aktiviert.
 
F

Fengari

Mitglied seit
08.09.2004
Beiträge
3
Hallo Tommy Tom,

sorry, ich bin Trainer, kann nix dafür :-).

Deine Reihenfolge:

Die GPO wird immer wie folgt abgearbeitet: DOMÄNE -> DC -> OU -> OU...... -> LOKAL.

ist nicht ganz korrekt, wenn es eine lokale Richtlinie gibt, wird diese zuerst bearbeitet:

Lokale, Domain, Site und dann die OU.

Zum Testen und nachvollziehen. Verstecke einmal das Netzwerksymbol mit einer lokalen Richtline eine Computers/Benutzers der Mitglied einer Domain ist. Lege mit der Domänene-Richtline fest, das das Netzwerksymbol wieder verfügbar ist. Du wirst sehen, die Richtlinie der Domäne hat Priorität, das sie erst nach der lokalen Richtline ausgeführt wird. Man kann alles beweisen, ist besonders als Trainer wichtig. ;-)

Cuuuu Werner
 
R

rajsio

Mitglied seit
01.10.2002
Beiträge
527
Alter
46
Standort
Castrop-Rauxel
Das stimmt,
die Domain-Richtlinien werden von oben nach unten abgearbeitet wobei standardmäßig die letzte gillt. Die Lokalen dürfen aber nicht die Domain überschreiben sonst hat es kein sinn mit der Domainverwaltung.

mfg
Raphael
 
Thema:

Gruppenrichtlinien

Gruppenrichtlinien - Ähnliche Themen

  • [Windows 10 Home] GPResult kennt Parameter H für Gruppenrichtlinien-Bericht nicht

    [Windows 10 Home] GPResult kennt Parameter H für Gruppenrichtlinien-Bericht nicht: Hallo liebe Community, wenn ich unter Windows 10 Home Version 1909 Systembuild 18363.418 als Administrator in der Kommandozeile (CMD) den Befehl...
  • Gruppenrichtlinie auf vssadmin?

    Gruppenrichtlinie auf vssadmin?: Betrifft: Windows 10(x64), 1903 (19362.388) Hallo Seit mind. 2.10.19 arbeitet mein ashampoo backup-Programm nicht mehr. Nach meinen Recherchen...
  • Gruppenrichtlinien von Windows zum passenden Eintrag der Registry zuordnen mit GPSEARCH

    Gruppenrichtlinien von Windows zum passenden Eintrag der Registry zuordnen mit GPSEARCH: Heute mal ein kleine Tipp der für Einsteiger sicher völlig ungeeignet ist, aber es gibt ja eben nicht nur solche und so mancher will oder muss...
  • App vom Systemadministrator gesperrt, Programm wird durch Gruppenrichtlinie gesperrt

    App vom Systemadministrator gesperrt, Programm wird durch Gruppenrichtlinie gesperrt: Hallo, ich habe seit Wochen das Problem mit meinem Windows 10-Notebook, dass ich keine heruntergeladenen Programme (neue oder zu...
  • Gruppenrichtlinien und gpedit.msc in Windows 10 Home über BAT Datei installieren und öffnen

    Gruppenrichtlinien und gpedit.msc in Windows 10 Home über BAT Datei installieren und öffnen: Eine Option die in Windows 10 Home zwar fehlt, die aber eigentlich auch viele nicht brauchen und deswegen auch nicht vermissen, sind die...
  • Ähnliche Themen

    Oben