11
2 GPO die sich ausschließen in gleicher OU... geht das überhaupt? Wenn ja welche hat Vorrang
Hallo.
Diese Frage könnt ihr mir sicher schnell und eifnach beantworten.
Also ich habe 2 GPO's. Diese unterscheiden sich in kleineren Punkten. Eine wirkt auf alle User welche in der OU stehen. Die andere soll nur auf die User innerhalb der OU wirken, welche auch Mitglied eines Gruppenobjekts sind.
für diese habe ich im Sicherheitsfilter das Gruppenobjekt anstelle auth. USER eingestellt.
Ist das 2te GPO jetzt "höherwertiger" als das erste, weil eine bestimmtes Gruppenobjekt eingestellt ist? Oder "beißen" sich die GPO's und es funtkioniert überhaupt nicht.
Ich weiß, dass ich die bestimmten USER in eine UnterOU setzen könnte und für diese eine GPO in der UnterOU höherwertiger wäre. Dies ist bei uns aber nicht so vorgesehen.
Zudem sind Die Gruppenobjekte (also zb einzelne Abteilungen) in einer anderen OU. Darüber werden normalerweise nur Berechtigungen gehandelt.
Zudem.. gibt es eine Möglichkeit das greifen einer GPO hier im speziellen das Kennwortalter für einen bestimmten USER zu überprüfen ohne das ich mich mit dem USER Profil anmelden muss und dort GPRESULT schaue?
Danke für die immer so schnelle Hilfe
Migosch
Diese Frage könnt ihr mir sicher schnell und eifnach beantworten.
Also ich habe 2 GPO's. Diese unterscheiden sich in kleineren Punkten. Eine wirkt auf alle User welche in der OU stehen. Die andere soll nur auf die User innerhalb der OU wirken, welche auch Mitglied eines Gruppenobjekts sind.
für diese habe ich im Sicherheitsfilter das Gruppenobjekt anstelle auth. USER eingestellt.
Ist das 2te GPO jetzt "höherwertiger" als das erste, weil eine bestimmtes Gruppenobjekt eingestellt ist? Oder "beißen" sich die GPO's und es funtkioniert überhaupt nicht.
Ich weiß, dass ich die bestimmten USER in eine UnterOU setzen könnte und für diese eine GPO in der UnterOU höherwertiger wäre. Dies ist bei uns aber nicht so vorgesehen.
Zudem sind Die Gruppenobjekte (also zb einzelne Abteilungen) in einer anderen OU. Darüber werden normalerweise nur Berechtigungen gehandelt.
Zudem.. gibt es eine Möglichkeit das greifen einer GPO hier im speziellen das Kennwortalter für einen bestimmten USER zu überprüfen ohne das ich mich mit dem USER Profil anmelden muss und dort GPRESULT schaue?
Danke für die immer so schnelle Hilfe
Migosch
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 208585
Url: https://administrator.de/contentid/208585
Ausgedruckt am: 25.11.2024 um 18:11 Uhr
11 Kommentare
Neuester Kommentar
Hallo Migosch,
Grüße Uwe
Zitat von @migosch83:
Ist das 2te GPO jetzt "höherwertiger" als das erste, weil eine bestimmtes Gruppenobjekt eingestellt ist? Oder
"beißen" sich die GPO's und es funtkioniert überhaupt nicht.
Die Reihenfolge wie die GPOs angewendet werden lässt sich im Gruppenrichtlinieneditor festlegen. Bei gleichen Einstellungen wird die GPO die später angewendet wird die vorherige Einstellung überschreiben. Du hast aber in den GPOs die Möglichkeit anzugeben wie die Richtlinie angewendet wird(Ersetzen/Zusammenführen) > Stichwort: Loopback-RichtlinienverarbeitungIst das 2te GPO jetzt "höherwertiger" als das erste, weil eine bestimmtes Gruppenobjekt eingestellt ist? Oder
"beißen" sich die GPO's und es funtkioniert überhaupt nicht.
Zudem.. gibt es eine Möglichkeit das greifen einer GPO hier im speziellen das Kennwortalter für einen bestimmten USER zu
überprüfen ohne das ich mich mit dem USER Profil anmelden muss und dort GPRESULT schaue?
Hierzu gibt es ebenfalls im Gruppenrichtlinieneditor den Knoten Gruppenrichtlinien-Ergebnisse. Mit dem man die Auswirkungen von GPOs auf bestimmte AD-Objekte(Computer/User) simulieren kann.überprüfen ohne das ich mich mit dem USER Profil anmelden muss und dort GPRESULT schaue?
Grüße Uwe
Hallo Uwe,
danke für deine schnelle Antwort. Mit den Gruppenrichtlinien konnte ich jetzt sehen das meine Richtlinie überhaupt nicht angewandt wird.
Ich glaub ich stehe gerade auf dem Schlauch...
Also ich hole mal kurz weiter aus.
1. OU - alle Clients (mit Unter OU)
2. OU - Gruppen (Abteilungen etc)
3. OU - User
in der 3. Ou gibt es schon eine GPO bezüglich Kennwortrichtlinie.
Ich möchte die für eine bestimmte Gruppe ändern. Die Gruppe steht in der 2. OU.
Meine Überlegung war jetzt Die GPO mit der anderen Kennwortrichtlinie auch unter 3. zu packen aber mit einer Filterung nur für Mitglieder der Gruppe aus 2.
Jetzt merke ich aber das es sich ja um eine Richtlinie für Computer handelt... Drehe ich mich gerade völlig im Kreis?!
Wenn alles nichts hilft werde ich jeden einzelnen Nutzer der Gruppe anfassen.. wenn ich mich recht erriner kann ich auch nur dort ein bestimmtes Ablaufdatum festlegen oder?!
Danke
Migosch
danke für deine schnelle Antwort. Mit den Gruppenrichtlinien konnte ich jetzt sehen das meine Richtlinie überhaupt nicht angewandt wird.
Ich glaub ich stehe gerade auf dem Schlauch...
Also ich hole mal kurz weiter aus.
1. OU - alle Clients (mit Unter OU)
2. OU - Gruppen (Abteilungen etc)
3. OU - User
in der 3. Ou gibt es schon eine GPO bezüglich Kennwortrichtlinie.
Ich möchte die für eine bestimmte Gruppe ändern. Die Gruppe steht in der 2. OU.
Meine Überlegung war jetzt Die GPO mit der anderen Kennwortrichtlinie auch unter 3. zu packen aber mit einer Filterung nur für Mitglieder der Gruppe aus 2.
Jetzt merke ich aber das es sich ja um eine Richtlinie für Computer handelt... Drehe ich mich gerade völlig im Kreis?!
Wenn alles nichts hilft werde ich jeden einzelnen Nutzer der Gruppe anfassen.. wenn ich mich recht erriner kann ich auch nur dort ein bestimmtes Ablaufdatum festlegen oder?!
Danke
Migosch
Was für einen Windows Server hast du ?
Bei Server 2003 gilt die Kennwortrichtlinie immer für die ganze Domäne.
Einzige Ausnahme: Wenn du eine solche Richtlinie auf eine OU linkst, in der Computerkonten enthalten sind, dann gelten die Richtlinien für die lokalen Konten auf diesen Computern, aber nicht für Domänenobjekte.
Ab Server 2008 sieht das ganze anders aus, aber auch hier lassen sich die Regeln nicht auf eine OU anwenden sondern nur Benutzerobjekten, InetOrgPerson-Objekten und globalen Sicherheitsgruppen : PSOs erstellen
Bei Server 2003 gilt die Kennwortrichtlinie immer für die ganze Domäne.
Einzige Ausnahme: Wenn du eine solche Richtlinie auf eine OU linkst, in der Computerkonten enthalten sind, dann gelten die Richtlinien für die lokalen Konten auf diesen Computern, aber nicht für Domänenobjekte.
Ab Server 2008 sieht das ganze anders aus, aber auch hier lassen sich die Regeln nicht auf eine OU anwenden sondern nur Benutzerobjekten, InetOrgPerson-Objekten und globalen Sicherheitsgruppen : PSOs erstellen
So ja es ist ein 2008 R2 und die Richtlinie steht innerhalb der OU und funtkioniert auch. Und in dieser sind nur Benutzer enthalten. Deswegen bin ich gerade ein wneig durcheinander.
Und in der Default Domain Policy, die ja oberhalb steht sind die Richtlinien anders. Das hat zur Folge, dass Benutzer die nicht in OU 3 stehen sonder in zb 4 nur die Default Regel zu spüren bekommen. Und das läuft auch so...bei uns.. in echt
Mit deinem Link habe ich mal geschaut.. Könnte man jetzt probieren eine policy nur auf die Gruppe zu erstellen, aber zerlege ich damit nicht eventuell die schon vorhandenen Richtlinien? Da dort unter dem Passwort Settings Container noch keine Regeln implementiert sind.
Und in der Default Domain Policy, die ja oberhalb steht sind die Richtlinien anders. Das hat zur Folge, dass Benutzer die nicht in OU 3 stehen sonder in zb 4 nur die Default Regel zu spüren bekommen. Und das läuft auch so...bei uns.. in echt
Mit deinem Link habe ich mal geschaut.. Könnte man jetzt probieren eine policy nur auf die Gruppe zu erstellen, aber zerlege ich damit nicht eventuell die schon vorhandenen Richtlinien? Da dort unter dem Passwort Settings Container noch keine Regeln implementiert sind.
so was bastelt man auch nicht in einer Live-Domain sondern testet dies am besten vorher in einer VM ...
Hi.
Nimm PSOs, wenn Du mit Gruppen arbeiten willst, anders geht es nicht.
Und in dieser sind nur Benutzer enthalten
Dann kann sie nicht funktionieren, was bei Dir auf Domänenkennwörter angewendet wird, kann nicht von einer GPO kommen, die auf Userobj. angewendet wird, sondern nur von GPOs, die auf Domänencontroller angewendet werden, 100%ig und ohne Zweifel.Nimm PSOs, wenn Du mit Gruppen arbeiten willst, anders geht es nicht.
Euch beiden großes Danke.
Ihr habt mir zumindest ein wenig mehr Durchblick verschafft.
Dennoch GPO mit der Kennwortrichtlinie steht in der OU der User (nicht zu verwechseln mit dem CN=Users). Und ich kann sie ja durch "net user alias /domain |more" und die GPO Ergebnisse überprüfen. Bei beiden stehen die Richtlinien so fest.
Habe auch alle anderen GPOs nochmal eingesehen. Keine weitere hat Kennwortrichlinien.
Testen geht nicht. Manchmal müssen gewisse Sachen gleich ausprobiert werden.
Wir werden jetzt über die Kontodeaktivierung zu bestimmten Datum gehen. Und Filtern über benutzerdefinierte Abfrage. Das gibt uns auch mehr Kontrolle wann die Konten ablaufen.
Sollte hier mal ein neuer Server aufgesetzt werden, werde ich die PSO nehmen. (Nach ausgiebigen Tests
Danke nochmal!!
Ihr habt mir zumindest ein wenig mehr Durchblick verschafft.
Dennoch GPO mit der Kennwortrichtlinie steht in der OU der User (nicht zu verwechseln mit dem CN=Users). Und ich kann sie ja durch "net user alias /domain |more" und die GPO Ergebnisse überprüfen. Bei beiden stehen die Richtlinien so fest.
Habe auch alle anderen GPOs nochmal eingesehen. Keine weitere hat Kennwortrichlinien.
Testen geht nicht. Manchmal müssen gewisse Sachen gleich ausprobiert werden.
Wir werden jetzt über die Kontodeaktivierung zu bestimmten Datum gehen. Und Filtern über benutzerdefinierte Abfrage. Das gibt uns auch mehr Kontrolle wann die Konten ablaufen.
Sollte hier mal ein neuer Server aufgesetzt werden, werde ich die PSO nehmen. (Nach ausgiebigen Tests
Danke nochmal!!
Dennoch GPO mit der Kennwortrichtlinie steht in der OU der User...
Du spielst rum. Prüf einfach am DC mit rsop.msc. Dort steht klipp und klar, welche die "winning GPO" ist, die für Deine KW-Richtlinie verantwortlich ist.
1
So danke das du wusstest Du hast recht.. was dir natürlich klar war.
Am DC bringt es zwar nix, a der wirklich auch andere Rechte mitbringt, aber ich habe über die Gruppenlinienergebnisse der Clients und rsop am client nochmal geschaut. Die Richtlinie Zieht zwar die in der OU steht, aber nur im Bereich der Benutzerkonfig. Computerkonfig und damit auch Kennwort zieht die Domain Default.
Noch ein Problem mehr was dieser Server hat...
Ihr habt mich aber für die Zukunft in die richtige Richtung gewiesen denke ich. Ich weiß zwar nicht wie der "Stabndard" aussieht aber ich denke wir werden hier über die PSO's arbeiten, da einzelne Gruppen unterschiedliche Rechte brauchen und das scheinbar über die Rangfolgen gut zu handlen ist.
Bei uns kann sich leider jeder überall einloggen... Welche Richtlinie genutzt wird muss also in irgendweiner Weise USER/Gruppen abhängig sein.
Du hast recht.. was dir natürlich klar war.Am DC bringt es zwar nix, a der wirklich auch andere Rechte mitbringt, aber ich habe über die Gruppenlinienergebnisse der Clients und rsop am client nochmal geschaut. Die Richtlinie Zieht zwar die in der OU steht, aber nur im Bereich der Benutzerkonfig. Computerkonfig und damit auch Kennwort zieht die Domain Default.
Noch ein Problem mehr was dieser Server hat...
Ihr habt mich aber für die Zukunft in die richtige Richtung gewiesen denke ich. Ich weiß zwar nicht wie der "Stabndard" aussieht aber ich denke wir werden hier über die PSO's arbeiten, da einzelne Gruppen unterschiedliche Rechte brauchen und das scheinbar über die Rangfolgen gut zu handlen ist.
Bei uns kann sich leider jeder überall einloggen... Welche Richtlinie genutzt wird muss also in irgendweiner Weise USER/Gruppen abhängig sein.
GPO`s werden von unten nach oben abgearbeitet.
Somit ist dann klar , wer die Winning GPO sein wird.
gruss
Ralf
Somit ist dann klar , wer die Winning GPO sein wird.
gruss
Ralf
Joa, aber es gibt noch enforcements und no override.
