Allgemeine Frage zu GPO
Hallo,
ich glaube ich habe hier gerade ein Verständnisproblem. Ein Client ist in der StandardOU "Computer". Weitere OUs sind in der GPMC unterhalb der Root angelegt. weiter darunter befinden sich die Nutzer und die Clients. Dahinter sind auch GPOs angelegt.
Zu meiner Frage:
Der eine Client, der im Standardcontainer "Computer" ist, auf dem dürften doch eigentlich keine GPOs wirken (außer der Default GPO). Denn von diesem Conainer "sieht" man ja keine Nutzer und Clients.
Allerdings wilken hier alle GPOs auf dem Client, die BenutzerGPOs enthalten.
Ist das Verhalten hier richtig? wenn ja, warum wirken hier die BenutzerGPOs? Die ComputerGPOs wirken hier nicht.
Schon mal vielen Dank für Eure Hilfe.
ich glaube ich habe hier gerade ein Verständnisproblem. Ein Client ist in der StandardOU "Computer". Weitere OUs sind in der GPMC unterhalb der Root angelegt. weiter darunter befinden sich die Nutzer und die Clients. Dahinter sind auch GPOs angelegt.
Zu meiner Frage:
Der eine Client, der im Standardcontainer "Computer" ist, auf dem dürften doch eigentlich keine GPOs wirken (außer der Default GPO). Denn von diesem Conainer "sieht" man ja keine Nutzer und Clients.
Allerdings wilken hier alle GPOs auf dem Client, die BenutzerGPOs enthalten.
Ist das Verhalten hier richtig? wenn ja, warum wirken hier die BenutzerGPOs? Die ComputerGPOs wirken hier nicht.
Schon mal vielen Dank für Eure Hilfe.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 345290
Url: https://administrator.de/contentid/345290
Ausgedruckt am: 13.11.2024 um 22:11 Uhr
4 Kommentare
Neuester Kommentar
Wie du schon selbst festgestellt hast, wirken Benutzer GPO's auf die Benutzer unabhängig vom Computer-Objekt.
Der Grund hierfür ist, dass die "GP" für Benutzer dort angewendet wird, wo das Benutzerobjekt liegt. Das Computerobjekt ist in dem Fall egal.
Wenn du Computer-basiert gewisse Benutzer-GPO wirken lassen möchtest, informiere dich über die so genannte "loopbackverarbeitung".
Bedenke auch, dass innerhalb einer GPO Regeln für Computer UND Benutzer stehen können.
Ohne loopback wird basierend auf einem Computer Objekt immer nur die Computer-einstellung angewendet und vice versa. (weswegen ich es auch vermeide Computer und Benutzer Einstellungen in einem GPO zu kombinieren)
Beispiel:
Du hast die OU-Computer und die OU-User.
In OU-Computer hast du eine GPO mit "Computereinstellung-X" und eine GPO mit "Usereinstellung-Y"
in OU-User hast du eine GPO mit "Usereinstellung-Z"
Meldet sich jetzt ein User aus der "User-OU" an einem Computer der in "OU-Computer" liegt an, wird die "Computereinstellung-X" und die "Usereinstellung-Z" angewendet.
Usereinstellung-Y findet keine Anwendung, da der User nicht in der OU-Computer liegt.
Mit einer Loopbackverarbeitung könntest du bewirken, dass "Usereinstellung-Y" greift.
Der Grund hierfür ist, dass die "GP" für Benutzer dort angewendet wird, wo das Benutzerobjekt liegt. Das Computerobjekt ist in dem Fall egal.
Wenn du Computer-basiert gewisse Benutzer-GPO wirken lassen möchtest, informiere dich über die so genannte "loopbackverarbeitung".
Bedenke auch, dass innerhalb einer GPO Regeln für Computer UND Benutzer stehen können.
Ohne loopback wird basierend auf einem Computer Objekt immer nur die Computer-einstellung angewendet und vice versa. (weswegen ich es auch vermeide Computer und Benutzer Einstellungen in einem GPO zu kombinieren)
Beispiel:
Du hast die OU-Computer und die OU-User.
In OU-Computer hast du eine GPO mit "Computereinstellung-X" und eine GPO mit "Usereinstellung-Y"
in OU-User hast du eine GPO mit "Usereinstellung-Z"
Meldet sich jetzt ein User aus der "User-OU" an einem Computer der in "OU-Computer" liegt an, wird die "Computereinstellung-X" und die "Usereinstellung-Z" angewendet.
Usereinstellung-Y findet keine Anwendung, da der User nicht in der OU-Computer liegt.
Mit einer Loopbackverarbeitung könntest du bewirken, dass "Usereinstellung-Y" greift.
Richtig, es wirkt immer nur "nach unten".
Ebenso zu beachten:
Die "Verarbeitungs- Reihenfolge" ist prinzipiell gesehen zuerst "Local-policy" und dann Absteigend "Site - Domain - OU"
Also zuerst verarbeitet der Computer was er bei sich in der local policy hat.
Dann was auf Site-ebene an GPO vorhanden ist, danach die Domäne und hier absteigend in der Hierarchie durch die verschiedenen OU.
Was hierbei wichtig ist. Was zuerst verarbeitet wird, hat die die kleinere "Rangordnung". Je näher ein GPO am Objekt ist, um so höher ist es in der Rangordnung.
Wird z.B. auf Domänen Ebene ein GPO verknüpft, welches "Einstellung-X" mit Wert 0 belegt, wird dieser Wert überschrieben, wenn weiter unten auf OU Ebene ein anderes GPO verlinkt ist, welches die selbe "Einstellung-X" mit Wert 1 angibt.
Kurz gesagt: Der letzte der schreibt, hat recht.
Aber auch hier wieder eine Ausnahme: ein "Enforced/Erzwungen" GPO. Aber ich denke es ist besser, wenn du dich darüber einfach selbst noch etwas informierst. Ich hab immer etwas Probleme meine Texte ordentlich Strukturiert zu verfassen
Ebenso zu beachten:
Die "Verarbeitungs- Reihenfolge" ist prinzipiell gesehen zuerst "Local-policy" und dann Absteigend "Site - Domain - OU"
Also zuerst verarbeitet der Computer was er bei sich in der local policy hat.
Dann was auf Site-ebene an GPO vorhanden ist, danach die Domäne und hier absteigend in der Hierarchie durch die verschiedenen OU.
Was hierbei wichtig ist. Was zuerst verarbeitet wird, hat die die kleinere "Rangordnung". Je näher ein GPO am Objekt ist, um so höher ist es in der Rangordnung.
Wird z.B. auf Domänen Ebene ein GPO verknüpft, welches "Einstellung-X" mit Wert 0 belegt, wird dieser Wert überschrieben, wenn weiter unten auf OU Ebene ein anderes GPO verlinkt ist, welches die selbe "Einstellung-X" mit Wert 1 angibt.
Kurz gesagt: Der letzte der schreibt, hat recht.
Aber auch hier wieder eine Ausnahme: ein "Enforced/Erzwungen" GPO. Aber ich denke es ist besser, wenn du dich darüber einfach selbst noch etwas informierst. Ich hab immer etwas Probleme meine Texte ordentlich Strukturiert zu verfassen