137431
Sep 06, 2019
8316
5
0
Was sind "eingeschränkte Gruppen" in einer GPO?
Hi,
verstehe nicht, was diese Einstellung in der GPO bedeutet. Alle Erklärungen, die ich dazu gelesen habe, sind irgendwie verwirrend.
verstehe nicht, was diese Einstellung in der GPO bedeutet. Alle Erklärungen, die ich dazu gelesen habe, sind irgendwie verwirrend.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 492415
Url: https://administrator.de/contentid/492415
Printed on: April 25, 2024 at 01:04 o'clock
5 Comments
Latest comment
Moin,
damit legst du einfach die lokalen Gruppen (Administratoren, Hauptbenutzer, Remotedesktopbenutzer ect.) auf den Maschinen fest.
Gruß
damit legst du einfach die lokalen Gruppen (Administratoren, Hauptbenutzer, Remotedesktopbenutzer ect.) auf den Maschinen fest.
Gruß
Moin
das ist ganz einfach gesagt ein Ausdruck, der nicht immer das macht, was er vermuten lässt.
Eigentlich ganz simpel: es wird für eine Sicherheitsgruppe(z.B. Administratoren) neu definiert, wer Mitglied in der Gruppe ist. So kann aus "eingeschränkt" auch ganz schnell ein "erweitert" werden. Wichtig ist, dass die Rechte hier komplett ersetzt werden.
Gruß
das ist ganz einfach gesagt ein Ausdruck, der nicht immer das macht, was er vermuten lässt.
Eigentlich ganz simpel: es wird für eine Sicherheitsgruppe(z.B. Administratoren) neu definiert, wer Mitglied in der Gruppe ist. So kann aus "eingeschränkt" auch ganz schnell ein "erweitert" werden. Wichtig ist, dass die Rechte hier komplett ersetzt werden.
Gruß
Hi,
Was so erstmal komplett falsch ist. Damit werden keine Rechte gesetzt.
Im englischen Original sind das die "restricted Groups". Der Ami meint damit eher "geschlossene Gruppen". D.h. ich habe eine in sich geschlossene Gruppe, wo keiner so leicht herein oder wieder heraus kommt.
Mit einer "eigeschränkten Gruppe" legst Du die komplette Liste der Mitglieder einer Gruppe fest. Wenn sich GPO's zu einer Gruppe widersprechen, dann gilt die Liste der "Gewinner"-GPO. Kein Mischen.
Wenn man solch eine GPO für Domain Member wirken lässt, dann sind damit lokale Gruppen dieses Member gemeint.
Wenn man solch eine GPO für einen Domaincontroller wirken lässt, dann sind damit Domänen-Gruppen gemeint.
Die Mitgliedschaft wird bei jeder Hintergrundaktualisierung der GPO durchgesetzt. Normalerweise wird eine GPO nur dann erneut angewendet, wenn sie geändert wurde oder wenn ein Admin die GPO-Anwendung erzwingt. Nicht bei den eingeschränkten Gruppen. Diese werden jedes Mal abgearbeitet. Das heißt, wenn man manuell eine solche Gruppe ändert, ein Mitglied hinzufügt oder eins entfernt, dann wird beim nächsten Aktualisieren der GPO's die in der wirkendenen GPO festgelegte Mitgliedschaft wiederhergestellt.
E.
Was so erstmal komplett falsch ist. Damit werden keine Rechte gesetzt.
Im englischen Original sind das die "restricted Groups". Der Ami meint damit eher "geschlossene Gruppen". D.h. ich habe eine in sich geschlossene Gruppe, wo keiner so leicht herein oder wieder heraus kommt.
Mit einer "eigeschränkten Gruppe" legst Du die komplette Liste der Mitglieder einer Gruppe fest. Wenn sich GPO's zu einer Gruppe widersprechen, dann gilt die Liste der "Gewinner"-GPO. Kein Mischen.
Wenn man solch eine GPO für Domain Member wirken lässt, dann sind damit lokale Gruppen dieses Member gemeint.
Wenn man solch eine GPO für einen Domaincontroller wirken lässt, dann sind damit Domänen-Gruppen gemeint.
Die Mitgliedschaft wird bei jeder Hintergrundaktualisierung der GPO durchgesetzt. Normalerweise wird eine GPO nur dann erneut angewendet, wenn sie geändert wurde oder wenn ein Admin die GPO-Anwendung erzwingt. Nicht bei den eingeschränkten Gruppen. Diese werden jedes Mal abgearbeitet. Das heißt, wenn man manuell eine solche Gruppe ändert, ein Mitglied hinzufügt oder eins entfernt, dann wird beim nächsten Aktualisieren der GPO's die in der wirkendenen GPO festgelegte Mitgliedschaft wiederhergestellt.
E.
... ja sorry... es werden natürlich die Mitglieder der Gruppe ersetzt.
Danke. Das ist nun leicht verständlich
