6
Frage zu Gruppenrichlinen und Überschneidungen
Wie verhallten sich GPOs zu einander?
Hallo ich habe folgende Frage:
Wenn man eine AD Struktur aufbaut - in der übergeordnet im Domänen Stamm nebst der globalen Richlinie noch andere GPOs existieren...
a) .... beeieinflussen sich die gegenseitig?
b)..... muss die sicherheits einstellung der globalen Richtlinie auch an den darunter liegenden vorgenommen werden um zu gewährleisten das
die zusätzliche GPO in der es "nicht" konfiguriert wurde ihre Einstellung über die Globale Richtlinie drückt?
Wie verhällt sich das wenn díe GPOs in OUs in einer niederen Ebene liegen?
Gibt es hier wichtige Dinge die man beachten sollte bei dem Strukturaufbau von GPOs?
Ich Frage weil ich davor stehe einige GPOs zur Softwareaustragung frei zu schalten & ich nicht eiskalt überrascht werden möchte.
Nebenbei - ich habe die GPOs daneben gelegt weil ich die GPOs nicht unnötig an x stellen verteilen wollte. Sondern schön unter einander vorfinde.
Ob dies eine Praktische & gute lösung darstellt - dazu fehlt mir leider die Erfahrung. Dachte mir halt das es praktischer ist.
Hallo ich habe folgende Frage:
Wenn man eine AD Struktur aufbaut - in der übergeordnet im Domänen Stamm nebst der globalen Richlinie noch andere GPOs existieren...
a) .... beeieinflussen sich die gegenseitig?
b)..... muss die sicherheits einstellung der globalen Richtlinie auch an den darunter liegenden vorgenommen werden um zu gewährleisten das
die zusätzliche GPO in der es "nicht" konfiguriert wurde ihre Einstellung über die Globale Richtlinie drückt?
Wie verhällt sich das wenn díe GPOs in OUs in einer niederen Ebene liegen?
Gibt es hier wichtige Dinge die man beachten sollte bei dem Strukturaufbau von GPOs?
Ich Frage weil ich davor stehe einige GPOs zur Softwareaustragung frei zu schalten & ich nicht eiskalt überrascht werden möchte.
Nebenbei - ich habe die GPOs daneben gelegt weil ich die GPOs nicht unnötig an x stellen verteilen wollte. Sondern schön unter einander vorfinde.
Ob dies eine Praktische & gute lösung darstellt - dazu fehlt mir leider die Erfahrung. Dachte mir halt das es praktischer ist.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 163102
Url: https://administrator.de/forum/frage-zu-gruppenrichlinen-und-ueberschneidungen-163102.html
Ausgedruckt am: 08.04.2025 um 05:04 Uhr
6 Kommentare
Neuester Kommentar
GPOs werden in der Domänenstruktur hierarchisch von oben nach unten vererbt. Das heißt, dass eine Einstellung die du in der Root-Domäne als GPO anlegst nach unten bis auf die hinterletzte OU durchgereicht wird. Willst du das nicht muss du die Vererbung jeweils aufheben. Die GPOs werden auch in dieser Reihenfolge geladen und umgesetzt. Dabei zählt immer die letzte Einstellung die geladen wurde. Angenommen du hast
- in der Root-Domäne ein GPO, dass den Bildschirmhintergrund auf blau stellt
- in der Sub-Domäne eins das auf rot stellt
- in der ersten OU eins das auf gelb stellt
- und eine OU tiefer eins das auf grün stellt
- in der unteren OU ist es grün
- in der ersten OU ist es gelb
Dh. der Parameter erzwingen würde - wenn die GPO zb. so liegt:
Domäne.de
-Globale Richtlinie
-Gpo mit Sicherheitsgruppe 1 Software1
-Gpo mit Sicherheitsgruppe 2 Software2
Computer
Ndl1
GPO_Ndl1 Wsus Gruppe
Ndl2
Ndl3
die Globale Richtlinie aushebeln? Oder werden die Einstellungen der Globalen Richtlinie paralell weiter gegeben?
So das nur die geänderten Parameter die an der GPO daneben vorgenommen wurden "hin zu" kommen.
Das schlimmste wäre wenn dadurch das die GPO zb. eine andere Firewall Einstellung besitzt als die Globale Richtline
diese dann durch das erzwingen oder aktivieren der Softwareverteiler verändert & überschrieben wird.
Das wäre eine kleinere Katastrophe. Für den Fall das es so wäre müsste ich dann die Globale Richtlinie dann wieder erzwingen???
Oder würde das Erzwingen die Softwareverteiler wiederum so überschreiben da sich die MSI Pakete nicht mehr austragen?
Ich hatte mir überlegt - egal welche Niederlassung oder welcher darunter folgenden Stukur eben durch die Sicherheitsfilter Gruppen
zu zu teilen. Was auch prima klappt. So kann ich PCs geziehlt in die Vetreiler einklemmen aber auch heraus lassen. Ohne mich an die
Darunterliegende OU Strukur binden zu müssen. (hat def. Vorteile)
Und ich hätte eine Optische differnenzierung zur WSUS Gruppenzuweisung welche auch gerade in Arbeit ist. Darf das alles neu aufbauen..
Und ich würds gern RICHTIG machen. Die bisherige Struktur stammte noch aus NT4 Zeiten & der zuständige Admin hat da auch nicht viel
gemacht.
Die Sache mit der Hirachischen Vererbung is mir klar - nur nicht wie sich die Gpos gegenseitig beeinflussen & überhaupt beeinflussen.
Wenn also wie folgt:
Domäne.de
-Globale Richtlinie (ohne MSI paket) (mit Sicheheitsrelavanten & Administrativen Einstellungen)
-Gpo mit Sicherheitsgruppe 1 Software1 (mit MSI paket 1) (ohne die Sicheheitsrelavanten & Administrativen Einstellungen)
-Gpo mit Sicherheitsgruppe 2 Software2 (mit MSI paket 2) (ohne die Sicheheitsrelavanten & Administrativen Einstellungen)
alle 3 GPos auf einer ebene liegen - welche GPO ist also aktiv? Ich meine - ein PC der sowohl GPO1 & 2 bekommt könnte ja zuerst
die Globalen Einstellungen ziehen - diese aber durch die unkonfigurierte GPO2 wieder schmeißen ??
Oder ist das ausgeschlossen? Was passiert in diesem Fall? Oder beeinflusst es sich null solange es auf nicht konfiguriert steht?
Domäne.de
-Globale Richtlinie
-Gpo mit Sicherheitsgruppe 1 Software1
-Gpo mit Sicherheitsgruppe 2 Software2
Computer
Ndl1
GPO_Ndl1 Wsus Gruppe
Ndl2
Ndl3
die Globale Richtlinie aushebeln? Oder werden die Einstellungen der Globalen Richtlinie paralell weiter gegeben?
So das nur die geänderten Parameter die an der GPO daneben vorgenommen wurden "hin zu" kommen.
Das schlimmste wäre wenn dadurch das die GPO zb. eine andere Firewall Einstellung besitzt als die Globale Richtline
diese dann durch das erzwingen oder aktivieren der Softwareverteiler verändert & überschrieben wird.
Das wäre eine kleinere Katastrophe. Für den Fall das es so wäre müsste ich dann die Globale Richtlinie dann wieder erzwingen???
Oder würde das Erzwingen die Softwareverteiler wiederum so überschreiben da sich die MSI Pakete nicht mehr austragen?
Ich hatte mir überlegt - egal welche Niederlassung oder welcher darunter folgenden Stukur eben durch die Sicherheitsfilter Gruppen
zu zu teilen. Was auch prima klappt. So kann ich PCs geziehlt in die Vetreiler einklemmen aber auch heraus lassen. Ohne mich an die
Darunterliegende OU Strukur binden zu müssen. (hat def. Vorteile)
Und ich hätte eine Optische differnenzierung zur WSUS Gruppenzuweisung welche auch gerade in Arbeit ist. Darf das alles neu aufbauen..
Und ich würds gern RICHTIG machen. Die bisherige Struktur stammte noch aus NT4 Zeiten & der zuständige Admin hat da auch nicht viel
gemacht.
Die Sache mit der Hirachischen Vererbung is mir klar - nur nicht wie sich die Gpos gegenseitig beeinflussen & überhaupt beeinflussen.
Wenn also wie folgt:
Domäne.de
-Globale Richtlinie (ohne MSI paket) (mit Sicheheitsrelavanten & Administrativen Einstellungen)
-Gpo mit Sicherheitsgruppe 1 Software1 (mit MSI paket 1) (ohne die Sicheheitsrelavanten & Administrativen Einstellungen)
-Gpo mit Sicherheitsgruppe 2 Software2 (mit MSI paket 2) (ohne die Sicheheitsrelavanten & Administrativen Einstellungen)
alle 3 GPos auf einer ebene liegen - welche GPO ist also aktiv? Ich meine - ein PC der sowohl GPO1 & 2 bekommt könnte ja zuerst
die Globalen Einstellungen ziehen - diese aber durch die unkonfigurierte GPO2 wieder schmeißen ??
Oder ist das ausgeschlossen? Was passiert in diesem Fall? Oder beeinflusst es sich null solange es auf nicht konfiguriert steht?
Ich verstehe nicht was da du mir sagen willst mit der Skizze. Wo ist welches GPO konfiguriert und wo ist erzwingen bzw. vererben eingestellt und wo nicht? Erzwingen kannst du nur von oben nach unten, wäre anders rum ja noch schöner. Das ist wie bei dir auf der Arbeit: Wenn du was nicht freiwillig machst, dann zwingt dein Chef dich mit den Mitteln die er hat. Umgekehrt wird es dir schwer fallen deinen Chef zu etwas zu zwingen, was du gerne willst; er aber nicht. 
Nach nochmaligem lesen wird es langsam hell. Ich vermute du konfigurierst (oder hast es vor) alles in einem GPO?! Das könnte natürlich tatsächlich fatale Folgen haben, wenn du alles auf der Root-Domäne nach unten zwingst. Es hindert dich aber keiner daran für deine Softwareverteilung eine eigene GPO zu erstellen. Das ist eigentlich gängige Praxis. Nur übertreiben sollte man es nicht.
Wir haben hier bspw. GPOs für Desktop-Einstellungen, für IE-Einstellungen, für Firewall-Einstellungen, für diverse Programm-Einstellungen usw. Da weiß ich dann wenigsten direkt wo ich suchen oder konfigurieren muss.
Nach nochmaligem lesen wird es langsam hell. Ich vermute du konfigurierst (oder hast es vor) alles in einem GPO?! Das könnte natürlich tatsächlich fatale Folgen haben, wenn du alles auf der Root-Domäne nach unten zwingst. Es hindert dich aber keiner daran für deine Softwareverteilung eine eigene GPO zu erstellen. Das ist eigentlich gängige Praxis. Nur übertreiben sollte man es nicht.
Wir haben hier bspw. GPOs für Desktop-Einstellungen, für IE-Einstellungen, für Firewall-Einstellungen, für diverse Programm-Einstellungen usw. Da weiß ich dann wenigsten direkt wo ich suchen oder konfigurieren muss.
Folgendes ist in Planung Java, Flash & Reader sollen per GPO verteilt werden.
Dazu wurden Sicherheitsgruppen erstellt in denen die Empfänger per Niederlassung definiert wurden.
Die GPO ist ebenfalls per Niederlassung - weil ich einen anderen Pool (vor Ort) für das Installerpaket eingestellt habe.
Die GPOs zur software Verteilung liegen wenn man so will NEBEN der Globalen Richtlinie und nicht "darunter"
Die Globale Richtlinie wurde über die Sicherheitsfilter Global zu gewiesen. Was ja auch gang und gebe ist.
Erzwungen wurde bisher nix. Die GPO sind alle noch nicht aktiv geschalten.
Würde ich also nun die GPO zu Verteilung der Software freischalten - ergänzt sich das einfach in "zur" globalen Richtlinie oder
ersetzt sich das. Sprich muss ich JEDER GPO diese Sicherheits einstellung mitgeben? Oder langt es wenn die Globale Richtlinie
diese an alle "frei gibt" und was an GPO eben noch konfiguriert wurde "ergänzt sich" ohne Probleme.
Ich hoffe das es nach dem 3 Erkärungsverusch nun klar is wo ich nicht weis wie es sich verhällt.
Der WSUS ist ebenfalls in der Mache - doch dieser liegt mit seinen GPO & dessen Anweisungen in den jeweiligen Niederlassungs OU
Dazu wurden Sicherheitsgruppen erstellt in denen die Empfänger per Niederlassung definiert wurden.
Die GPO ist ebenfalls per Niederlassung - weil ich einen anderen Pool (vor Ort) für das Installerpaket eingestellt habe.
Die GPOs zur software Verteilung liegen wenn man so will NEBEN der Globalen Richtlinie und nicht "darunter"
Die Globale Richtlinie wurde über die Sicherheitsfilter Global zu gewiesen. Was ja auch gang und gebe ist.
Erzwungen wurde bisher nix. Die GPO sind alle noch nicht aktiv geschalten.
Würde ich also nun die GPO zu Verteilung der Software freischalten - ergänzt sich das einfach in "zur" globalen Richtlinie oder
ersetzt sich das. Sprich muss ich JEDER GPO diese Sicherheits einstellung mitgeben? Oder langt es wenn die Globale Richtlinie
diese an alle "frei gibt" und was an GPO eben noch konfiguriert wurde "ergänzt sich" ohne Probleme.
Ich hoffe das es nach dem 3 Erkärungsverusch nun klar is wo ich nicht weis wie es sich verhällt.
Der WSUS ist ebenfalls in der Mache - doch dieser liegt mit seinen GPO & dessen Anweisungen in den jeweiligen Niederlassungs OU
Wenn die GPOs auf einer Ebene nebeneinander angelegt sind, dann addieren die sich sozusagen. Sollten in den GPOs identische Einstellungen getätigt sein, dann greift die konfigurierte Reihenfolge der GPOs (ein Objekt (bspw. die Domäne) markieren und dann rechts Registerkarte "verknüpfte GPO") und es passiert das was ich oben beschrieben hatte. Alles was in einem GPO mit "nicht konfiguriert" aufgeführt ist hat auch keine Auswirkungen.
Ok das is die Antwort 
Danke für deine Geduld
Danke für deine Geduld
