12
GPO Audit Policy nur in Default Domain Policy konfigurierbar?
Hallo zusammen,
ich habe leider nichts Genaueres dazu im Internet gefunden... Durch Herumprobieren habe ich herausgefunden, dass die Audit Policy wohl ausschließlich in der Default Domain Policy konfiguriert sein darf, damit sie auch auf den Clients angewendet wird.
Ist das aus irgendeinem Grund so beabsichtigt oder liegt nur bei mir im Speziellen ein Fehler vor, durch den das Konfigurieren der Audit Policy in einem eigenen Gruppenrichtlinienobjekt nicht korrekt funktioniert?
Kann es sein, dass man generell eher darauf verzichten sollte, für verschiedene GPO-"Themen" eigene Gruppenrichtlinienobjekte zu erstellen, auch wenn das der Übersicht halber oft schöner wäre? Ich hab das Gefühl, dass es durch dieses Aufsplitten oft zu Komplikationen kommt (z.B. auch bei Kennwortrichtlinien).
Viele Grüße
ich habe leider nichts Genaueres dazu im Internet gefunden... Durch Herumprobieren habe ich herausgefunden, dass die Audit Policy wohl ausschließlich in der Default Domain Policy konfiguriert sein darf, damit sie auch auf den Clients angewendet wird.
Ist das aus irgendeinem Grund so beabsichtigt oder liegt nur bei mir im Speziellen ein Fehler vor, durch den das Konfigurieren der Audit Policy in einem eigenen Gruppenrichtlinienobjekt nicht korrekt funktioniert?
Kann es sein, dass man generell eher darauf verzichten sollte, für verschiedene GPO-"Themen" eigene Gruppenrichtlinienobjekte zu erstellen, auch wenn das der Übersicht halber oft schöner wäre? Ich hab das Gefühl, dass es durch dieses Aufsplitten oft zu Komplikationen kommt (z.B. auch bei Kennwortrichtlinien).
Viele Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 315828
Url: https://administrator.de/contentid/315828
Printed on: April 24, 2024 at 00:04 o'clock
12 Comments
Latest comment
Zitat von @tombola22:
Durch Herumprobieren habe ich herausgefunden, dass die Audit Policy wohl ausschließlich in der Default Domain Policy konfiguriert sein darf, damit sie auch auf den Clients angewendet wird.
NoDurch Herumprobieren habe ich herausgefunden, dass die Audit Policy wohl ausschließlich in der Default Domain Policy konfiguriert sein darf, damit sie auch auf den Clients angewendet wird.
Ist das aus irgendeinem Grund so beabsichtigt oder liegt nur bei mir im Speziellen ein Fehler vor, durch den das Konfigurieren der Audit Policy in einem eigenen Gruppenrichtlinienobjekt nicht korrekt funktioniert?
You must configure which setting wins if you configure it in multiple GPOsKann es sein, dass man generell eher darauf verzichten sollte, für verschiedene GPO-"Themen" eigene Gruppenrichtlinienobjekte zu erstellen
No. Splitting is good but you should deactive computer or user section if only one of it is used.Ich hab das Gefühl, dass es durch dieses Aufsplitten oft zu Komplikationen kommt (z.B. auch bei Kennwortrichtlinien).
No. The password policy GPO can only be configured once for the whole domain. If you want to use multiple Password policies, you must use a fine grained password policy (PSOs) instead!Regards
Hi,
ich habe eigentlich immer gehört, dass man die die Default GPO gar nicht ändert. Bei Problemen schmeißt du zur Not alle anderen raus und bist wieder bei Null.
Wenige GPOs oder viele kleine GPOs ist Geschmackssache. Performance ist da auch kein Problem (mehr). Wir sind in der viel GPO Fraktion. So sieht man eher wo was konfiguriert wird. Außerdem kannst du recht granular einzelne GPOs testen/aktivieren/filtern, ...
Bei ein paar großen GPOs siehst du die Konfig erst in der Übersicht und du hast wenig Differenzierungsmöglichkeiten. Dafür spricht, dass du auf einen Blick (fast) alle Settings im GPO Report siehst.
sg Dirm
ich habe eigentlich immer gehört, dass man die die Default GPO gar nicht ändert. Bei Problemen schmeißt du zur Not alle anderen raus und bist wieder bei Null.
Wenige GPOs oder viele kleine GPOs ist Geschmackssache. Performance ist da auch kein Problem (mehr). Wir sind in der viel GPO Fraktion. So sieht man eher wo was konfiguriert wird. Außerdem kannst du recht granular einzelne GPOs testen/aktivieren/filtern, ...
Bei ein paar großen GPOs siehst du die Konfig erst in der Übersicht und du hast wenig Differenzierungsmöglichkeiten. Dafür spricht, dass du auf einen Blick (fast) alle Settings im GPO Report siehst.
sg Dirm
No. Splitting is good but you should deactive computer or user section if only one of it is used.
Was ist da der Vorteil?
Zitat von @Dirmhirn:
No. Splitting is good but you should deactive computer or user section if only one of it is used.
Was ist da der Vorteil?Nach diesem Link hier: schneller und sicherer
https://technet.microsoft.com/en-us/magazine/dd673616.aspx
Thank you for your help so far!
So it should actually work, if I configure my audit policy in another group policy object?
Can you imagine, what could be the problem with my config?
I didn't configure any audit policies in multiple objects, there's only one. Why would I configure priorities, if none of the other objects contain any audit policies? Do i still have to prioritize?
So it should actually work, if I configure my audit policy in another group policy object?
Can you imagine, what could be the problem with my config?
I didn't configure any audit policies in multiple objects, there's only one. Why would I configure priorities, if none of the other objects contain any audit policies? Do i still have to prioritize?
Moin,
was hast Du denn ge-auditet?
was hast Du denn ge-auditet?
Zu Testzwecken zum Beispiel nur das Dateisystem. Wenn ich das in der Default Domain Policy anwende, funktioniert es. Im eigenen Gruppenrichtlinienobjekt nicht. Kann das tatsächlich an der Priorisierung liegen?
Zitat von @tombola22:
So it should actually work, if I configure my audit policy in another group policy object?
YesSo it should actually work, if I configure my audit policy in another group policy object?
Can you imagine, what could be the problem with my config?
You linked the GPO to the wrong level of objectsI didn't configure any audit policies in multiple objects, there's only one. Why would I configure priorities, if none of the other objects contain any audit policies? Do i still have to prioritize?
No.Use the wizards for the resultant set of policies. You can simulate everything before you apply it.
Womit oder wohin ist das eigene GPO verlinkt, eventuell/wahrscheinlich muss das mit der Domain (domain controllers) verlinkt werden.
Zitat von @129813:
You applied the GPO to the wrong level of objects
You applied the GPO to the wrong level of objects
Hm...So I have to apply it to the computer-section and can not apply it to the same level as the Default Policy? It shows up in the inheritance order though...
Gruppenrichtlinienmodellierung tells me, that my Audit Policy is rejected... Well, maybe I'll have to figure out why that is and then come back here
So I have to apply it to the computer-section and can not apply it to the same level as the Default Policy?
It must reach the objects :http://www.gruppenrichtlinien.de/artikel/vererbung-und-hierarchien/
that my Audit Policy is rejected
Computerobjects must have the right to read the policy.http://rickardnobel.se/ms16-072-breaks-group-policy/
http://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfun ...
Problem solved! Secury filtering was activated for specific Computers (not by myself btw). Sorry for that... But thank you once again for your persistent help
