GPO Audit Policy nur in Default Domain Policy konfigurierbar?
Hallo zusammen,
ich habe leider nichts Genaueres dazu im Internet gefunden... Durch Herumprobieren habe ich herausgefunden, dass die Audit Policy wohl ausschließlich in der Default Domain Policy konfiguriert sein darf, damit sie auch auf den Clients angewendet wird.
Ist das aus irgendeinem Grund so beabsichtigt oder liegt nur bei mir im Speziellen ein Fehler vor, durch den das Konfigurieren der Audit Policy in einem eigenen Gruppenrichtlinienobjekt nicht korrekt funktioniert?
Kann es sein, dass man generell eher darauf verzichten sollte, für verschiedene GPO-"Themen" eigene Gruppenrichtlinienobjekte zu erstellen, auch wenn das der Übersicht halber oft schöner wäre? Ich hab das Gefühl, dass es durch dieses Aufsplitten oft zu Komplikationen kommt (z.B. auch bei Kennwortrichtlinien).
Viele Grüße
ich habe leider nichts Genaueres dazu im Internet gefunden... Durch Herumprobieren habe ich herausgefunden, dass die Audit Policy wohl ausschließlich in der Default Domain Policy konfiguriert sein darf, damit sie auch auf den Clients angewendet wird.
Ist das aus irgendeinem Grund so beabsichtigt oder liegt nur bei mir im Speziellen ein Fehler vor, durch den das Konfigurieren der Audit Policy in einem eigenen Gruppenrichtlinienobjekt nicht korrekt funktioniert?
Kann es sein, dass man generell eher darauf verzichten sollte, für verschiedene GPO-"Themen" eigene Gruppenrichtlinienobjekte zu erstellen, auch wenn das der Übersicht halber oft schöner wäre? Ich hab das Gefühl, dass es durch dieses Aufsplitten oft zu Komplikationen kommt (z.B. auch bei Kennwortrichtlinien).
Viele Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 315828
Url: https://administrator.de/forum/gpo-audit-policy-nur-in-default-domain-policy-konfigurierbar-315828.html
Ausgedruckt am: 23.12.2024 um 07:12 Uhr
12 Kommentare
Neuester Kommentar
Zitat von @tombola22:
Durch Herumprobieren habe ich herausgefunden, dass die Audit Policy wohl ausschließlich in der Default Domain Policy konfiguriert sein darf, damit sie auch auf den Clients angewendet wird.
NoDurch Herumprobieren habe ich herausgefunden, dass die Audit Policy wohl ausschließlich in der Default Domain Policy konfiguriert sein darf, damit sie auch auf den Clients angewendet wird.
Ist das aus irgendeinem Grund so beabsichtigt oder liegt nur bei mir im Speziellen ein Fehler vor, durch den das Konfigurieren der Audit Policy in einem eigenen Gruppenrichtlinienobjekt nicht korrekt funktioniert?
You must configure which setting wins if you configure it in multiple GPOsKann es sein, dass man generell eher darauf verzichten sollte, für verschiedene GPO-"Themen" eigene Gruppenrichtlinienobjekte zu erstellen
No. Splitting is good but you should deactive computer or user section if only one of it is used.Ich hab das Gefühl, dass es durch dieses Aufsplitten oft zu Komplikationen kommt (z.B. auch bei Kennwortrichtlinien).
No. The password policy GPO can only be configured once for the whole domain. If you want to use multiple Password policies, you must use a fine grained password policy (PSOs) instead!Regards
Hi,
ich habe eigentlich immer gehört, dass man die die Default GPO gar nicht ändert. Bei Problemen schmeißt du zur Not alle anderen raus und bist wieder bei Null.
Wenige GPOs oder viele kleine GPOs ist Geschmackssache. Performance ist da auch kein Problem (mehr). Wir sind in der viel GPO Fraktion. So sieht man eher wo was konfiguriert wird. Außerdem kannst du recht granular einzelne GPOs testen/aktivieren/filtern, ...
Bei ein paar großen GPOs siehst du die Konfig erst in der Übersicht und du hast wenig Differenzierungsmöglichkeiten. Dafür spricht, dass du auf einen Blick (fast) alle Settings im GPO Report siehst.
sg Dirm
ich habe eigentlich immer gehört, dass man die die Default GPO gar nicht ändert. Bei Problemen schmeißt du zur Not alle anderen raus und bist wieder bei Null.
Wenige GPOs oder viele kleine GPOs ist Geschmackssache. Performance ist da auch kein Problem (mehr). Wir sind in der viel GPO Fraktion. So sieht man eher wo was konfiguriert wird. Außerdem kannst du recht granular einzelne GPOs testen/aktivieren/filtern, ...
Bei ein paar großen GPOs siehst du die Konfig erst in der Übersicht und du hast wenig Differenzierungsmöglichkeiten. Dafür spricht, dass du auf einen Blick (fast) alle Settings im GPO Report siehst.
sg Dirm
Zitat von @Dirmhirn:
No. Splitting is good but you should deactive computer or user section if only one of it is used.
Was ist da der Vorteil?Nach diesem Link hier: schneller und sicherer
https://technet.microsoft.com/en-us/magazine/dd673616.aspx
Zitat von @tombola22:
So it should actually work, if I configure my audit policy in another group policy object?
YesSo it should actually work, if I configure my audit policy in another group policy object?
Can you imagine, what could be the problem with my config?
You linked the GPO to the wrong level of objectsI didn't configure any audit policies in multiple objects, there's only one. Why would I configure priorities, if none of the other objects contain any audit policies? Do i still have to prioritize?
No.Use the wizards for the resultant set of policies. You can simulate everything before you apply it.
So I have to apply it to the computer-section and can not apply it to the same level as the Default Policy?
It must reach the objects :http://www.gruppenrichtlinien.de/artikel/vererbung-und-hierarchien/
that my Audit Policy is rejected
Computerobjects must have the right to read the policy.http://rickardnobel.se/ms16-072-breaks-group-policy/
http://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfun ...