3
GPO auf eine Sicherheitsgruppe oder auf Organisationseinheit legen?
Hallo zusammen,
ich habe eine Frage bezüglich der Gruppenrichtlinien. Eine Gruppenrichtlinie kann auf eine Organisationseinheit, aber auch auf eine Sicherheitsgruppe angewendet werden. Werden Gruppenrichtlinien in einem produktiven Umfeld auf die Organisationseinheit oder doch auf die Sicherheitsgruppe angewendet? Und wo ist der Unterschied?
Danke im Voraus!
ich habe eine Frage bezüglich der Gruppenrichtlinien. Eine Gruppenrichtlinie kann auf eine Organisationseinheit, aber auch auf eine Sicherheitsgruppe angewendet werden. Werden Gruppenrichtlinien in einem produktiven Umfeld auf die Organisationseinheit oder doch auf die Sicherheitsgruppe angewendet? Und wo ist der Unterschied?
Danke im Voraus!
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 63977515189
Url: https://administrator.de/forum/gpo-auf-eine-sicherheitsgruppe-oder-auf-organisationseinheit-legen-63977515189.html
Ausgedruckt am: 15.04.2025 um 06:04 Uhr
3 Kommentare
Neuester Kommentar
Moin.
GPOs wirken _immer!_ auf OUs, niemals auf Sicherheitsgruppen bzw. können nur auf OUs verlinkt werden!
Man kann GPO-Objekte via Sicherheitsfilterung aber nur auf die Mitglieder der im Filter eingetragenen Gruppen anwenden, sofern die Objekte unterhalb der verlinkten OU liegen.
Ich vermeide die Filterung auf Gruppenebene nach Möglichkeit, aber das muss jeder für sich entscheiden.
Cheers,
jsysde
GPOs wirken _immer!_ auf OUs, niemals auf Sicherheitsgruppen bzw. können nur auf OUs verlinkt werden!
Man kann GPO-Objekte via Sicherheitsfilterung aber nur auf die Mitglieder der im Filter eingetragenen Gruppen anwenden, sofern die Objekte unterhalb der verlinkten OU liegen.
Ich vermeide die Filterung auf Gruppenebene nach Möglichkeit, aber das muss jeder für sich entscheiden.
Cheers,
jsysde
Hi,
@theindiansupporter
Um es korrekt auszudrücken:
Angewendet werden GPO auf Computerkonfigurationen und/oder Benutzerprofile.
Die anzuwendenden GPO werden gefiltert durch den Vererbungspfad und durch Sicherheitsfilterung.
Filtern über Vererbungspfad erfolgt durch die Platzierung der Computer- und/oder Benutzerobjekte in der OU-Struktur und dem Ort der Verlinkung von GPO in dieser Struktur.
Filtern über Berechtigungen (Sicherheitsfilterung) erfolgt dadurch, dass man einem Computer- oder Benutzerobjekt für eine GPO das Recht erlaubt, diese GPO anzuwenden (wenn sie im Vererbungspfad ist). Diese Rechteerteilung erfolgt vorzugsweise nicht direkt an Computer- oder Benutzerkonten sondern über Sicherheitsgruppen, in welchen diese dann Mitglied sein müssen. Wenn man in der GPO Verwaltungskonsole den Sicherheitsfilter bearbeitet, dann erlaubt man defacto allen in diesem Filter angezeigten Prinzipalen das Recht, die GPO anzuwenden. Man kann aber umgekehrt auch das Recht zur Anwendung explizit verweigern. Allerdings sieht man das in der Konsole nicht im Sicherheitsfilter sondern nur unter "Delegierung" - defacto die ACL der GPO.
Als Anfänger fährt man wahrscheinlich besser, wenn man zunächst nur durch Platzierung in den OU's die anzuwendenden GPO zuteilt. D.h. man lässt im Sicherheitsfilter immer nur "Authentifizierte Benutzer" stehen, wie es Standard ist.
Allerdings kann das schnell nicht mehr ausreichend sein. Dann wird es notwendig, zusätzlich die Sicherheitsfilterung anzuwenden. Beachte aber, dass, wenn Du "Authentifizierte Benutzer" aus dem Filter entfernst, um nur bestimmte Gruppen dort einzutragen, Du dann dafür sorgen musst, dass die Computerobjekte der Computer, an welchen diese GPO für den Computer und/oder den angemeldeten Benutzer gelten soll, diese GPO dann min. lesen können müssen. Das musst Du dann über die o.g. "Delegierung" eintragen.
Vererbungsblockierung, Erzwingung von GPO und/oder Loopback-Verarbeitung solltest Du erst dann verwenden, wenn Du die Verarbeitung von GPO nach dem o.G. vollständig verstanden hast.
E.
Zitat von @jsysde:
GPOs wirken _immer!_ auf OUs, niemals auf Sicherheitsgruppen bzw. können nur auf OUs verlinkt werden!
Der erste Halbsatz trifft nicht zu und der letzte Punkt auch nicht. GPO können auch an Domänen und Standorten verlinkt werden.GPOs wirken _immer!_ auf OUs, niemals auf Sicherheitsgruppen bzw. können nur auf OUs verlinkt werden!
Man kann GPO-Objekte via Sicherheitsfilterung aber nur auf die Mitglieder der im Filter eingetragenen Gruppen anwenden, sofern die Objekte unterhalb der verlinkten OU liegen.
Das trifft so absolut formuliert auch nur zu, wenn für den verarbeitenden Computer die Loopback-Verarbeitung nicht aktiviert ist. Mit Loopback ist es möglich, dass eine GPO auch dann für einen Benutzer gilt, wenn sich das Benutzerobjekt in einer anderen OU-Struktur (sogar anderer Domäne) befindet, als dort, wo die GPO verlinkt ist.@theindiansupporter
Um es korrekt auszudrücken:
Angewendet werden GPO auf Computerkonfigurationen und/oder Benutzerprofile.
Die anzuwendenden GPO werden gefiltert durch den Vererbungspfad und durch Sicherheitsfilterung.
Filtern über Vererbungspfad erfolgt durch die Platzierung der Computer- und/oder Benutzerobjekte in der OU-Struktur und dem Ort der Verlinkung von GPO in dieser Struktur.
Filtern über Berechtigungen (Sicherheitsfilterung) erfolgt dadurch, dass man einem Computer- oder Benutzerobjekt für eine GPO das Recht erlaubt, diese GPO anzuwenden (wenn sie im Vererbungspfad ist). Diese Rechteerteilung erfolgt vorzugsweise nicht direkt an Computer- oder Benutzerkonten sondern über Sicherheitsgruppen, in welchen diese dann Mitglied sein müssen. Wenn man in der GPO Verwaltungskonsole den Sicherheitsfilter bearbeitet, dann erlaubt man defacto allen in diesem Filter angezeigten Prinzipalen das Recht, die GPO anzuwenden. Man kann aber umgekehrt auch das Recht zur Anwendung explizit verweigern. Allerdings sieht man das in der Konsole nicht im Sicherheitsfilter sondern nur unter "Delegierung" - defacto die ACL der GPO.
Als Anfänger fährt man wahrscheinlich besser, wenn man zunächst nur durch Platzierung in den OU's die anzuwendenden GPO zuteilt. D.h. man lässt im Sicherheitsfilter immer nur "Authentifizierte Benutzer" stehen, wie es Standard ist.
Allerdings kann das schnell nicht mehr ausreichend sein. Dann wird es notwendig, zusätzlich die Sicherheitsfilterung anzuwenden. Beachte aber, dass, wenn Du "Authentifizierte Benutzer" aus dem Filter entfernst, um nur bestimmte Gruppen dort einzutragen, Du dann dafür sorgen musst, dass die Computerobjekte der Computer, an welchen diese GPO für den Computer und/oder den angemeldeten Benutzer gelten soll, diese GPO dann min. lesen können müssen. Das musst Du dann über die o.g. "Delegierung" eintragen.
Vererbungsblockierung, Erzwingung von GPO und/oder Loopback-Verarbeitung solltest Du erst dann verwenden, wenn Du die Verarbeitung von GPO nach dem o.G. vollständig verstanden hast.
E.
Hi,
würde ich immer dabei lassen. (Außer es sind ganz geheime Dinge in der GPO...) Nur Apply GPO entfernen (nicht verweigern). Sonst hast du Probleme, wenn eine GPO auf den User zielt, aber der PC kann sie nicht lesen.
Spätestens zum Testen von GPOs mit Usern, wirst du Gruppen brauchen.
Wir verlinken GPOs zb auf die höchste nötige OU und fügen dann Testuser aus div. OUs hinzu. Sind alle zufrieden, kommt die Gruppe raus und alle bekommen die OU. Soweit für alle nötig...
Sg Dirm
"Authentifizierte Benutzer" aus dem Filter entfernst
würde ich immer dabei lassen. (Außer es sind ganz geheime Dinge in der GPO...) Nur Apply GPO entfernen (nicht verweigern). Sonst hast du Probleme, wenn eine GPO auf den User zielt, aber der PC kann sie nicht lesen.
Spätestens zum Testen von GPOs mit Usern, wirst du Gruppen brauchen.
Wir verlinken GPOs zb auf die höchste nötige OU und fügen dann Testuser aus div. OUs hinzu. Sind alle zufrieden, kommt die Gruppe raus und alle bekommen die OU. Soweit für alle nötig...
Sg Dirm
