GPO die sich gegenseitig ausschließen?
Hi,
ich kenne mich leider mit den GPO´s noch nicht ganz so gut aus. Meine Frage wäre:
Wenn ich in der Default Domain Policy stehen habe "JA" und paar OU´s weiter runter im Baum eine andere Policy die sagt "NEIN", welche Einstellung übernimmt der Client der jetzt in der OU drin ist wo "NEIN" gesagt wird?
Geht hierbei jetzt um die WLAN Policy mit 802.1x..
In der Inheritance wäre die WLAN Policy die "NEIN" sagt an 1. Stelle und die Default Domain Policy an letzter Stelle.
Wie läuft das ab, wenn zwischen den beiden noch weitere OU´s liegen die ganz verschiedene Sachen eingestellt haben? Mich interessiert am Ende des Baumes, welche Einstellungen der Client von den ganzen Policies am Ende beibehält..
LG und Danke!
ich kenne mich leider mit den GPO´s noch nicht ganz so gut aus. Meine Frage wäre:
Wenn ich in der Default Domain Policy stehen habe "JA" und paar OU´s weiter runter im Baum eine andere Policy die sagt "NEIN", welche Einstellung übernimmt der Client der jetzt in der OU drin ist wo "NEIN" gesagt wird?
Geht hierbei jetzt um die WLAN Policy mit 802.1x..
In der Inheritance wäre die WLAN Policy die "NEIN" sagt an 1. Stelle und die Default Domain Policy an letzter Stelle.
Wie läuft das ab, wenn zwischen den beiden noch weitere OU´s liegen die ganz verschiedene Sachen eingestellt haben? Mich interessiert am Ende des Baumes, welche Einstellungen der Client von den ganzen Policies am Ende beibehält..
LG und Danke!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2650226277
Url: https://administrator.de/contentid/2650226277
Ausgedruckt am: 13.11.2024 um 22:11 Uhr
10 Kommentare
Neuester Kommentar
Hilfreich wäre gewesen du hättest auf deinen dazu zugrundeliegenden Thread verwiesen!
Bzw. den dann auch geschlossen.
Bzw. den dann auch geschlossen.
Hallo,
Du solltest die Default Domain(bzw. Controller) Policy möglichst in Ruhe lassen. Willst Du etwas ändern, erstellst Du eine neue Gruppenrichtline. Es gibt allerdings Ausnahmen, manches muss man in den Default Policies ändern.
https://docs.microsoft.com/en-us/windows-server/administration/windows-c ...
https://www.gruppenrichtlinien.de/artikel/default-domain-policy-und-defa ...
Grüße
lcer
Du solltest die Default Domain(bzw. Controller) Policy möglichst in Ruhe lassen. Willst Du etwas ändern, erstellst Du eine neue Gruppenrichtline. Es gibt allerdings Ausnahmen, manches muss man in den Default Policies ändern.
https://docs.microsoft.com/en-us/windows-server/administration/windows-c ...
https://www.gruppenrichtlinien.de/artikel/default-domain-policy-und-defa ...
Grüße
lcer
N'Abend.
Das gleiche gilt für die Default Domain Controllers Policy, auch die darf und sollte man anpassen, wenn man Einstellungen für alle DCs regeln will (z.B. wer Computer ins AD joinen darf etc.).
Cheers,
jsysde
Zitat von @lcer00:
[...]Du solltest die Default Domain(bzw. Controller) Policy möglichst in Ruhe lassen.
Warum? Der Link zu Mark sagt doch ganz klar, dass diese Policy keinerlei Sonderstellung hat. Man sollte die sehr wohl bearbeiten, wenn man Dinge wirklich "für alle" regeln will.[...]Du solltest die Default Domain(bzw. Controller) Policy möglichst in Ruhe lassen.
Das gleiche gilt für die Default Domain Controllers Policy, auch die darf und sollte man anpassen, wenn man Einstellungen für alle DCs regeln will (z.B. wer Computer ins AD joinen darf etc.).
Cheers,
jsysde
Moin,
Nein, es wird addiert Eine vererbte Einstellung, also eine Einstellung die aus einer übergeordneten OU kommt, wird auf alle darunterliegenden OUs angewandt, sofern nicht eine tiefer liegende Einstellung dem widerspricht. Es sei denn:
1. Die Vererbung wurde aufgehoben.
Dann fängst Du bei der OU, bei der Du die Vererbung aufgehoben hast, neu an. Das gilt auch für die DDP.
2. Die GPO wird erzwungen.
Dann kannst Du die Einstellungen weiter unten nicht mehr aufheben.
Beides sollte man nur machen, wenn es wirklich notwendig ist.
hth
Erik
Zitat von @camouflagge99:
Heißt also wenn ich in der Default Domain Policy A,B,C ändere und den Rest, also D,E.. auf Standard lasse, und dann ganz unten im Baum eine neue Policy erstelle die nur D ändert, werden für den Client unten im Baum A,B,C auf Standard eingestellt? Weil bei der neuen Policy wurde ja nur D geändert und A,B,C auf Standard gelassen.
Heißt also wenn ich in der Default Domain Policy A,B,C ändere und den Rest, also D,E.. auf Standard lasse, und dann ganz unten im Baum eine neue Policy erstelle die nur D ändert, werden für den Client unten im Baum A,B,C auf Standard eingestellt? Weil bei der neuen Policy wurde ja nur D geändert und A,B,C auf Standard gelassen.
Nein, es wird addiert Eine vererbte Einstellung, also eine Einstellung die aus einer übergeordneten OU kommt, wird auf alle darunterliegenden OUs angewandt, sofern nicht eine tiefer liegende Einstellung dem widerspricht. Es sei denn:
1. Die Vererbung wurde aufgehoben.
Dann fängst Du bei der OU, bei der Du die Vererbung aufgehoben hast, neu an. Das gilt auch für die DDP.
2. Die GPO wird erzwungen.
Dann kannst Du die Einstellungen weiter unten nicht mehr aufheben.
Beides sollte man nur machen, wenn es wirklich notwendig ist.
hth
Erik
Moin,
Richtig.
Liebe Grüße
Erik
Zitat von @camouflagge99:
Ok, das heißt: es gelten solange ALLE Einstellungen der OU von oben bis eine Einstellung von der OU unten dem widerspricht, dann wird aber auch nur die eine Einstellung umgeändert, der Rest bleibt so wie es die OU von oben sagt, richtig?
Ok, das heißt: es gelten solange ALLE Einstellungen der OU von oben bis eine Einstellung von der OU unten dem widerspricht, dann wird aber auch nur die eine Einstellung umgeändert, der Rest bleibt so wie es die OU von oben sagt, richtig?
Richtig.
Liebe Grüße
Erik