10
GPO die sich gegenseitig ausschließen?
Hi,
ich kenne mich leider mit den GPO´s noch nicht ganz so gut aus. Meine Frage wäre:
Wenn ich in der Default Domain Policy stehen habe "JA" und paar OU´s weiter runter im Baum eine andere Policy die sagt "NEIN", welche Einstellung übernimmt der Client der jetzt in der OU drin ist wo "NEIN" gesagt wird?
Geht hierbei jetzt um die WLAN Policy mit 802.1x..
In der Inheritance wäre die WLAN Policy die "NEIN" sagt an 1. Stelle und die Default Domain Policy an letzter Stelle.
Wie läuft das ab, wenn zwischen den beiden noch weitere OU´s liegen die ganz verschiedene Sachen eingestellt haben? Mich interessiert am Ende des Baumes, welche Einstellungen der Client von den ganzen Policies am Ende beibehält..
LG und Danke!
ich kenne mich leider mit den GPO´s noch nicht ganz so gut aus. Meine Frage wäre:
Wenn ich in der Default Domain Policy stehen habe "JA" und paar OU´s weiter runter im Baum eine andere Policy die sagt "NEIN", welche Einstellung übernimmt der Client der jetzt in der OU drin ist wo "NEIN" gesagt wird?
Geht hierbei jetzt um die WLAN Policy mit 802.1x..
In der Inheritance wäre die WLAN Policy die "NEIN" sagt an 1. Stelle und die Default Domain Policy an letzter Stelle.
Wie läuft das ab, wenn zwischen den beiden noch weitere OU´s liegen die ganz verschiedene Sachen eingestellt haben? Mich interessiert am Ende des Baumes, welche Einstellungen der Client von den ganzen Policies am Ende beibehält..
LG und Danke!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2650226277
Url: https://administrator.de/contentid/2650226277
Printed on: May 4, 2024 at 22:05 o'clock
10 Comments
Latest comment
Servus,
für GPOs gilt immer: Last writer wins.
Die zuletzt abgearbeitete GPO überschreibt alle Einstellungen, die vorher abgearbeitete GPOs haben.
Cheers,
jsysde
für GPOs gilt immer: Last writer wins.
Die zuletzt abgearbeitete GPO überschreibt alle Einstellungen, die vorher abgearbeitete GPOs haben.
Cheers,
jsysde
Zitat von @jsysde:
Servus,
für GPOs gilt immer: Last writer wins.
Die zuletzt abgearbeitete GPO überschreibt alle Einstellungen, die vorher abgearbeitete GPOs haben.
Cheers,
jsysde
Servus,
für GPOs gilt immer: Last writer wins.
Die zuletzt abgearbeitete GPO überschreibt alle Einstellungen, die vorher abgearbeitete GPOs haben.
Cheers,
jsysde
Heißt also wenn ich in der Default Domain Policy A,B,C ändere und den Rest, also D,E.. auf Standard lasse, und dann ganz unten im Baum eine neue Policy erstelle die nur D ändert, werden für den Client unten im Baum A,B,C auf Standard eingestellt? Weil bei der neuen Policy wurde ja nur D geändert und A,B,C auf Standard gelassen.
Weißt du was ich meine?
Hilfreich wäre gewesen du hättest auf deinen dazu zugrundeliegenden Thread verwiesen!
Bzw. den dann auch geschlossen.
Bzw. den dann auch geschlossen.
Zitat von @148523:
Hilfreich wäre gewesen du hättest auf deinen dazu zugrundeliegenden Thread verwiesen!
Bzw. den dann auch geschlossen.
Hilfreich wäre gewesen du hättest auf deinen dazu zugrundeliegenden Thread verwiesen!
Bzw. den dann auch geschlossen.
Hey, bin noch ganz neu hier tut mir leid. Ich wollte das Thema mit GPO separat halten, weil das ja auch eher eine allgemeine Frage ist und zu dem Thema im anderen Thread nicht stören sollte :D
Zudem ich das andere Thread noch gerne offen halten würde, falls weitere Fragen auftauchen sollten. Die Verbindung steht, aber ist noch lange nicht abgeschlossen.. ich muss erst noch weiteres Testen und würde darauf zurückkommen, falls das i.O ist.
LG
Hallo,
Du solltest die Default Domain(bzw. Controller) Policy möglichst in Ruhe lassen. Willst Du etwas ändern, erstellst Du eine neue Gruppenrichtline. Es gibt allerdings Ausnahmen, manches muss man in den Default Policies ändern.
https://docs.microsoft.com/en-us/windows-server/administration/windows-c ...
https://www.gruppenrichtlinien.de/artikel/default-domain-policy-und-defa ...
Grüße
lcer
Du solltest die Default Domain(bzw. Controller) Policy möglichst in Ruhe lassen. Willst Du etwas ändern, erstellst Du eine neue Gruppenrichtline. Es gibt allerdings Ausnahmen, manches muss man in den Default Policies ändern.
https://docs.microsoft.com/en-us/windows-server/administration/windows-c ...
https://www.gruppenrichtlinien.de/artikel/default-domain-policy-und-defa ...
Grüße
lcer
N'Abend.
Das gleiche gilt für die Default Domain Controllers Policy, auch die darf und sollte man anpassen, wenn man Einstellungen für alle DCs regeln will (z.B. wer Computer ins AD joinen darf etc.).
Cheers,
jsysde
Zitat von @lcer00:
[...]Du solltest die Default Domain(bzw. Controller) Policy möglichst in Ruhe lassen.
Warum? Der Link zu Mark sagt doch ganz klar, dass diese Policy keinerlei Sonderstellung hat. Man sollte die sehr wohl bearbeiten, wenn man Dinge wirklich "für alle" regeln will.[...]Du solltest die Default Domain(bzw. Controller) Policy möglichst in Ruhe lassen.
Das gleiche gilt für die Default Domain Controllers Policy, auch die darf und sollte man anpassen, wenn man Einstellungen für alle DCs regeln will (z.B. wer Computer ins AD joinen darf etc.).
Cheers,
jsysde
Geht mir jetzt nur um meine Frage.. ich möchte den Prozess dahinter genauer verstehen.
Ob und wie ich am besten die Default Domain Policy ändern soll, spielt hier keine Rolle.
Danke und LG
Ob und wie ich am besten die Default Domain Policy ändern soll, spielt hier keine Rolle.
Danke und LG
Moin,
Nein, es wird addiert Eine vererbte Einstellung, also eine Einstellung die aus einer übergeordneten OU kommt, wird auf alle darunterliegenden OUs angewandt, sofern nicht eine tiefer liegende Einstellung dem widerspricht. Es sei denn:
1. Die Vererbung wurde aufgehoben.
Dann fängst Du bei der OU, bei der Du die Vererbung aufgehoben hast, neu an. Das gilt auch für die DDP.
2. Die GPO wird erzwungen.
Dann kannst Du die Einstellungen weiter unten nicht mehr aufheben.
Beides sollte man nur machen, wenn es wirklich notwendig ist.
hth
Erik
Zitat von @camouflagge99:
Heißt also wenn ich in der Default Domain Policy A,B,C ändere und den Rest, also D,E.. auf Standard lasse, und dann ganz unten im Baum eine neue Policy erstelle die nur D ändert, werden für den Client unten im Baum A,B,C auf Standard eingestellt? Weil bei der neuen Policy wurde ja nur D geändert und A,B,C auf Standard gelassen.
Heißt also wenn ich in der Default Domain Policy A,B,C ändere und den Rest, also D,E.. auf Standard lasse, und dann ganz unten im Baum eine neue Policy erstelle die nur D ändert, werden für den Client unten im Baum A,B,C auf Standard eingestellt? Weil bei der neuen Policy wurde ja nur D geändert und A,B,C auf Standard gelassen.
Nein, es wird addiert Eine vererbte Einstellung, also eine Einstellung die aus einer übergeordneten OU kommt, wird auf alle darunterliegenden OUs angewandt, sofern nicht eine tiefer liegende Einstellung dem widerspricht. Es sei denn:
1. Die Vererbung wurde aufgehoben.
Dann fängst Du bei der OU, bei der Du die Vererbung aufgehoben hast, neu an. Das gilt auch für die DDP.
2. Die GPO wird erzwungen.
Dann kannst Du die Einstellungen weiter unten nicht mehr aufheben.
Beides sollte man nur machen, wenn es wirklich notwendig ist.
hth
Erik
Zitat von @erikro:
Moin,
Nein, es wird addiert Eine vererbte Einstellung, also eine Einstellung die aus einer übergeordneten OU kommt, wird auf alle darunterliegenden OUs angewandt, sofern nicht eine tiefer liegende Einstellung dem widerspricht. Es sei denn:
1. Die Vererbung wurde aufgehoben.
Dann fängst Du bei der OU, bei der Du die Vererbung aufgehoben hast, neu an. Das gilt auch für die DDP.
2. Die GPO wird erzwungen.
Dann kannst Du die Einstellungen weiter unten nicht mehr aufheben.
Beides sollte man nur machen, wenn es wirklich notwendig ist.
hth
Erik
Moin,
Zitat von @camouflagge99:
Heißt also wenn ich in der Default Domain Policy A,B,C ändere und den Rest, also D,E.. auf Standard lasse, und dann ganz unten im Baum eine neue Policy erstelle die nur D ändert, werden für den Client unten im Baum A,B,C auf Standard eingestellt? Weil bei der neuen Policy wurde ja nur D geändert und A,B,C auf Standard gelassen.
Heißt also wenn ich in der Default Domain Policy A,B,C ändere und den Rest, also D,E.. auf Standard lasse, und dann ganz unten im Baum eine neue Policy erstelle die nur D ändert, werden für den Client unten im Baum A,B,C auf Standard eingestellt? Weil bei der neuen Policy wurde ja nur D geändert und A,B,C auf Standard gelassen.
Nein, es wird addiert Eine vererbte Einstellung, also eine Einstellung die aus einer übergeordneten OU kommt, wird auf alle darunterliegenden OUs angewandt, sofern nicht eine tiefer liegende Einstellung dem widerspricht. Es sei denn:
1. Die Vererbung wurde aufgehoben.
Dann fängst Du bei der OU, bei der Du die Vererbung aufgehoben hast, neu an. Das gilt auch für die DDP.
2. Die GPO wird erzwungen.
Dann kannst Du die Einstellungen weiter unten nicht mehr aufheben.
Beides sollte man nur machen, wenn es wirklich notwendig ist.
hth
Erik
Ok, das heißt: es gelten solange ALLE Einstellungen der OU von oben bis eine Einstellung von der OU unten dem widerspricht, dann wird aber auch nur die eine Einstellung umgeändert, der Rest bleibt so wie es die OU von oben sagt, richtig? Ist ja im Prinzip dann auch egal, weil die beiden OUs in der Hinsicht dann das gleiche haben, weil, wenn die OU von unten etwas anderes haben würde, das durchgesetzt wird.
Moin,
Richtig.
Liebe Grüße
Erik
Zitat von @camouflagge99:
Ok, das heißt: es gelten solange ALLE Einstellungen der OU von oben bis eine Einstellung von der OU unten dem widerspricht, dann wird aber auch nur die eine Einstellung umgeändert, der Rest bleibt so wie es die OU von oben sagt, richtig?
Ok, das heißt: es gelten solange ALLE Einstellungen der OU von oben bis eine Einstellung von der OU unten dem widerspricht, dann wird aber auch nur die eine Einstellung umgeändert, der Rest bleibt so wie es die OU von oben sagt, richtig?
Richtig.
Liebe Grüße
Erik
