GPO in oberer OU mit Prio 1 bis 5 weiter unten in OU nicht
Hallo,
ich habe eine Client OU, wenn ich da eine Policy verlinkt hatte, hatte diese nie gezogen, vermutlich weil unterhalb der OU keine User dazu gefunden wurden.
Nun habe ich auf erste OU in der AD meine Policy verlinkt damit die aufjedenfall zieht. Das tut Sie nun beim testen auch.
Linked Group order ist die auf Prio 1 bis 5. Es sind 5 GPOs.
Nun weiter unten wo die Clients sind und Computersettings ziehen sollen. Ist aber bei "Group Policy Inheritance" von 35 bis 39
Und da kann ich die Piro nicht auf 1 bis 5 nun setzen. Was kann ich machen. Das sind Policies die definitv am Ende laufen muessen.
Gruss
Paul
ich habe eine Client OU, wenn ich da eine Policy verlinkt hatte, hatte diese nie gezogen, vermutlich weil unterhalb der OU keine User dazu gefunden wurden.
Nun habe ich auf erste OU in der AD meine Policy verlinkt damit die aufjedenfall zieht. Das tut Sie nun beim testen auch.
Linked Group order ist die auf Prio 1 bis 5. Es sind 5 GPOs.
Nun weiter unten wo die Clients sind und Computersettings ziehen sollen. Ist aber bei "Group Policy Inheritance" von 35 bis 39
Und da kann ich die Piro nicht auf 1 bis 5 nun setzen. Was kann ich machen. Das sind Policies die definitv am Ende laufen muessen.
Gruss
Paul
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1901369996
Url: https://administrator.de/forum/gpo-in-oberer-ou-mit-prio-1-bis-5-weiter-unten-in-ou-nicht-1901369996.html
Ausgedruckt am: 22.12.2024 um 14:12 Uhr
9 Kommentare
Neuester Kommentar
Hi,
offensichtlich sind es GPO, welche Benutzereinstellungen verteilen sollen. Warum, zum Geier, verlinkst Du diese dann an einer Client-OU? Verlinke sie doch an der OU mit den Benutzern.
Wie Gruppenrichtlinienvererbung funktioniert, in welcher Reihenfolge diese angewendet werden und wie man das beeinflussen kann, findet man doch massig im Internet.
"Höher" verlinkte GPO kann man z.B. durch Erzwingung gegenüber "nieder" verlinkten GPO priorisieren.
E.
offensichtlich sind es GPO, welche Benutzereinstellungen verteilen sollen. Warum, zum Geier, verlinkst Du diese dann an einer Client-OU? Verlinke sie doch an der OU mit den Benutzern.
Wie Gruppenrichtlinienvererbung funktioniert, in welcher Reihenfolge diese angewendet werden und wie man das beeinflussen kann, findet man doch massig im Internet.
"Höher" verlinkte GPO kann man z.B. durch Erzwingung gegenüber "nieder" verlinkten GPO priorisieren.
E.
Wenn Du es fachlich genauso "cool" angehst, wie Du hier schreibst, dann wir das höchstwahrscheinlich nichts werden.
Warum sollten Benutzerkonten interessant sein, wenn es doch um GPO mit Richtlinien für Computer geht?
Aber egal. Ich habe bereits geschrieben, in welche Richtung Du weiter suchen (lernen) solltest.
vermutlich weil unterhalb der OU keine User dazu gefunden wurden.
undnein es sind alles Computer Richtlininien.
sind dann möglichgerweise das Ergebnis.Warum sollten Benutzerkonten interessant sein, wenn es doch um GPO mit Richtlinien für Computer geht?
Aber egal. Ich habe bereits geschrieben, in welche Richtung Du weiter suchen (lernen) solltest.
Zitat von @itnirvana:
das Problem ist das bei Security Filtering User und Computer hinterlegt sind.
Weil STandardmässig ist "Authenticated".. Bei Authenticated , ab auf Computer OU und es zieht...
Hast Du eben so eine Policy auf der Computer OU.. Dann zieht die nicht einfach. Sondern nur auch dann , wenn diese unterhalb auf User verlinkt ist.
Paul, nimm es mir bitte nicht übel, aber so betrunken bin ich gerade nicht, dass ich Deinen Text lesen und zweifelsfrei verstehen könnte.das Problem ist das bei Security Filtering User und Computer hinterlegt sind.
Weil STandardmässig ist "Authenticated".. Bei Authenticated , ab auf Computer OU und es zieht...
Hast Du eben so eine Policy auf der Computer OU.. Dann zieht die nicht einfach. Sondern nur auch dann , wenn diese unterhalb auf User verlinkt ist.
Wenn das eine GPO ist, welche sowohl Benutzer- als auch Computereinstellungen enthält.
Und wenn die Benutzer- und Computerobjekte jeweils in eigenen OU's sind, welche nicht einander untergeordnet sind.
Dann ist es logisch, dass man diese GPO an beiden OU's verlinken muss (oder an einer gemeinsamen übergeordneten OU oder an der Domäne oder am Standort), damit sowohl die Benutzer- als auch Computereinstellungen dieser GPO wirken können.
War das Deine Frage?
Edit:
Und: Wenn man die "Authentifizierten Benutzer" aus der Sicherheitsfilterung entfernt, dann muss man sicherstellen, dass die Computerobjekte der Clients, an welchen sich ein betreffender Benutzer anmeldet, diese GPO mindestens lesen können müssen, damit die Computer die Benutzereinstellungen der GPO für den angemeldeten Benutzer anwenden können.