itnirvana
Goto Top

GPO in oberer OU mit Prio 1 bis 5 weiter unten in OU nicht

Hallo,

ich habe eine Client OU, wenn ich da eine Policy verlinkt hatte, hatte diese nie gezogen, vermutlich weil unterhalb der OU keine User dazu gefunden wurden.
Nun habe ich auf erste OU in der AD meine Policy verlinkt damit die aufjedenfall zieht. Das tut Sie nun beim testen auch.
Linked Group order ist die auf Prio 1 bis 5. Es sind 5 GPOs.

gpo

Nun weiter unten wo die Clients sind und Computersettings ziehen sollen. Ist aber bei "Group Policy Inheritance" von 35 bis 39

Und da kann ich die Piro nicht auf 1 bis 5 nun setzen. Was kann ich machen. Das sind Policies die definitv am Ende laufen muessen.

Gruss
Paul

Content-ID: 1901369996

Url: https://administrator.de/forum/gpo-in-oberer-ou-mit-prio-1-bis-5-weiter-unten-in-ou-nicht-1901369996.html

Ausgedruckt am: 22.12.2024 um 14:12 Uhr

itnirvana
itnirvana 23.08.2024 um 18:01:19 Uhr
Goto Top
Bei Link Order ist keine Auswahl da die ja von oben geerbt wird. Und bei Group Policy Inheritance kann ich es nicht hochsetzen
emeriks
emeriks 24.08.2024, aktualisiert am 25.08.2024 um 20:21:28 Uhr
Goto Top
Hi,
offensichtlich sind es GPO, welche Benutzereinstellungen verteilen sollen. Warum, zum Geier, verlinkst Du diese dann an einer Client-OU? Verlinke sie doch an der OU mit den Benutzern.

Wie Gruppenrichtlinienvererbung funktioniert, in welcher Reihenfolge diese angewendet werden und wie man das beeinflussen kann, findet man doch massig im Internet.

"Höher" verlinkte GPO kann man z.B. durch Erzwingung gegenüber "nieder" verlinkten GPO priorisieren.

E.
itnirvana
itnirvana 26.08.2024 um 08:24:34 Uhr
Goto Top
Hallo,

nein es sind alles Computer Richtlininien. Aber im moment sind bei Authenticated nur die User und Computer hinterlegt.

Gruss
Paul
emeriks
emeriks 26.08.2024 um 20:58:47 Uhr
Goto Top
Zitat von @itnirvana:
Aber im moment sind bei Authenticated nur die User und Computer hinterlegt.
Wenn Du es fachlich genauso "cool" angehst, wie Du hier schreibst, dann wir das höchstwahrscheinlich nichts werden.

vermutlich weil unterhalb der OU keine User dazu gefunden wurden.
und
nein es sind alles Computer Richtlininien.
sind dann möglichgerweise das Ergebnis.
Warum sollten Benutzerkonten interessant sein, wenn es doch um GPO mit Richtlinien für Computer geht?

Aber egal. Ich habe bereits geschrieben, in welche Richtung Du weiter suchen (lernen) solltest.
itnirvana
itnirvana 27.08.2024 um 15:48:26 Uhr
Goto Top
Hallo,

das Problem ist das bei Security Filtering User und Computer hinterlegt sind.
Weil STandardmässig ist "Authenticated".. Bei Authenticated , ab auf Computer OU und es zieht...

untitled

Hast Du eben so eine Policy auf der Computer OU.. Dann zieht die nicht einfach. Sondern nur auch dann , wenn diese unterhalb auf User verlinkt ist.

Gruss
Paul
emeriks
emeriks 27.08.2024 aktualisiert um 18:06:53 Uhr
Goto Top
Zitat von @itnirvana:
das Problem ist das bei Security Filtering User und Computer hinterlegt sind.
Weil STandardmässig ist "Authenticated".. Bei Authenticated , ab auf Computer OU und es zieht...
Hast Du eben so eine Policy auf der Computer OU.. Dann zieht die nicht einfach. Sondern nur auch dann , wenn diese unterhalb auf User verlinkt ist.
Paul, nimm es mir bitte nicht übel, aber so betrunken bin ich gerade nicht, dass ich Deinen Text lesen und zweifelsfrei verstehen könnte.

Wenn das eine GPO ist, welche sowohl Benutzer- als auch Computereinstellungen enthält.
Und wenn die Benutzer- und Computerobjekte jeweils in eigenen OU's sind, welche nicht einander untergeordnet sind.
Dann ist es logisch, dass man diese GPO an beiden OU's verlinken muss (oder an einer gemeinsamen übergeordneten OU oder an der Domäne oder am Standort), damit sowohl die Benutzer- als auch Computereinstellungen dieser GPO wirken können.

War das Deine Frage?

Edit:
Und: Wenn man die "Authentifizierten Benutzer" aus der Sicherheitsfilterung entfernt, dann muss man sicherstellen, dass die Computerobjekte der Clients, an welchen sich ein betreffender Benutzer anmeldet, diese GPO mindestens lesen können müssen, damit die Computer die Benutzereinstellungen der GPO für den angemeldeten Benutzer anwenden können.
itnirvana
itnirvana 28.08.2024 um 10:38:00 Uhr
Goto Top
Hallo,

um es kurz zu machen. Die Computer liegen auf _Firmaxxx\clients\windows\fat .
MNun gibt es eine GPO die macht nur Computersettings. Reicht es dann diese auf das zu verloinken ?
Wenn man diese OU mit Gruppen anstatt "authenticated" abgefüllt hat

untitled

Gruss
Paul
emeriks
emeriks 28.08.2024 um 17:23:06 Uhr
Goto Top
Ja.
emeriks
emeriks 28.08.2024 um 17:23:55 Uhr
Goto Top
Aber beachte auch mein "Edit" im Kommentar von gestern.