craftdor
13.12.2019
view2467
view5
0
Goto Top

GPO Priorisieren erzwingen

gelöstFrageMicrosoftWindows Server
Hallo,

ich weis das man bei neueren ADs das machen kann das GPOs erzwungen werden. Aber wie sieht es bei ältern ADs aus, in meinem fall ein sbs 2011
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 525135

Url: https://administrator.de/contentid/525135

Ausgedruckt am: 19.11.2024 um 17:11 Uhr

5 Kommentare
Neuester Kommentar
Goto Top
SeaStorm
Lösung SeaStorm 13.12.2019 um 15:52:05 Uhr
Goto Top
Hi

das gibts schon immer. Mit Priorisieren hat das übrigens wenig zu tun. Und anwenden sollte man das nach möglichkeit auch nicht.
emeriks
Lösung emeriks 13.12.2019 um 16:03:51 Uhr
Goto Top
Hi,
Zitat von @SeaStorm:
Mit Priorisieren hat das übrigens wenig zu tun.
Doch, schon. Man nennt das hier nur "Rang".
Und anwenden sollte man das nach möglichkeit auch nicht.
Sorry, aber diese Aussage ist Unsinn. Natürlich gibt es Szenarien, wo das absolut sinnvoll ist.
Spirit-of-Eli
Lösung Spirit-of-Eli 13.12.2019 um 16:19:57 Uhr
Goto Top
Genau, bei einem Terminal Server baut man sowas unter Umständen.
SeaStorm
Lösung SeaStorm 13.12.2019 aktualisiert um 16:30:22 Uhr
Goto Top
Zitat von @emeriks:

Hi,
Zitat von @SeaStorm:
Mit Priorisieren hat das übrigens wenig zu tun.
Doch, schon. Man nennt das hier nur "Rang".
Jain. Es wird oft als Priorisierung missverstanden, ist aber keine. Es ist schlicht ein ERZWINGEN.
Üblicherweise wird es benutzt um sicherzustellen das eine Einstellung nicht von irgendeiner anderen GPO überschrieben wird oder eben um vorhandene Einstellungen zu überschreiben
Grundsätzlich deutet das schon mal darauf hin, das da in der Struktur der OUs/GPOs was nicht ganz sauber gestrickt wurde, aber das ist ein anderes Thema.
Das wichtigere, was viel zu wenig wissen, ist, das ein Enforce auch ein "Block Inheritance" übergeht. Wenn man also eine OU hat die nicht vererbt, dann kann man hier eben mit dem Enforce DOCH eine Vererbung erreichen.
Und das macht die Kiste so gefährlich. Deshalb sollte man Enforce NACH MÖGLICHKEIT nicht verwenden, sondern lieber den Aufbau seiner OUs so gestalten, das man den Spass erst nicht braucht. Denn GPO Probleme zu debuggen ist kein Spass, wenn da mehrere Enforced GPOs möglichst hoch in der Leiter existieren


Und anwenden sollte man das nach möglichkeit auch nicht.
Sorry, aber diese Aussage ist Unsinn.
Nein, siehe oben.
Natürlich gibt es Szenarien, wo das absolut sinnvoll ist.
Klar gibts das. Gibt auch Szenarien wo Rückwärts 100kmh auf der Autobahn fahren Sinnvoll ist. Heist aber nicht das man das machen sollte.
Ich sagte ja nicht das man das auf gar keinen Fall machen darf, sondern nach Möglichkeit nicht tun sollte. (Nach Möglichkeit impliziert ja schon das Vorhandensein eines Sinnigen Szenarios)
emeriks
Lösung emeriks 13.12.2019 um 16:49:55 Uhr
Goto Top
Zitat von @SeaStorm:
Jain. Es wird oft als Priorisierung missverstanden, ist aber keine. Es ist schlicht ein ERZWINGEN.
Doch, es ist ein Rang.
"Erzwingen" ist nichts weiter, als eine GPO in der Verlinkungsrangfolge des Containers im Rang über alle nicht erzwungenen GPO-Verlinkungen zu stellen.
Üblicherweise wird es benutzt um sicherzustellen das eine Einstellung nicht von irgendeiner anderen GPO überschrieben wird
Es wird nur dafür benutzt.
oder eben um vorhandene Einstellungen zu überschreiben
Nein, dafür ist die Rangfolge zuständig.
Beachte, dass die Einstellungen einer erzwungenen GPO auch nicht durch die Einstellungen einer an einem untergeordneten Container erzwungenen GPO übersteuert werden können.
Grundsätzlich deutet das schon mal darauf hin, das da in der Struktur der OUs/GPOs was nicht ganz sauber gestrickt wurde, aber das ist ein anderes Thema.
Sorry, aber das ist doch vollkommen aus der Luft gegriffen! Wie kommst Du denn auf sowas?
Das wichtigere, was viel zu wenig wissen, ist, das ein Enforce auch ein "Block Inheritance" übergeht. Wenn man also eine OU hat die nicht vererbt, dann kann man hier eben mit dem Enforce DOCH eine Vererbung erreichen.
Richtig! Das ist auch ganau so gewollt. Das ist der Sinn vom Erzwingen von GPO-Verknüpfungen.
Und das macht die Kiste so gefährlich. Deshalb sollte man Enforce NACH MÖGLICHKEIT nicht verwenden, sondern lieber den Aufbau seiner OUs so gestalten, das man den Spass erst nicht braucht. Denn GPO Probleme zu debuggen ist kein Spass, wenn da mehrere Enforced GPOs möglichst hoch in der Leiter existieren
Wenn Du das nur so beherrscht, dann ok, halte Dich daran. Wenn man es jedoch tatsächlich überblickt, dann ist das null Problem. Da ist nichts "gefährlich".
gelöstFrageMicrosoftWindows Server
Mehr von CraftdorCraftdorVideokonferenz-SystemCraftdor - 13 KommentareCraftdorTicketsystem mit mailflowCraftdor - 8 KommentareCraftdorSchwarzer Bildschirm nach Windows updateCraftdor - 1 KommentarCraftdorSG500-28 stack uptime einzelner switche anzeigenCraftdor - 2 Kommentare
Heiß diskutiert
FohnbitNetzwerkgerät im Netzwerk verschwindet nach NeustartFohnbit - 34 Kommentareseppo1Switche KMUseppo1 - 28 KommentarecseLaufwege erfassen in großer Hallecse - 20 Kommentaresuperfun2k24SSL VPN an Sophos UTM sehr langsamsuperfun2k24 - 16 KommentareFrontierAbsicherung eines privaten GastnetzesFrontier - 14 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 14 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 13 KommentareDSchmolkePasswort ändern in der Domäne geht nichtDSchmolke - 12 KommentareYan2021Nachricht an mehrere PCs im Netzwerk sendenYan2021 - 12 KommentareZZaaiiggaaEDIFACT - Keins vorhanden ?ZZaaiiggaa - 11 KommentareMegaadwwhWireguard tunnel kann nicht hergestellt werdenMegaadwwh - 11 Kommentare