Können GPOs in OUs überschrieben werden?

Mitglied: breppe

breppe (Level 1) - Jetzt verbinden

15.09.2011 um 15:51 Uhr, 3047 Aufrufe, 7 Kommentare

Hallo,

ich habe da mal eine Frage.

Nehmen wir an, ich habe in meiner Gruppenrichtlinienverwaltung folgende Struktur:
- Domäne
|
- OU1
|
-GPO1

Nehmen wir mal an, dass in der GPO1 in der Benutzerkonfiguration, bei den Administrativen Vorlagen -> System, der Zugriff auf die Eingabeaufforderung verhindert wird.

Es kann aber sein, dass ein spezieller Fall eintritt, und ich die Eingabeaufforderung aber NICHT verhindert haben will. Gibt es eine Möglichkeit, dass ich der OU ein zusätzliches Gruppenrichtlinienelement einfüge, die Eingabeaufforderung frei gibt? Meine zusätzlcihes Gruppenrichtlinien-Objekt müsste dann praktisch von der Verarbeitung her nach dem GPO1-Objekt kommen, bzw, die Richtlinie überschreiben.
- Domäne
|
- OU1
|
-GPO1
-GPO-Zusätzlich

Ist das möglich? Falls ja, die stelle ich das an? Oder bin ich komplett auf dem Holzweg und man macht so etwas eigentlich ganz ander? Es geht natürlich nicht nur um eine Richtlinie, sondern um mehrere, sodass es zu aufwändig wäre, diese in der GPO1 abzuändern und anschließend wieder zurück zu ändern.

Hoffe ich konnte meine Frage einigermaßen verständlich rüber bringen.

Gruß
Mitglied: BigWim
15.09.2011 um 17:08 Uhr
Moin breppe,

wenn ich Dich richtig verstanden hast - und je nachdem wie Du "spezieller Fall" definierst -, sollte sich das über die Sicherheitsfilterung und Gruppenmitgliedschaften lösen können. Hier und hier im Forum findest Du ausreichend Beispiele.

Gruß
Markus
Bitte warten ..
Mitglied: goscho
15.09.2011 um 18:12 Uhr
Mahlzeit,
ich würde zwei GPOs erstellen (einmal Verbot, einmal Erlaubnis).
Jetzt wird die benötigte mit der entsprechenden OU verknüpft.
Wenn die andere benötigt wird, wird die Verlinkung zur OU aufgehoben und die andere mit der OU verknüpft.
Gpupdate /force
Das sollte so machbar sein.
Bitte warten ..
Mitglied: BigWim
16.09.2011 um 08:14 Uhr
@goscho,

auch nett. Ich hatte das eher so verstanden, dass beide Situationen parallel auftreten können. Ich bin mal gespannt .....

Gruß
Markus
Bitte warten ..
Mitglied: Logan000
16.09.2011 um 08:24 Uhr
Moin Moin

Ich hatte das eher so verstanden, dass beide Situationen parallel auftreten können.
Nein. GPOs mit entgegengesetzten Einstellungen überschreiben einander, wenn sie auf das gleiche Object (User bzw. Computer) angewendet werden.
Die zuletzt angewendete GPO "gewinnt".
Ich meine mich zu entsinnen das die Ausführungsreihenfolge von unten nach oben verläuft.

Bei gegenteiligen Einstellungen trennst du die Anwendung am besten.
Entweder über eigene OUs oder über die Sicherheitsfilterung (siehe BigWin).

Gruß L.
Bitte warten ..
Mitglied: BigWim
16.09.2011 um 08:33 Uhr
Moin Logan000,

sorry für die Verwirrung. Bei GPO bin ich nicht so sattelfest - wie in vielen anderen Themengebieten auch ;-) face-wink

Vielleicht wenden wir das auch falsch an, aber wir durchaus mehrere GPO im Einsatz, die die gleiche Einstellung ändern.
Wenn in der Sicherheitsfilterung immer die gleiche Gruppe bzw. authentifizierte Benutzer drinne steht, dann gewinnt entsprechend der eingestellten Reihenfolge die entsprechende GPO.

Was ich meinte: Zwei GPO, die einmal die Einstellung aktivieren, einmal deaktivieren - und wer gewinnt, entscheidet die Gruppenzugehörigkeit. Setzt natürlich voraus, dass ich diese in der Sicherheitsfilterung eingetragen habe und der Benutzer entsprechend Mitglied ist.

Gruß
Markus
Bitte warten ..
Mitglied: breppe
16.09.2011 um 09:24 Uhr
Danke für eure Antworten.

und wie lege ich dann fest, dass Gruppe F über allen anderen Gruppen (A, B, C) steht? Die Gruppen haben doch auch alle die gleichen "Berechtigungsstufen"... oder täusche ich mich da?

Gruß
Bitte warten ..
Mitglied: BigWim
16.09.2011 um 09:43 Uhr
Moin breppe,

Die Gruppen haben doch auch alle die gleichen "Berechtigungsstufen"
?

Über die Sicherheitsfilterung steuerst Du die Berechtigungen.

Gruß
Markus
Bitte warten ..
Heiß diskutierte Inhalte
Exchange Server
Exchange Zero Day Hack - Wie entfernen?
gelöst mtaiitVor 1 TagFrageExchange Server79 Kommentare

Hallo, bei mir hat es einige Kundenserver getroffen Weiß einer wie ich diese WebShells wieder loswerde? Das löschen der betroffenen .aspx Dateien wird wohl ...

Exchange Server
Wie grundsätzlich verfahren mit Exchange Zero-Day-Exploit?
StefanKittelVor 18 StundenFrageExchange Server14 Kommentare

Hallo, ich habe auf einem Server mit den Tool von Microsoft Zugriffsversuche am 26. und 27.02.21 gefunden. Das führt mich zu der Vermutung, dass ...

Exchange Server
Exchange-Hack (2021-03) war Angriff erfolgreich? Was dann?
FrM222Vor 6 StundenFrageExchange Server17 Kommentare

Hallo Zusammen, ich bin ganz neu hier im Forum, daher entschuldige ich mich schon mal im Voraus, falls ich beim Einstellen etwas falsch gemacht ...

E-Mail
Kann man mit SPF Mails für eine Domäne vollständig verbieten?
gelöst StefanKittelVor 1 TagFrageE-Mail17 Kommentare

Hallo, viele Firmen haben ja zusätzliche Domänen. Als Web- und oder Mail-weiterleitung. Es werden also niemals Emails damit gesendet werden. kann man mit einem ...

Ausbildung
Projektantrag abgelehnt (IHK)
StrowayerVor 8 StundenFrageAusbildung10 Kommentare

Guten Tag, mein Projektantrag für die IHK wurde leider abgelehnt mit der Begründung: "Bitte überarbeiten Sie Ihren Zeitplan. Die Projektdokumentation sollte nicht 25% der ...

Python
Könnt ihr bugs finden ?
adriaanVor 21 StundenAllgemeinPython10 Kommentare

Guten Tag liebe Forenmitglieder, Ich schreibe heute diesen Beitrag, weil ich einen Python Zähler entwickelt habe. Diesen würde ich gerne härten und entsprechend gerne ...

Off Topic
So funktioniert das Internet! - Danke, Maus
em-pieVor 1 TagInformationOff Topic2 Kommentare

Anlässlich des Geburtstages unserer orangenen Freundin: So funktioniert das Internet: Alles Gute, liebe Maus :-)

Netzwerke
Cisco IOS: grep?
gelöst PeterGygerVor 1 TagFrageNetzwerke11 Kommentare

Hallo Falls jemand die Antwort aus dem Ärmel schütteln kann , danke ich im Voraus. In einem Vortrag wurde die Cisco IOS (Catalyst / ...