7
Gruppenrichtlinien Berechtigungen Sub-OU überschreibt Werte
Guten Tag
Ich habe eine Frage zu den Gruppenrichtlinien im Active Directory. (Gab leider keine Kategorie dazu)
Ich habe ein GPO erstellt für Userberechtigungen unter:
Computer Configuration\Windows Settings\Security Settings\Restricted Groups
Nun ist es so, wir haben eine Haupt-OU und darunter eine Sub-OU:
Domäne\BLA
Domäne\BLA\Remote
In der Haupt-OU "BLA" gibt es bereits eine GPO wo geregelt wird wer Remote Desktop Zugriff haben darf
Nun habe ich wie oben erwähnt eine weitere Sub-OU "Remote" erstellt, dort eine GPO erstellt und die Gruppe "Remote Desktops Users" bisschen genauer definiert.
Nun ist es so das die GPO im Ordner "Remote" alles überschreibt was in der GPO "BLA" steht.
Wie und wo kann ich einstellen das beide Einstellungen zusammen verschmelzen, bzw die GPO in "Remote" nur die Änderungen hinzufügt?
Ich hoffe ich habe mich klar ausgedrückt!
Bitte nur Personen antworten welche dies schon erfolgreich gemacht haben.
Ich habe eine Frage zu den Gruppenrichtlinien im Active Directory. (Gab leider keine Kategorie dazu)
Ich habe ein GPO erstellt für Userberechtigungen unter:
Computer Configuration\Windows Settings\Security Settings\Restricted Groups
Nun ist es so, wir haben eine Haupt-OU und darunter eine Sub-OU:
Domäne\BLA
Domäne\BLA\Remote
In der Haupt-OU "BLA" gibt es bereits eine GPO wo geregelt wird wer Remote Desktop Zugriff haben darf
Nun habe ich wie oben erwähnt eine weitere Sub-OU "Remote" erstellt, dort eine GPO erstellt und die Gruppe "Remote Desktops Users" bisschen genauer definiert.
Nun ist es so das die GPO im Ordner "Remote" alles überschreibt was in der GPO "BLA" steht.
Wie und wo kann ich einstellen das beide Einstellungen zusammen verschmelzen, bzw die GPO in "Remote" nur die Änderungen hinzufügt?
Ich hoffe ich habe mich klar ausgedrückt!
Bitte nur Personen antworten welche dies schon erfolgreich gemacht haben.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1445002190
Url: https://administrator.de/contentid/1445002190
Ausgedruckt am: 25.11.2024 um 13:11 Uhr
7 Kommentare
Neuester Kommentar
Hallo,
du kannst innerhalb der OU, wenn du im GPO drin bist, bei Linked Group Policy Objects die Reihenfolge verändern. Einfach aufpassen, dass normalerweise die Reihenfolge von grösster Zahl zu kleinster Zahl gilt (kann durch Enforce noch geändert werden). Wenn du nun die in der Sub-OU kleiner stellst als die in der OU, werden diese Werte verwendet.
Gruss, Sascha
du kannst innerhalb der OU, wenn du im GPO drin bist, bei Linked Group Policy Objects die Reihenfolge verändern. Einfach aufpassen, dass normalerweise die Reihenfolge von grösster Zahl zu kleinster Zahl gilt (kann durch Enforce noch geändert werden). Wenn du nun die in der Sub-OU kleiner stellst als die in der OU, werden diese Werte verwendet.
Gruss, Sascha
Hallo Sascha
Das ist leider nicht das Problem.
Mein Beispiel:
Domäne\BLA -> GPO "Remote Desktop Users" -> Dort ist zB. definiert dass die User-Gruppe A,B,C Remote Zugriff erhält
Domäne\BLA\Remote -> GPO "Remote Desktop Users-Extend" -> Dort habe ich definiert das die User-Gruppe D auch Zugriff erhält
Leider wird aber nur der Wert für diese Gruppe D geschrieben und der Wert das die User-Gruppen A,B,C auch Zugriff erhalten gelöscht bzw überschrieben.
Ich wüsste die Lösung das ich bei Domäne\BLA\Remote einfach auch noch die Gruppen A,B und C hinzufüge, aber das würde einen doppelten Aufwand bedeuten bei einer Änderung
Gruss
Daniel
Das ist leider nicht das Problem.
Mein Beispiel:
Domäne\BLA -> GPO "Remote Desktop Users" -> Dort ist zB. definiert dass die User-Gruppe A,B,C Remote Zugriff erhält
Domäne\BLA\Remote -> GPO "Remote Desktop Users-Extend" -> Dort habe ich definiert das die User-Gruppe D auch Zugriff erhält
Leider wird aber nur der Wert für diese Gruppe D geschrieben und der Wert das die User-Gruppen A,B,C auch Zugriff erhalten gelöscht bzw überschrieben.
Ich wüsste die Lösung das ich bei Domäne\BLA\Remote einfach auch noch die Gruppen A,B und C hinzufüge, aber das würde einen doppelten Aufwand bedeuten bei einer Änderung
Gruss
Daniel
Moin
Da musst Du wohl durch... Das Zusammenführen unterschiedlicher Einstellungen in unterschiedlichen GPOs funktioniert nicht nur an dieser Stelle nicht. Die GPOs werden gem. der vorgegebenen Reihenfolge abgearbeitet und die Einstellungen der GPO, die als letztes verarbeitet wird, werden schlussendlich angewandt.
Das ist so auch sinnvoll. Alles andere würde im Betrieb zu anderen Problemen führen.
Gruß
Ich wüsste die Lösung das ich bei Domäne\BLA\Remote einfach auch noch die Gruppen A,B und C hinzufüge, aber das würde einen doppelten Aufwand bedeuten bei einer Änderung
Da musst Du wohl durch... Das Zusammenführen unterschiedlicher Einstellungen in unterschiedlichen GPOs funktioniert nicht nur an dieser Stelle nicht. Die GPOs werden gem. der vorgegebenen Reihenfolge abgearbeitet und die Einstellungen der GPO, die als letztes verarbeitet wird, werden schlussendlich angewandt.
Das ist so auch sinnvoll. Alles andere würde im Betrieb zu anderen Problemen führen.
Gruß
Hi Daniel,
OK, das habe ich so bisher noch nicht gemacht. Dachte es liegt nur an der Reihenfolge.
Gruss, Sascha
OK, das habe ich so bisher noch nicht gemacht. Dachte es liegt nur an der Reihenfolge.
Gruss, Sascha
Also gibt es keine Option bei den GPO's diese zu mergen? Sprich das eine unter-GPO nur Werte hinzufügt statt überschreibt/übernimmt?
Ich bin kein GPO expert . Aber du kannst probieren die Vererbung Der GPOS von der SUB-OU zu deaktivieren/aktivieren.
Nein das ist keine Option, auch dann müsste ich beide GPOs seperat managen
Aber da komme ich wohl nicht darum herum
Aber da komme ich wohl nicht darum herum
