5
Gruppenrichtlinien - eingeschränkte Gruppen
Hallo Zusammen,
angenommen ich habe im AD folgende Struktur:
Ebene 1 = OU
Ebene 2 = OU unterhalb der OU Ebene 1
Die 2. OU hat nun Gruppenrichtlinien erhalten bei der bestimmte Benutzer administrative Rechte auf die darin enthaltenen PCs bekommen haben.
Nun soll es aber einen Account geben der global für die lokale Administration der Clients benutzt werden soll.
Sprich ich möchte gerne bei der "obersten Ebene" ein GPO anlegen in der ich einen Benutzer als Admin deklariere (+Domänen Admins).
Wird dann die Richtlinie auf Ebene 2 überschrieben oder sind beide vorhanden oder nur die zweite?
Gibt es Probleme bei W7 oder XP? Die Einstellungen sind die gleichen, oder?
Gruß
angenommen ich habe im AD folgende Struktur:
Oberste Ebene
Ebene 1
Ebene 2
Ebene 2
Ebene 1
Ebene 2
Ebene 2
usw.Ebene 1 = OU
Ebene 2 = OU unterhalb der OU Ebene 1
Die 2. OU hat nun Gruppenrichtlinien erhalten bei der bestimmte Benutzer administrative Rechte auf die darin enthaltenen PCs bekommen haben.
Nun soll es aber einen Account geben der global für die lokale Administration der Clients benutzt werden soll.
Sprich ich möchte gerne bei der "obersten Ebene" ein GPO anlegen in der ich einen Benutzer als Admin deklariere (+Domänen Admins).
Wird dann die Richtlinie auf Ebene 2 überschrieben oder sind beide vorhanden oder nur die zweite?
Gibt es Probleme bei W7 oder XP? Die Einstellungen sind die gleichen, oder?
Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 203327
Url: https://administrator.de/contentid/203327
Ausgedruckt am: 24.11.2024 um 12:11 Uhr
5 Kommentare
Neuester Kommentar
Hi,
Standardmäßig werden die Richtlinien vererbt d.h. sie sind kumulativ. Du kannst das Verhalten ändern z.B. das eine Richtlinie erzwungen wird (Rechtsklick auf die Verknüpfung der Richtlinie). Sollte eine Einstellung in einer OU doppelt zu einer in einer oberen Ebene sein überscheibt sie diese. Die Reihenfolge in der die Richtlinien angewendet werden, lässt sich aber auch in der obersten Ebene der GMC festlegen.
Eine weitere Möglichkeit ist der Loopback-Modus einer Richtlinie zufinden unter Computer-/Benutzer-Konfiguraton/Administrative Vorlagen/System/Gruppenrichtlinien/Loopbackverarbeitungsmodus für Benutzergruppenrichtlininen -> Dazu bitte den Hilfetext studieren.
Ein hilfreiches Tool für dafür ist auch der Gruppenrichtlinien-Modellierungs-Assistent in der GMC. Damit lassen sich die effektiv angewendeten Richtlinien simulieren.
Hoffe das hilft erst mal weiter ...
Grüße Uwe
hier noch ein Auszug aus der Hilfe der MMC:
1. Lokales Gruppenrichtlinienobjekt - Auf jedem Computer ist genau ein Gruppenrichtlinienobjekt lokal gespeichert. Für dieses werden Computer- und Benutzergruppenrichtlinien verarbeitet.
2. Standort - Alle Gruppenrichtlinienobjekte, die mit dem Standort des Computers verknüpft sind, werden im nächsten Schritt verarbeitet. Die Verarbeitung erfolgt in der Reihenfolge, die der Administrator in der Gruppenrichtlinien-Verwaltungskonsole auf der Registerkarte Verknüpfte Gruppenrichtlinienobjekte für den Standort angegeben hat. Das Gruppenrichtlinienobjekt mit dem niedrigsten Wert für Verknüpfungsreihenfolge wird zuletzt verarbeitet und hat daher den Vorrang.
3. Domäne - Die Verarbeitung mehrerer, mit einer Domäne verknüpfter Gruppenrichtlinienobjekte erfolgt in der Reihenfolge, die der Administrator in der Gruppenrichtlinien-Verwaltungskonsole auf der Registerkarte Verknüpfte Gruppenrichtlinienobjekte für die Domäne angegeben hat. Das Gruppenrichtlinienobjekt mit dem niedrigsten Wert für Verknüpfungsreihenfolge wird zuletzt verarbeitet und hat daher den Vorrang.
4. Organisationseinheiten - Zunächst werden die Gruppenrichtlinienobjekte verarbeitet, die mit der Organisationseinheit an der obersten Position in der Active Directory-Hierarchie verknüpft sind, dann die Gruppenrichtlinienobjekte, die mit der untergeordneten Organisationseinheit dieser Einheit verknüpft sind, usw. Abschließend werden die Gruppenrichtlinienobjekte verarbeitet, die mit der Organisationseinheit verknüpft sind, in der sich der betreffende Benutzer oder Computer befindet.
Auf der Ebene jeder Organisationseinheit in der Active Directory-Hierarchie können ein, mehrere oder keine Gruppenrichtlinienobjekte verknüpft sein. Wenn mehrere Gruppenrichtlinienobjekte mit einer Organisationseinheit verknüpft sind, erfolgt die Verarbeitung in der Reihenfolge, die der Administrator in der Gruppenrichtlinien-Verwaltungskonsole auf der Registerkarte Verknüpfte Gruppenrichtlinienobjekte für die Organisationseinheit angegeben hat. Das Gruppenrichtlinienobjekt mit dem niedrigsten Wert für Verknüpfungsreihenfolge wird zuletzt verarbeitet und hat daher den Vorrang.
Diese Reihenfolge bedeutet, dass das lokale Gruppenrichtlinienobjekt zuerst verarbeitet wird. Gruppenrichtlinienobjekte, die mit der Organisationseinheit verknüpft sind, deren direktes Mitglied der Computer oder der Benutzer ist, werden zuletzt verarbeitet. Im Fall von Konflikten werden so die Einstellungen in den früheren Gruppenrichtlinienobjekten überschrieben. (Treten keine Konflikte auf, werden die früheren und späteren Einstellungen einfach aggregiert).
Ausnahmen von der Standardverarbeitungsreihenfolge der Einstellungen
Bei der Standardreihenfolge für die Verarbeitung von Einstellungen gelten die folgenden Ausnahmen:
Eine Gruppenrichtlinienobjekt-Verknüpfung kann den Status Erzwungen oder Deaktiviert oder beide aufweisen. Standardmäßig ist eine Gruppenrichtlinienobjekt-Verknüpfung weder erzwungen noch deaktiviert.
Für ein Gruppenrichtlinienobjekt können die Benutzereinstellungen, die Computereinstellungen oder alle Einstellungen deaktiviert sein. Standardmäßig sind bei einem Gruppenrichtlinienobjekt weder die Benutzer- noch die Computereinstellungen deaktiviert.
Für eine Organisationseinheit oder eine Domäne kann die Option Vererbung deaktivieren festgelegt sein. Vererbung deaktivieren ist standardmäßig nicht festgelegt.
Informationen zu den oben genannten Änderungen am Standardverhalten finden Sie unter Verwalten der Vererbung von Gruppenrichtlinien.
Bei einem Computer, der zu einer Arbeitsgruppe gehört, wird lediglich das lokale Gruppenrichtlinienobjekt verarbeitet.
Das Loopback kann aktiviert sein. Informationen zum Loopback finden Sie unter Loopbackverarbeitung mit Zusammenführen oder Ersetzen.
Standardmäßig werden die Richtlinien vererbt d.h. sie sind kumulativ. Du kannst das Verhalten ändern z.B. das eine Richtlinie erzwungen wird (Rechtsklick auf die Verknüpfung der Richtlinie). Sollte eine Einstellung in einer OU doppelt zu einer in einer oberen Ebene sein überscheibt sie diese. Die Reihenfolge in der die Richtlinien angewendet werden, lässt sich aber auch in der obersten Ebene der GMC festlegen.
Eine weitere Möglichkeit ist der Loopback-Modus einer Richtlinie zufinden unter Computer-/Benutzer-Konfiguraton/Administrative Vorlagen/System/Gruppenrichtlinien/Loopbackverarbeitungsmodus für Benutzergruppenrichtlininen -> Dazu bitte den Hilfetext studieren.
Ein hilfreiches Tool für dafür ist auch der Gruppenrichtlinien-Modellierungs-Assistent in der GMC. Damit lassen sich die effektiv angewendeten Richtlinien simulieren.
Hoffe das hilft erst mal weiter ...
Grüße Uwe
hier noch ein Auszug aus der Hilfe der MMC:
Gruppenrichtlinieneinstellungen werden in der nachstehenden Reihenfolge verarbeitet:
1. Lokales Gruppenrichtlinienobjekt - Auf jedem Computer ist genau ein Gruppenrichtlinienobjekt lokal gespeichert. Für dieses werden Computer- und Benutzergruppenrichtlinien verarbeitet.2. Standort - Alle Gruppenrichtlinienobjekte, die mit dem Standort des Computers verknüpft sind, werden im nächsten Schritt verarbeitet. Die Verarbeitung erfolgt in der Reihenfolge, die der Administrator in der Gruppenrichtlinien-Verwaltungskonsole auf der Registerkarte Verknüpfte Gruppenrichtlinienobjekte für den Standort angegeben hat. Das Gruppenrichtlinienobjekt mit dem niedrigsten Wert für Verknüpfungsreihenfolge wird zuletzt verarbeitet und hat daher den Vorrang.
3. Domäne - Die Verarbeitung mehrerer, mit einer Domäne verknüpfter Gruppenrichtlinienobjekte erfolgt in der Reihenfolge, die der Administrator in der Gruppenrichtlinien-Verwaltungskonsole auf der Registerkarte Verknüpfte Gruppenrichtlinienobjekte für die Domäne angegeben hat. Das Gruppenrichtlinienobjekt mit dem niedrigsten Wert für Verknüpfungsreihenfolge wird zuletzt verarbeitet und hat daher den Vorrang.
4. Organisationseinheiten - Zunächst werden die Gruppenrichtlinienobjekte verarbeitet, die mit der Organisationseinheit an der obersten Position in der Active Directory-Hierarchie verknüpft sind, dann die Gruppenrichtlinienobjekte, die mit der untergeordneten Organisationseinheit dieser Einheit verknüpft sind, usw. Abschließend werden die Gruppenrichtlinienobjekte verarbeitet, die mit der Organisationseinheit verknüpft sind, in der sich der betreffende Benutzer oder Computer befindet.
Auf der Ebene jeder Organisationseinheit in der Active Directory-Hierarchie können ein, mehrere oder keine Gruppenrichtlinienobjekte verknüpft sein. Wenn mehrere Gruppenrichtlinienobjekte mit einer Organisationseinheit verknüpft sind, erfolgt die Verarbeitung in der Reihenfolge, die der Administrator in der Gruppenrichtlinien-Verwaltungskonsole auf der Registerkarte Verknüpfte Gruppenrichtlinienobjekte für die Organisationseinheit angegeben hat. Das Gruppenrichtlinienobjekt mit dem niedrigsten Wert für Verknüpfungsreihenfolge wird zuletzt verarbeitet und hat daher den Vorrang.
Diese Reihenfolge bedeutet, dass das lokale Gruppenrichtlinienobjekt zuerst verarbeitet wird. Gruppenrichtlinienobjekte, die mit der Organisationseinheit verknüpft sind, deren direktes Mitglied der Computer oder der Benutzer ist, werden zuletzt verarbeitet. Im Fall von Konflikten werden so die Einstellungen in den früheren Gruppenrichtlinienobjekten überschrieben. (Treten keine Konflikte auf, werden die früheren und späteren Einstellungen einfach aggregiert).
Ausnahmen von der Standardverarbeitungsreihenfolge der Einstellungen
Bei der Standardreihenfolge für die Verarbeitung von Einstellungen gelten die folgenden Ausnahmen:
Eine Gruppenrichtlinienobjekt-Verknüpfung kann den Status Erzwungen oder Deaktiviert oder beide aufweisen. Standardmäßig ist eine Gruppenrichtlinienobjekt-Verknüpfung weder erzwungen noch deaktiviert.
Für ein Gruppenrichtlinienobjekt können die Benutzereinstellungen, die Computereinstellungen oder alle Einstellungen deaktiviert sein. Standardmäßig sind bei einem Gruppenrichtlinienobjekt weder die Benutzer- noch die Computereinstellungen deaktiviert.
Für eine Organisationseinheit oder eine Domäne kann die Option Vererbung deaktivieren festgelegt sein. Vererbung deaktivieren ist standardmäßig nicht festgelegt.
Informationen zu den oben genannten Änderungen am Standardverhalten finden Sie unter Verwalten der Vererbung von Gruppenrichtlinien.
Bei einem Computer, der zu einer Arbeitsgruppe gehört, wird lediglich das lokale Gruppenrichtlinienobjekt verarbeitet.
Das Loopback kann aktiviert sein. Informationen zum Loopback finden Sie unter Loopbackverarbeitung mit Zusammenführen oder Ersetzen.
2
Hi,
danke erst mal für die ausführliche Antwort
Zusammengefasst werde ich wohl einfach den Benutzer zusätzlich in die bereits vorhandenen OUs der zweiten Ebene hinzufügen. Bei den anderen OUs greift ja dann die Richtlinie aus der obersten Ebene.
Gruß
danke erst mal für die ausführliche Antwort
Zusammengefasst werde ich wohl einfach den Benutzer zusätzlich in die bereits vorhandenen OUs der zweiten Ebene hinzufügen. Bei den anderen OUs greift ja dann die Richtlinie aus der obersten Ebene.
Gruß
Hi Xaero,
noch ein kleiner Tipp. Füg in der GPO keinen Benutzer der Lokalen Admin-Gruppe hinzu sonderen eine Gruppe aus der Domain, damit kannst du dann ganz einfach auch den User wechseln oder weitere hinzufügen, ohne dass du wieder alle GPOs anfassen musst.
mfg
n4426
noch ein kleiner Tipp. Füg in der GPO keinen Benutzer der Lokalen Admin-Gruppe hinzu sonderen eine Gruppe aus der Domain, damit kannst du dann ganz einfach auch den User wechseln oder weitere hinzufügen, ohne dass du wieder alle GPOs anfassen musst.
mfg
n4426
1
Hi,
nach zwei mal lesen hab ichs dann auch verstanden ;)
Du meinst:
- Gruppe anlegen im AD
- Dort Benutzer X eintragen
- Die besagte Gruppe in den Richtlinien hinzufügen
Right?
Apropo: Gibt es eine Möglichkeit einen Benutzer zu erstellen, der Benutzer im AD anlegen kann bzw. auch via Exchange Shell ohne, dass dieser Zugriff auf die Server hat?
Gruß
nach zwei mal lesen hab ichs dann auch verstanden ;)
Du meinst:
- Gruppe anlegen im AD
- Dort Benutzer X eintragen
- Die besagte Gruppe in den Richtlinien hinzufügen
Right?
Apropo: Gibt es eine Möglichkeit einen Benutzer zu erstellen, der Benutzer im AD anlegen kann bzw. auch via Exchange Shell ohne, dass dieser Zugriff auf die Server hat?
Gruß
Hi,
genau das meinte ich.
Einem Benutzer das Recht zu geben User anzulgen ist möglich (google mal nach Objektverwaltung zuweise). Ob das auch mit Exchange Shell geht musst du ausprobieren.
mfg
n4426
genau das meinte ich.
Einem Benutzer das Recht zu geben User anzulgen ist möglich (google mal nach Objektverwaltung zuweise). Ob das auch mit Exchange Shell geht musst du ausprobieren.
mfg
n4426
