6
Microsoft AD Gruppenrichtlinien und deren Vererbung
Hallo Leute,
ich habe ein kleines Problem - vielleicht auch nur ein Verständnisproblem. Ich habe meiner zu betreuenden AD mehrere OU's mit Sub-OU's. Für jede OU und teilweise untergeordneter OU's bestehen Gruppenrichtlinien. Nun habe ich mir eine neue OU für meine Terminalserver erstellt. Bei dieser OU wurde die Vererbung aufgehoben (deaktiviert), so dass nichts anderes mehr greifen sollte. Zu Begin sah es auch nicht schlecht aus, aber nachdem ich ein Problem beim Laden des Profils hatte, ist mir aufgefallen, dass noch andere GPO's greifen. Es handelt sich dabei zwar um GPO's die Nutzer Benutzereinstellungen haben, aber trotzdem sollten Sie dort nicht geladen werden. Wie kann ich das unterbinden?
Gruß
derhoeppi
ich habe ein kleines Problem - vielleicht auch nur ein Verständnisproblem. Ich habe meiner zu betreuenden AD mehrere OU's mit Sub-OU's. Für jede OU und teilweise untergeordneter OU's bestehen Gruppenrichtlinien. Nun habe ich mir eine neue OU für meine Terminalserver erstellt. Bei dieser OU wurde die Vererbung aufgehoben (deaktiviert), so dass nichts anderes mehr greifen sollte. Zu Begin sah es auch nicht schlecht aus, aber nachdem ich ein Problem beim Laden des Profils hatte, ist mir aufgefallen, dass noch andere GPO's greifen. Es handelt sich dabei zwar um GPO's die Nutzer Benutzereinstellungen haben, aber trotzdem sollten Sie dort nicht geladen werden. Wie kann ich das unterbinden?
Gruß
derhoeppi
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 131892
Url: https://administrator.de/contentid/131892
Ausgedruckt am: 22.11.2024 um 20:11 Uhr
6 Kommentare
Neuester Kommentar
Hallo,
du kannst deine Richtlinie auch nur für spezielle Gruppen bzw. Benutzer festlegen. Standardmäßig wird die Richtlinie für die Gruppe "Authentifizierte Benutzer" festgelegt.
Welche Richtlinien, die nicht angewendet werden sollen werden denn jetzt angewendet? Liegen diese in der übergeordneten OU oder in der untergeordneten? Wenn sie im übergeordneten Container liegen, kannst du dort doch auch einfach die Vererbung deaktivieren. Falls sie in dem selben Container liegen solltest du für die Benutzer / Gruppen, für die diese Richtlinien nicht angewendet werden sollen einen neuen Container erstellen. Dabei solltest du alle Einstellungen die für alle untergeordneten OUs gelten natürlich so weit "oben" wie möglich definieren und nur die, die sich zwischen den einzelnen OUs unterscheiden sollen in der jeweiligen OU direkt.
du kannst deine Richtlinie auch nur für spezielle Gruppen bzw. Benutzer festlegen. Standardmäßig wird die Richtlinie für die Gruppe "Authentifizierte Benutzer" festgelegt.
Welche Richtlinien, die nicht angewendet werden sollen werden denn jetzt angewendet? Liegen diese in der übergeordneten OU oder in der untergeordneten? Wenn sie im übergeordneten Container liegen, kannst du dort doch auch einfach die Vererbung deaktivieren. Falls sie in dem selben Container liegen solltest du für die Benutzer / Gruppen, für die diese Richtlinien nicht angewendet werden sollen einen neuen Container erstellen. Dabei solltest du alle Einstellungen die für alle untergeordneten OUs gelten natürlich so weit "oben" wie möglich definieren und nur die, die sich zwischen den einzelnen OUs unterscheiden sollen in der jeweiligen OU direkt.
Hallo Stefan,
vereinfacht gesagt habe ich mehrere OU's für User und eine OU für Server. In der OU Server habe ich nun eine untergeordnete OU erstellt, die sich Terminalserver nennt. Für diese OU habe ich die Vererbung aufgehoben. Danach habe ich eine GPO erstellt, die meiner Vorstellung und die unser verwendeten Software entspricht. Dabei kommt von der GPO sowohl die Computer, als auch Benutzereinstellungne zur Geltung. Nun habe ich jedoch in den OU's für die User und deren GPO's Laufwerkszuweisungen und zum Teil auch Loginscripte. Diese sollen jedoch in der OU Terminalserver nicht greifen - deshalb habe ich die Vererbung deaktiviert. Leider ist dem nicht so, so dass ich vor einem kleinen Problem stehe.
Wie kann ich das lösen?
Gruß
derhoeppi
vereinfacht gesagt habe ich mehrere OU's für User und eine OU für Server. In der OU Server habe ich nun eine untergeordnete OU erstellt, die sich Terminalserver nennt. Für diese OU habe ich die Vererbung aufgehoben. Danach habe ich eine GPO erstellt, die meiner Vorstellung und die unser verwendeten Software entspricht. Dabei kommt von der GPO sowohl die Computer, als auch Benutzereinstellungne zur Geltung. Nun habe ich jedoch in den OU's für die User und deren GPO's Laufwerkszuweisungen und zum Teil auch Loginscripte. Diese sollen jedoch in der OU Terminalserver nicht greifen - deshalb habe ich die Vererbung deaktiviert. Leider ist dem nicht so, so dass ich vor einem kleinen Problem stehe.
Wie kann ich das lösen?
Gruß
derhoeppi
Die GPOs greifen, da die Benutzer, mit denen du dich anmeldest, in den User OUs liegen. Soweit ich weiß gibt es keine Möglichkeit zu verhindern Richtlinien, die für die Benutzer gelten nur für einen bestimmten Server aufzuheben.
Hallo Stefan,
schade davon bin ich eigentlich ausgegangen. Im Prinzip habe ich ja nichts dagegen bei unserem W2K3 TS funktioniert auch alles, nur leider hängen sich scheinbar bei der Verbindung zum W2k8 R2 TS zwei Loginscripte auf, die auf dem W2K3 TS einwandfrei laufen.
Ich werde mir die Scripte ansehen und schauen, ob wir nicht dort etwas tun können.
Gruß
derhoeppi
schade davon bin ich eigentlich ausgegangen. Im Prinzip habe ich ja nichts dagegen bei unserem W2K3 TS funktioniert auch alles, nur leider hängen sich scheinbar bei der Verbindung zum W2k8 R2 TS zwei Loginscripte auf, die auf dem W2K3 TS einwandfrei laufen.
Ich werde mir die Scripte ansehen und schauen, ob wir nicht dort etwas tun können.
Gruß
derhoeppi
Was machen denn die Logon Scripts? Wenn sie Laufwerke mappen, könnte es sein, dass dort das gleiche Problem wie bei Vista besteht (siehe http://support.microsoft.com/kb/937624/en-US).
Gruß
Gruß
http://www.gruppenrichtlinien.de/index.html?/Grundlagen/Loopback_Verarb ... sollte Dir weiterhelfen - die Loopbackverarbeitung.
