patrickebert
Goto Top

Vererbung deaktivieren zieht nicht (GPO)

Moin,

ich bin mal wieder am testen und zwar habe ich folgendes Problem in der Gruppenrichtlinienverwaltung.
Wie Ihr vielleicht beim Bild sehen könnt ist an oberster Stelle die GPO "Default Domain Policy" welche sich auf alle OU´s auswirkt.
Dies dürfte aber eigentlich nicht sein, da ich die Vererbung bei Server und test1 deaktiviert habe.
Wenn ich dies aber teste zieht dennoch die Gruppenrichtlinie (Default Domain Policy)

Habt ihr da einen Tipp für mich?

54d858b8c633e0c55dcb9b3dc3c95ef2

Content-ID: 259099

Url: https://administrator.de/forum/vererbung-deaktivieren-zieht-nicht-gpo-259099.html

Ausgedruckt am: 22.12.2024 um 16:12 Uhr

Criemo
Criemo 07.01.2015 um 15:39:50 Uhr
Goto Top
Hallo Partickebert,

also teile der DDP werden immer vererbt, egal ob du die Vererbung deaktivierst oder nicht ( z.b. Passwortrichtlinien).
Wenn du diese Teile auch von der Vererbung ausschließen möchtest, dann musst du auch die vererbung der DDCP deaktivieren.
Doch Vorsicht ist geboten.....


VG
Criemo
patrickebert
patrickebert 07.01.2015 um 15:55:33 Uhr
Goto Top
Aber diese DDCP steht doch nicht mit an oberster Stelle?!? Daher kann ich die Vererbung dort nicht ausschalten unter test1 und Server.
Mein Problem ist das bei mir ein Skript läuft welches in der DDP eingebunden ist und dieses auf allen OU ausgeführt wird und das obwohl ich die Vererbung deaktiviert habe.
Criemo
Criemo 07.01.2015 um 16:00:20 Uhr
Goto Top
gpupdate gemacht....
patrickebert
patrickebert 07.01.2015 um 16:01:30 Uhr
Goto Top
jop, auch unter Active Diretory-Standorte und Dienste die jeweiligen Server repliziert.
exchange
exchange 08.01.2015 um 08:05:49 Uhr
Goto Top
Hallo,
da kannst Du so viel updaten wie Du möchtest, dass funktioniert nicht.
Die beiden default policys wirst Du immer sehen, daher stellt man da auch eigentlich nichts dran rum. Von dieser Regel sind Kennwortrichtlinien ausgenommen, da die dann definitiv immer und überall vertreten sind.

Gruß
Logan000
Logan000 08.01.2015 um 11:21:27 Uhr
Goto Top
Moin Moin,

Zitat von @exchange:
.. daher stellt man da auch eigentlich nichts dran rum. Von dieser Regel sind
Kennwortrichtlinien ausgenommen, da die dann definitiv immer und überall vertreten sind.
Genau.

Mal abgesehen davon das es keinen Sinn macht die Vererbung der DDP (genau so wie die DDCP) zu deaktivieren, was bringt dich auf die Idee das die Richtlinien auf Benutzer/Computer in den Betroffenen OUs weiterhin angewendet werden?
Das die Einstellungen weiterhin greifen? Klar tun Sie das.

GPOs nehmen Einstellungen an den Clients vor. Wird eine Richtlinie deaktiviert bzw. über verweigerte Vererbung nicht mehr angewendet, sind deswegen die Einstellungen am Client nicht rückgängig gemacht.

Um zu sehen welche GPOs angewendet werden erstelle ein Richtlinienergebnis in der GPMC.

Gruß L.
patrickebert
patrickebert 08.01.2015 um 15:08:13 Uhr
Goto Top
Die sollen ja nicht weiterhin greifen, zum Beispiel bei Servern wie du vllt an meinen Strukturbaum sehen kannst.
Server müssen meiner Meinung die Logon.cmd nicht ausführen, da dies nur unnötig Ressourcen wegnimmt.
Wie gesagt auch schon oben erwähnt bin ich am testen ob dies irgendwie möglich ist, was es ja eigentlich sein sollte?

Wenn ich ein gpresult /u:username /s: Rechnername /v ausführe sehe ich das die Computerrichtlinien nicht vererbt wurden sind, aber die Benutzerrichtlinien und daher auch die LOGON.CMD ausgeführt wird über die DDP.
Verstehe dies nicht so ganz da ja eigentlich ja nur die Kennwortrichtlinien greifen sollten.
Logan000
Logan000 09.01.2015 um 13:28:23 Uhr
Goto Top
Moin moin,

Verabschiede die von der Vorstellung das die Richtlinie das Skript ausführt. Das tut Sie nicht.
Sondern Richtlinien nehmen nur Einstellungen vor. z.B. bei der Anmeldung eines Benutzers ein LOGON.CMD auszuführen.
Wenn du dann die Vererbung deaktivierst, deaktivierst du nur das verteilen (oder auch aktualisieren) der Einstellungen.
Diese sind aber bereits am Rechner vorhanden und werden auch weiterhin verwendet.

Zitat von @patrickebert:
Die sollen ja nicht weiterhin greifen, zum Beispiel bei Servern wie du vllt an meinen Strukturbaum sehen kannst.
Server müssen meiner Meinung die Logon.cmd nicht ausführen, da dies nur unnötig Ressourcen wegnimmt.
Wie gesagt auch schon oben erwähnt bin ich am testen ob dies irgendwie möglich ist, was es ja eigentlich sein sollte?

Es ist natürlich möglich. Vorschlag:
1. Aktiviere wieder die Vererbung der Richtlinien.
2. Stelle in der DDP. ein das kein LOGON.CMD ausgeführt wird.
3. Erstelle eine neue eigene GPO für dein Skript.

Gruß L.

.