8
Vererbung deaktivieren zieht nicht (GPO)
Moin,
ich bin mal wieder am testen und zwar habe ich folgendes Problem in der Gruppenrichtlinienverwaltung.
Wie Ihr vielleicht beim Bild sehen könnt ist an oberster Stelle die GPO "Default Domain Policy" welche sich auf alle OU´s auswirkt.
Dies dürfte aber eigentlich nicht sein, da ich die Vererbung bei Server und test1 deaktiviert habe.
Wenn ich dies aber teste zieht dennoch die Gruppenrichtlinie (Default Domain Policy)
Habt ihr da einen Tipp für mich?
ich bin mal wieder am testen und zwar habe ich folgendes Problem in der Gruppenrichtlinienverwaltung.
Wie Ihr vielleicht beim Bild sehen könnt ist an oberster Stelle die GPO "Default Domain Policy" welche sich auf alle OU´s auswirkt.
Dies dürfte aber eigentlich nicht sein, da ich die Vererbung bei Server und test1 deaktiviert habe.
Wenn ich dies aber teste zieht dennoch die Gruppenrichtlinie (Default Domain Policy)
Habt ihr da einen Tipp für mich?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 259099
Url: https://administrator.de/contentid/259099
Ausgedruckt am: 22.11.2024 um 06:11 Uhr
8 Kommentare
Neuester Kommentar
Hallo Partickebert,
also teile der DDP werden immer vererbt, egal ob du die Vererbung deaktivierst oder nicht ( z.b. Passwortrichtlinien).
Wenn du diese Teile auch von der Vererbung ausschließen möchtest, dann musst du auch die vererbung der DDCP deaktivieren.
Doch Vorsicht ist geboten.....
VG
Criemo
also teile der DDP werden immer vererbt, egal ob du die Vererbung deaktivierst oder nicht ( z.b. Passwortrichtlinien).
Wenn du diese Teile auch von der Vererbung ausschließen möchtest, dann musst du auch die vererbung der DDCP deaktivieren.
Doch Vorsicht ist geboten.....
VG
Criemo
Aber diese DDCP steht doch nicht mit an oberster Stelle?!? Daher kann ich die Vererbung dort nicht ausschalten unter test1 und Server.
Mein Problem ist das bei mir ein Skript läuft welches in der DDP eingebunden ist und dieses auf allen OU ausgeführt wird und das obwohl ich die Vererbung deaktiviert habe.
Mein Problem ist das bei mir ein Skript läuft welches in der DDP eingebunden ist und dieses auf allen OU ausgeführt wird und das obwohl ich die Vererbung deaktiviert habe.
gpupdate gemacht....
jop, auch unter Active Diretory-Standorte und Dienste die jeweiligen Server repliziert.
Hallo,
da kannst Du so viel updaten wie Du möchtest, dass funktioniert nicht.
Die beiden default policys wirst Du immer sehen, daher stellt man da auch eigentlich nichts dran rum. Von dieser Regel sind Kennwortrichtlinien ausgenommen, da die dann definitiv immer und überall vertreten sind.
Gruß
da kannst Du so viel updaten wie Du möchtest, dass funktioniert nicht.
Die beiden default policys wirst Du immer sehen, daher stellt man da auch eigentlich nichts dran rum. Von dieser Regel sind Kennwortrichtlinien ausgenommen, da die dann definitiv immer und überall vertreten sind.
Gruß
Moin Moin,
Mal abgesehen davon das es keinen Sinn macht die Vererbung der DDP (genau so wie die DDCP) zu deaktivieren, was bringt dich auf die Idee das die Richtlinien auf Benutzer/Computer in den Betroffenen OUs weiterhin angewendet werden?
Das die Einstellungen weiterhin greifen? Klar tun Sie das.
GPOs nehmen Einstellungen an den Clients vor. Wird eine Richtlinie deaktiviert bzw. über verweigerte Vererbung nicht mehr angewendet, sind deswegen die Einstellungen am Client nicht rückgängig gemacht.
Um zu sehen welche GPOs angewendet werden erstelle ein Richtlinienergebnis in der GPMC.
Gruß L.
Zitat von @exchange:
.. daher stellt man da auch eigentlich nichts dran rum. Von dieser Regel sind
Kennwortrichtlinien ausgenommen, da die dann definitiv immer und überall vertreten sind.
Genau... daher stellt man da auch eigentlich nichts dran rum. Von dieser Regel sind
Kennwortrichtlinien ausgenommen, da die dann definitiv immer und überall vertreten sind.
Mal abgesehen davon das es keinen Sinn macht die Vererbung der DDP (genau so wie die DDCP) zu deaktivieren, was bringt dich auf die Idee das die Richtlinien auf Benutzer/Computer in den Betroffenen OUs weiterhin angewendet werden?
Das die Einstellungen weiterhin greifen? Klar tun Sie das.
GPOs nehmen Einstellungen an den Clients vor. Wird eine Richtlinie deaktiviert bzw. über verweigerte Vererbung nicht mehr angewendet, sind deswegen die Einstellungen am Client nicht rückgängig gemacht.
Um zu sehen welche GPOs angewendet werden erstelle ein Richtlinienergebnis in der GPMC.
Gruß L.
Die sollen ja nicht weiterhin greifen, zum Beispiel bei Servern wie du vllt an meinen Strukturbaum sehen kannst.
Server müssen meiner Meinung die Logon.cmd nicht ausführen, da dies nur unnötig Ressourcen wegnimmt.
Wie gesagt auch schon oben erwähnt bin ich am testen ob dies irgendwie möglich ist, was es ja eigentlich sein sollte?
Wenn ich ein gpresult /u:username /s: Rechnername /v ausführe sehe ich das die Computerrichtlinien nicht vererbt wurden sind, aber die Benutzerrichtlinien und daher auch die LOGON.CMD ausgeführt wird über die DDP.
Verstehe dies nicht so ganz da ja eigentlich ja nur die Kennwortrichtlinien greifen sollten.
Server müssen meiner Meinung die Logon.cmd nicht ausführen, da dies nur unnötig Ressourcen wegnimmt.
Wie gesagt auch schon oben erwähnt bin ich am testen ob dies irgendwie möglich ist, was es ja eigentlich sein sollte?
Wenn ich ein gpresult /u:username /s: Rechnername /v ausführe sehe ich das die Computerrichtlinien nicht vererbt wurden sind, aber die Benutzerrichtlinien und daher auch die LOGON.CMD ausgeführt wird über die DDP.
Verstehe dies nicht so ganz da ja eigentlich ja nur die Kennwortrichtlinien greifen sollten.
Moin moin,
Verabschiede die von der Vorstellung das die Richtlinie das Skript ausführt. Das tut Sie nicht.
Sondern Richtlinien nehmen nur Einstellungen vor. z.B. bei der Anmeldung eines Benutzers ein LOGON.CMD auszuführen.
Wenn du dann die Vererbung deaktivierst, deaktivierst du nur das verteilen (oder auch aktualisieren) der Einstellungen.
Diese sind aber bereits am Rechner vorhanden und werden auch weiterhin verwendet.
Es ist natürlich möglich. Vorschlag:
1. Aktiviere wieder die Vererbung der Richtlinien.
2. Stelle in der DDP. ein das kein LOGON.CMD ausgeführt wird.
3. Erstelle eine neue eigene GPO für dein Skript.
Gruß L.
.
Verabschiede die von der Vorstellung das die Richtlinie das Skript ausführt. Das tut Sie nicht.
Sondern Richtlinien nehmen nur Einstellungen vor. z.B. bei der Anmeldung eines Benutzers ein LOGON.CMD auszuführen.
Wenn du dann die Vererbung deaktivierst, deaktivierst du nur das verteilen (oder auch aktualisieren) der Einstellungen.
Diese sind aber bereits am Rechner vorhanden und werden auch weiterhin verwendet.
Zitat von @patrickebert:
Die sollen ja nicht weiterhin greifen, zum Beispiel bei Servern wie du vllt an meinen Strukturbaum sehen kannst.
Server müssen meiner Meinung die Logon.cmd nicht ausführen, da dies nur unnötig Ressourcen wegnimmt.
Wie gesagt auch schon oben erwähnt bin ich am testen ob dies irgendwie möglich ist, was es ja eigentlich sein sollte?
Die sollen ja nicht weiterhin greifen, zum Beispiel bei Servern wie du vllt an meinen Strukturbaum sehen kannst.
Server müssen meiner Meinung die Logon.cmd nicht ausführen, da dies nur unnötig Ressourcen wegnimmt.
Wie gesagt auch schon oben erwähnt bin ich am testen ob dies irgendwie möglich ist, was es ja eigentlich sein sollte?
Es ist natürlich möglich. Vorschlag:
1. Aktiviere wieder die Vererbung der Richtlinien.
2. Stelle in der DDP. ein das kein LOGON.CMD ausgeführt wird.
3. Erstelle eine neue eigene GPO für dein Skript.
Gruß L.
.
