Vererbung deaktivieren zieht nicht (GPO)
Moin,
ich bin mal wieder am testen und zwar habe ich folgendes Problem in der Gruppenrichtlinienverwaltung.
Wie Ihr vielleicht beim Bild sehen könnt ist an oberster Stelle die GPO "Default Domain Policy" welche sich auf alle OU´s auswirkt.
Dies dürfte aber eigentlich nicht sein, da ich die Vererbung bei Server und test1 deaktiviert habe.
Wenn ich dies aber teste zieht dennoch die Gruppenrichtlinie (Default Domain Policy)
Habt ihr da einen Tipp für mich?
ich bin mal wieder am testen und zwar habe ich folgendes Problem in der Gruppenrichtlinienverwaltung.
Wie Ihr vielleicht beim Bild sehen könnt ist an oberster Stelle die GPO "Default Domain Policy" welche sich auf alle OU´s auswirkt.
Dies dürfte aber eigentlich nicht sein, da ich die Vererbung bei Server und test1 deaktiviert habe.
Wenn ich dies aber teste zieht dennoch die Gruppenrichtlinie (Default Domain Policy)
Habt ihr da einen Tipp für mich?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 259099
Url: https://administrator.de/forum/vererbung-deaktivieren-zieht-nicht-gpo-259099.html
Ausgedruckt am: 22.12.2024 um 16:12 Uhr
8 Kommentare
Neuester Kommentar
Moin Moin,
Mal abgesehen davon das es keinen Sinn macht die Vererbung der DDP (genau so wie die DDCP) zu deaktivieren, was bringt dich auf die Idee das die Richtlinien auf Benutzer/Computer in den Betroffenen OUs weiterhin angewendet werden?
Das die Einstellungen weiterhin greifen? Klar tun Sie das.
GPOs nehmen Einstellungen an den Clients vor. Wird eine Richtlinie deaktiviert bzw. über verweigerte Vererbung nicht mehr angewendet, sind deswegen die Einstellungen am Client nicht rückgängig gemacht.
Um zu sehen welche GPOs angewendet werden erstelle ein Richtlinienergebnis in der GPMC.
Gruß L.
Zitat von @exchange:
.. daher stellt man da auch eigentlich nichts dran rum. Von dieser Regel sind
Kennwortrichtlinien ausgenommen, da die dann definitiv immer und überall vertreten sind.
Genau... daher stellt man da auch eigentlich nichts dran rum. Von dieser Regel sind
Kennwortrichtlinien ausgenommen, da die dann definitiv immer und überall vertreten sind.
Mal abgesehen davon das es keinen Sinn macht die Vererbung der DDP (genau so wie die DDCP) zu deaktivieren, was bringt dich auf die Idee das die Richtlinien auf Benutzer/Computer in den Betroffenen OUs weiterhin angewendet werden?
Das die Einstellungen weiterhin greifen? Klar tun Sie das.
GPOs nehmen Einstellungen an den Clients vor. Wird eine Richtlinie deaktiviert bzw. über verweigerte Vererbung nicht mehr angewendet, sind deswegen die Einstellungen am Client nicht rückgängig gemacht.
Um zu sehen welche GPOs angewendet werden erstelle ein Richtlinienergebnis in der GPMC.
Gruß L.
Moin moin,
Verabschiede die von der Vorstellung das die Richtlinie das Skript ausführt. Das tut Sie nicht.
Sondern Richtlinien nehmen nur Einstellungen vor. z.B. bei der Anmeldung eines Benutzers ein LOGON.CMD auszuführen.
Wenn du dann die Vererbung deaktivierst, deaktivierst du nur das verteilen (oder auch aktualisieren) der Einstellungen.
Diese sind aber bereits am Rechner vorhanden und werden auch weiterhin verwendet.
Es ist natürlich möglich. Vorschlag:
1. Aktiviere wieder die Vererbung der Richtlinien.
2. Stelle in der DDP. ein das kein LOGON.CMD ausgeführt wird.
3. Erstelle eine neue eigene GPO für dein Skript.
Gruß L.
.
Verabschiede die von der Vorstellung das die Richtlinie das Skript ausführt. Das tut Sie nicht.
Sondern Richtlinien nehmen nur Einstellungen vor. z.B. bei der Anmeldung eines Benutzers ein LOGON.CMD auszuführen.
Wenn du dann die Vererbung deaktivierst, deaktivierst du nur das verteilen (oder auch aktualisieren) der Einstellungen.
Diese sind aber bereits am Rechner vorhanden und werden auch weiterhin verwendet.
Zitat von @patrickebert:
Die sollen ja nicht weiterhin greifen, zum Beispiel bei Servern wie du vllt an meinen Strukturbaum sehen kannst.
Server müssen meiner Meinung die Logon.cmd nicht ausführen, da dies nur unnötig Ressourcen wegnimmt.
Wie gesagt auch schon oben erwähnt bin ich am testen ob dies irgendwie möglich ist, was es ja eigentlich sein sollte?
Die sollen ja nicht weiterhin greifen, zum Beispiel bei Servern wie du vllt an meinen Strukturbaum sehen kannst.
Server müssen meiner Meinung die Logon.cmd nicht ausführen, da dies nur unnötig Ressourcen wegnimmt.
Wie gesagt auch schon oben erwähnt bin ich am testen ob dies irgendwie möglich ist, was es ja eigentlich sein sollte?
Es ist natürlich möglich. Vorschlag:
1. Aktiviere wieder die Vererbung der Richtlinien.
2. Stelle in der DDP. ein das kein LOGON.CMD ausgeführt wird.
3. Erstelle eine neue eigene GPO für dein Skript.
Gruß L.
.