Verhindern das Server GPO übernimmt
Hallo zusammen,
wenn ich in einem Server eine GPO habe, also auf einem Domänencontroller...
Und ich wende diese auf eine OU an.
Die OU sieht z.B. so aus:
| OU | <- GPO Element
-------------
| User |
-------------
-------------
| Groups |
-------------
-------------
| PCs |
-------------
-------------
| Servers |
-------------
Wie verhinder ich denn das für Servers, wo alle Server drin sind das GPO keine Anwendung findet.
Das GPO wird ja hier über Auth Users in der Berechtigungsliste als übernahmefähig gekennzeichnet.
Dazu gehören ja auch alle Server. Bis auf den DC, welcher ja in einem eigenen Objekt steht.
Ich hatte schon überlegt, das GPO einfach nur auf den Container PCs anzuwenden.... Aber ist das sinnig?
Users und groups haben ja mit GPO nix zu tun...
Grüße
Tom
wenn ich in einem Server eine GPO habe, also auf einem Domänencontroller...
Und ich wende diese auf eine OU an.
Die OU sieht z.B. so aus:
| OU | <- GPO Element
-------------
| User |
-------------
-------------
| Groups |
-------------
-------------
| PCs |
-------------
-------------
| Servers |
-------------
Wie verhinder ich denn das für Servers, wo alle Server drin sind das GPO keine Anwendung findet.
Das GPO wird ja hier über Auth Users in der Berechtigungsliste als übernahmefähig gekennzeichnet.
Dazu gehören ja auch alle Server. Bis auf den DC, welcher ja in einem eigenen Objekt steht.
Ich hatte schon überlegt, das GPO einfach nur auf den Container PCs anzuwenden.... Aber ist das sinnig?
Users und groups haben ja mit GPO nix zu tun...
Grüße
Tom
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 122253
Url: https://administrator.de/forum/verhindern-das-server-gpo-uebernimmt-122253.html
Ausgedruckt am: 23.12.2024 um 08:12 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
Deine Struktur ist ein wenig unklar ausgedrückt. Wenn ich das richtig verstehe, eine Top-OU, und viele OU's, die darunter liegen (Server, PCs etc).
Wenn Du die GPO nicht anwenden lassen willst auf die Server, dann geh in die Gruppenrichtlinienverwaltung unter deiner Domäne bis auf die OU Server. Rechtsklick & Vererbung deaktivieren.
Das verschieben mit der GPO auf PC's ist nur zu überlegen, wenn Du nur Computerconfigurationen festgelegt hast. Benutzerkonfigurationen in der GPO wird nicht greifen. Es sei denn, Du hast die Benutzer mit in der OU PC's.
Gruß DS
Deine Struktur ist ein wenig unklar ausgedrückt. Wenn ich das richtig verstehe, eine Top-OU, und viele OU's, die darunter liegen (Server, PCs etc).
Wenn Du die GPO nicht anwenden lassen willst auf die Server, dann geh in die Gruppenrichtlinienverwaltung unter deiner Domäne bis auf die OU Server. Rechtsklick & Vererbung deaktivieren.
Das verschieben mit der GPO auf PC's ist nur zu überlegen, wenn Du nur Computerconfigurationen festgelegt hast. Benutzerkonfigurationen in der GPO wird nicht greifen. Es sei denn, Du hast die Benutzer mit in der OU PC's.
Gruß DS
Hallo,
wie wäre es mit einer anderen Struktur, dann könntest Du besser mit den GPO's haushalten.
Zum Beispiel in dieser Art:
= OU-Firma
=== Groups - Für Gruppen jeder Art
=== Clients - Für Rechner
=== User - Für User
= AdminGroups - Für Administrative Gruppen
= Server - Für die vorhandenen Server
Nach diesem Beispiel kannst man GPO's, welche für alle Objekte in der AD gelten, diese ganz nach oben setzen (z.B. WSUS-Updates) und die GPO's welche nur für Clients und User, aber nicht für Server gelten auf die entsprechende OU geben.
Edit :
"..entsprechende OU..." wäre in diesem Fall OU-Firma
Eine weitergehnde Unterteilung wäre eventuell noch die Organisationsstruktur abzubilden.
Grüße
DevTig
wie wäre es mit einer anderen Struktur, dann könntest Du besser mit den GPO's haushalten.
Zum Beispiel in dieser Art:
= OU-Firma
=== Groups - Für Gruppen jeder Art
=== Clients - Für Rechner
=== User - Für User
= AdminGroups - Für Administrative Gruppen
= Server - Für die vorhandenen Server
Nach diesem Beispiel kannst man GPO's, welche für alle Objekte in der AD gelten, diese ganz nach oben setzen (z.B. WSUS-Updates) und die GPO's welche nur für Clients und User, aber nicht für Server gelten auf die entsprechende OU geben.
Edit :
"..entsprechende OU..." wäre in diesem Fall OU-Firma
Eine weitergehnde Unterteilung wäre eventuell noch die Organisationsstruktur abzubilden.
Grüße
DevTig
Hallo!
Vorweg: auf einen Container kannst Du keine GPOs anwenden, nur auf OUs bzw. wie Du es ursprünglich vorhattest auf die OU oberhalb des Containers und somit auf darunterliegende Container.
Es natürlich gibt die Möglichkeit, OUs "User" "PCs" usw. zu erstellen, und die GPO direkt mit diesen zu verknüpfen. Oder Du lässt es wie gehabt und arbeitest mit Sicherheitsfilterung: erstelle eine Domänengruppe "Server" und pack die Computerobjekte des Containers "Server" dort rein. Dann kannst Du das Übernehmen der GPO für diese Gruppe verweigern.
Vorweg: auf einen Container kannst Du keine GPOs anwenden, nur auf OUs bzw. wie Du es ursprünglich vorhattest auf die OU oberhalb des Containers und somit auf darunterliegende Container.
Es natürlich gibt die Möglichkeit, OUs "User" "PCs" usw. zu erstellen, und die GPO direkt mit diesen zu verknüpfen. Oder Du lässt es wie gehabt und arbeitest mit Sicherheitsfilterung: erstelle eine Domänengruppe "Server" und pack die Computerobjekte des Containers "Server" dort rein. Dann kannst Du das Übernehmen der GPO für diese Gruppe verweigern.
Die Frage ist halt, wenn ich für die TOP Ou eine GPO anwenden lasse, dann verebt die ja nach unten.
Das soll eben nur für Servers nicht gelten.
Das soll eben nur für Servers nicht gelten.
In meinem angegebenen Beispiel ist die OU-Firma, AdminGroups und die Server OU auf gleichem Level.
Bedeutet schiebst du die GPO ind OU-Firma, sind die OU's AdminGroups und Server nicht betroffen.
Grüße
DevTig