137431
Goto Top

Was sind "eingeschränkte Gruppen" in einer GPO?

Hi,

verstehe nicht, was diese Einstellung in der GPO bedeutet. Alle Erklärungen, die ich dazu gelesen habe, sind irgendwie verwirrend.

Content-Key: 492415

Url: https://administrator.de/contentid/492415

Ausgedruckt am: 28.03.2024 um 12:03 Uhr

Mitglied: ArnoNymous
ArnoNymous 06.09.2019 um 15:26:46 Uhr
Goto Top
Moin,

damit legst du einfach die lokalen Gruppen (Administratoren, Hauptbenutzer, Remotedesktopbenutzer ect.) auf den Maschinen fest.

Gruß
Mitglied: Hubert.N
Hubert.N 06.09.2019 um 15:29:27 Uhr
Goto Top
Moin

das ist ganz einfach gesagt ein Ausdruck, der nicht immer das macht, was er vermuten lässt.

Eigentlich ganz simpel: es wird für eine Sicherheitsgruppe(z.B. Administratoren) neu definiert, wer Mitglied in der Gruppe ist. So kann aus "eingeschränkt" auch ganz schnell ein "erweitert" werden. Wichtig ist, dass die Rechte hier komplett ersetzt werden.

Gruß
Mitglied: emeriks
emeriks 06.09.2019 aktualisiert um 19:52:40 Uhr
Goto Top
Hi,
Zitat von @Hubert.N:
Wichtig ist, dass die Rechte hier komplett ersetzt werden.
Was so erstmal komplett falsch ist. Damit werden keine Rechte gesetzt.

Im englischen Original sind das die "restricted Groups". Der Ami meint damit eher "geschlossene Gruppen". D.h. ich habe eine in sich geschlossene Gruppe, wo keiner so leicht herein oder wieder heraus kommt.

Mit einer "eigeschränkten Gruppe" legst Du die komplette Liste der Mitglieder einer Gruppe fest. Wenn sich GPO's zu einer Gruppe widersprechen, dann gilt die Liste der "Gewinner"-GPO. Kein Mischen.

Wenn man solch eine GPO für Domain Member wirken lässt, dann sind damit lokale Gruppen dieses Member gemeint.
Wenn man solch eine GPO für einen Domaincontroller wirken lässt, dann sind damit Domänen-Gruppen gemeint.

Die Mitgliedschaft wird bei jeder Hintergrundaktualisierung der GPO durchgesetzt. Normalerweise wird eine GPO nur dann erneut angewendet, wenn sie geändert wurde oder wenn ein Admin die GPO-Anwendung erzwingt. Nicht bei den eingeschränkten Gruppen. Diese werden jedes Mal abgearbeitet. Das heißt, wenn man manuell eine solche Gruppe ändert, ein Mitglied hinzufügt oder eins entfernt, dann wird beim nächsten Aktualisieren der GPO's die in der wirkendenen GPO festgelegte Mitgliedschaft wiederhergestellt.

E.
Mitglied: Hubert.N
Hubert.N 09.09.2019 um 09:23:07 Uhr
Goto Top
... ja sorry... es werden natürlich die Mitglieder der Gruppe ersetzt.
Mitglied: 137431
137431 12.09.2019 um 11:32:58 Uhr
Goto Top
Danke. Das ist nun leicht verständlich