137431
06.09.2019
10034
5
0
Was sind "eingeschränkte Gruppen" in einer GPO?
Hi,
verstehe nicht, was diese Einstellung in der GPO bedeutet. Alle Erklärungen, die ich dazu gelesen habe, sind irgendwie verwirrend.
verstehe nicht, was diese Einstellung in der GPO bedeutet. Alle Erklärungen, die ich dazu gelesen habe, sind irgendwie verwirrend.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 492415
Url: https://administrator.de/forum/was-sind-eingeschraenkte-gruppen-in-einer-gpo-492415.html
Ausgedruckt am: 21.04.2025 um 17:04 Uhr
5 Kommentare
Neuester Kommentar
Moin,
damit legst du einfach die lokalen Gruppen (Administratoren, Hauptbenutzer, Remotedesktopbenutzer ect.) auf den Maschinen fest.
Gruß
damit legst du einfach die lokalen Gruppen (Administratoren, Hauptbenutzer, Remotedesktopbenutzer ect.) auf den Maschinen fest.
Gruß
Moin
das ist ganz einfach gesagt ein Ausdruck, der nicht immer das macht, was er vermuten lässt.
Eigentlich ganz simpel: es wird für eine Sicherheitsgruppe(z.B. Administratoren) neu definiert, wer Mitglied in der Gruppe ist. So kann aus "eingeschränkt" auch ganz schnell ein "erweitert" werden. Wichtig ist, dass die Rechte hier komplett ersetzt werden.
Gruß
das ist ganz einfach gesagt ein Ausdruck, der nicht immer das macht, was er vermuten lässt.
Eigentlich ganz simpel: es wird für eine Sicherheitsgruppe(z.B. Administratoren) neu definiert, wer Mitglied in der Gruppe ist. So kann aus "eingeschränkt" auch ganz schnell ein "erweitert" werden. Wichtig ist, dass die Rechte hier komplett ersetzt werden.
Gruß
Hi,
Was so erstmal komplett falsch ist. Damit werden keine Rechte gesetzt.
Im englischen Original sind das die "restricted Groups". Der Ami meint damit eher "geschlossene Gruppen". D.h. ich habe eine in sich geschlossene Gruppe, wo keiner so leicht herein oder wieder heraus kommt.
Mit einer "eigeschränkten Gruppe" legst Du die komplette Liste der Mitglieder einer Gruppe fest. Wenn sich GPO's zu einer Gruppe widersprechen, dann gilt die Liste der "Gewinner"-GPO. Kein Mischen.
Wenn man solch eine GPO für Domain Member wirken lässt, dann sind damit lokale Gruppen dieses Member gemeint.
Wenn man solch eine GPO für einen Domaincontroller wirken lässt, dann sind damit Domänen-Gruppen gemeint.
Die Mitgliedschaft wird bei jeder Hintergrundaktualisierung der GPO durchgesetzt. Normalerweise wird eine GPO nur dann erneut angewendet, wenn sie geändert wurde oder wenn ein Admin die GPO-Anwendung erzwingt. Nicht bei den eingeschränkten Gruppen. Diese werden jedes Mal abgearbeitet. Das heißt, wenn man manuell eine solche Gruppe ändert, ein Mitglied hinzufügt oder eins entfernt, dann wird beim nächsten Aktualisieren der GPO's die in der wirkendenen GPO festgelegte Mitgliedschaft wiederhergestellt.
E.
Was so erstmal komplett falsch ist. Damit werden keine Rechte gesetzt.
Im englischen Original sind das die "restricted Groups". Der Ami meint damit eher "geschlossene Gruppen". D.h. ich habe eine in sich geschlossene Gruppe, wo keiner so leicht herein oder wieder heraus kommt.
Mit einer "eigeschränkten Gruppe" legst Du die komplette Liste der Mitglieder einer Gruppe fest. Wenn sich GPO's zu einer Gruppe widersprechen, dann gilt die Liste der "Gewinner"-GPO. Kein Mischen.
Wenn man solch eine GPO für Domain Member wirken lässt, dann sind damit lokale Gruppen dieses Member gemeint.
Wenn man solch eine GPO für einen Domaincontroller wirken lässt, dann sind damit Domänen-Gruppen gemeint.
Die Mitgliedschaft wird bei jeder Hintergrundaktualisierung der GPO durchgesetzt. Normalerweise wird eine GPO nur dann erneut angewendet, wenn sie geändert wurde oder wenn ein Admin die GPO-Anwendung erzwingt. Nicht bei den eingeschränkten Gruppen. Diese werden jedes Mal abgearbeitet. Das heißt, wenn man manuell eine solche Gruppe ändert, ein Mitglied hinzufügt oder eins entfernt, dann wird beim nächsten Aktualisieren der GPO's die in der wirkendenen GPO festgelegte Mitgliedschaft wiederhergestellt.
E.
... ja sorry... es werden natürlich die Mitglieder der Gruppe ersetzt.
Danke. Das ist nun leicht verständlich
