Manfred Hasenbusch Geschrieben 8. Januar 2012 Geschrieben 8. Januar 2012 Mahlzeit, folgendes Szenario: OU Buchhaltung |- OU Buchhaltung-Lohn In der OU "Buchhaltung" darf der Benutzer per erzwungener GPO seinen Bildschirmschoner nicht aktivieren. In der OU "Buchhaltung-Lohn" mit deaktiverter Vererbung darf der Benutzer per GPO seinen Bildschirmschoner aktivieren. Was passiert hier nun in der Praxis mit OU "Buchhaltung-Lohn"? Darf der Bilschirmschoner aktiviert werden (= weil "Vererbung deaktiviert") oder nicht (= weil "Bildschirmschoner deaktivieren" der übergeordneten OU erzwungen)? Hat damit schon jemand Erfahrungen gemacht?
Sinoxy Geschrieben 8. Januar 2012 Geschrieben 8. Januar 2012 Das passiert: In der OU "Buchhaltung-Lohn" mit deaktiverter Vererbung darf der Benutzer per GPO seinen Bildschirmschoner aktivieren.
Manfred Hasenbusch Geschrieben 8. Januar 2012 Autor Geschrieben 8. Januar 2012 Also wird "Vererbung deaktiviert" höher gewertet als "erzwungene Ausführung"?
Servior Geschrieben 8. Januar 2012 Geschrieben 8. Januar 2012 OU Buchhaltung: Bildschirmschoner ändern deaktiviert OU Buchhaltung: GPO Ausführen erzwingen OU Buchhaltung-Lohn: Vererbung deaktiviert So richtig? Alles was du in OU Buchhaltung-Lohn definierst wird höher gewertet als die Einstellungen aus der Vererbung. Wenn du für die komplette Domäne eine Regel definierst, so gilt diese solange bis in einer untergeordneten OU etwas anderes steht. Die Vererbung wird nur beim Status "Nicht konfiguriert" übernommen.
Manfred Hasenbusch Geschrieben 9. Januar 2012 Autor Geschrieben 9. Januar 2012 OU Buchhaltung: Bildschirmschoner ändern deaktiviert OU Buchhaltung: GPO Ausführen erzwingen OU Buchhaltung/Buchhaltung-Lohn: Bildschirmschoner ändern aktiviert OU Buchhaltung/Buchhaltung-Lohn: Vererbung deaktiviert Also die OU "Buchhaltung-Lohn" ist eine untergeordnete OU von der OU "Buchhaltung". Wenn du für die komplette Domäne eine Regel definierst, so gilt diese solange bis in einer untergeordneten OU etwas anderes steht. Die Vererbung wird nur beim Status "Nicht konfiguriert" übernommen. Das wäre ja in dem Sinne keine Regel für die komplette Domäne, sondern nur für eine übergeordnete OU. Macht aber keinen Unterschied? Und "GPO ausführen erzwingen" gilt bei deaktivierter Vererbung nur solange, bis explizit etwas anderes (= "Bildschirmschoner ändern aktivieren") erlaubt ist?
Servior Geschrieben 9. Januar 2012 Geschrieben 9. Januar 2012 Das mit der kompletten Domäne war nur als Beispiel. Im Endeffekt gilt das übergeordnete nur wenn nichts anderes unterhalb konfiguriert wurde. Wenn du in der untergeordneten OU die Vererbung deaktivierst, dann dürfte es vollkommen egal sein was in der darüber für Regeln gelten. Die Hierarchie beginnt beim tiefsten Punkt im Baum und wird dann nach oben hin abgearbeitet. Bereits gesetzte Werte werden nicht nochmals überschrieben. Wenn alle relevanten Stränge durchlaufen wurden gelten die dann gesetzten Einstellungen. Bsp: Domäne.local - Zentral -- Buchhaltung --- Buchhaltung-Lohn Buchhaltung-Lohn > Buchhaltung > Zentral > Domäne.local
Manfred Hasenbusch Geschrieben 9. Januar 2012 Autor Geschrieben 9. Januar 2012 Danke, so langsam wird es mir klarer. Also ist es egal, was in einer übergeordneten OU/Domäne "erzwungen" wird - sobald es unterhalb dieser OU/Domäne bereits manuell geändert wurde, ist die "Erzwingung" von oberhalb unwirksam? Und wenn ich in einer untergeordneten OU die "Vererbung deaktiviere", dann betrifft dieses deaktivieren nur die zusätzlichen GPO von oberhalb, die nicht manuell in der Unter-OU geändert wurden? Beispiel 1: OU Buchhaltung: "Bildschirmschoner ändern" deaktiviert OU Buchhaltung: "Desktophintergrund darf nicht geändert werden" aktiviert OU Buchhaltung: GPO ausführen für beide erzwingen OU Buchhaltung/Buchhaltung-Lohn: "Bildschirmschoner ändern" aktiviert In der OU Buchhaltung/Buchhaltung-Lohn passiert dann folgendes: - Bildschirmschoner darf geändert werden - Desktophintergrund darf nicht geändert werden Beispiel 2: OU Buchhaltung: "Bildschirmschoner ändern" deaktiviert OU Buchhaltung: "Desktophintergrund darf nicht geändert werden" aktiviert OU Buchhaltung: GPO ausführen für beide erzwingen OU Buchhaltung/Buchhaltung-Lohn: "Bildschirmschoner ändern" aktiviert OU Buchhaltung/Buchhaltung-Lohn: Vererbung deaktiviert In der OU Buchhaltung/Buchhaltung-Lohn passiert dann folgendes: - Bildschirmschoner darf geändert werden - Desktophintergrund darf geändert werden (= weil "Vererbung deaktiviert") Ist das so alles korrekt?
Servior Geschrieben 9. Januar 2012 Geschrieben 9. Januar 2012 (bearbeitet) Sollte so korrekt sein. Edit: - Desktophintergrund darf geändert werden (= weil "Vererbung deaktiviert") Da der Status hier "nicht konfiguriert" wäre gilt die Standard Einstellung. Wenn diese das ändern erlaubt ist das korrekt, ansonsten wärs halt trotzdem verboten. Bearbeitet 9. Januar 2012 von Servior
Manfred Hasenbusch Geschrieben 9. Januar 2012 Autor Geschrieben 9. Januar 2012 Erstmal danke für die Antwort, aber irgendwie verstehe ich jetzt gar nix mehr. Ich habe Beispiel 1 von oben nun mal praktisch getestet: In der OU Buchhaltung/Buchhaltung-Lohn passiert dann folgendes: - Bildschirmschoner darf nicht geändert werden - Desktophintergrund darf nicht geändert werden Warum ist das nun so? Also ist es egal, was in einer übergeordneten OU/Domäne "erzwungen" wird - sobald es unterhalb dieser OU/Domäne bereits manuell geändert wurde, ist die "Erzwingung" von oberhalb unwirksam? Und wenn ich in einer untergeordneten OU die "Vererbung deaktiviere", dann betrifft dieses deaktivieren nur die zusätzlichen GPO von oberhalb, die nicht manuell in der Unter-OU geändert wurden? Stimmt dem Test nach zufolge nicht - sonst hätte ich den Bildschirmschoner ändern dürfen. Und mit der deaktivierten Vererbung hätte auch die erzwungene GPO "Desktophintergrund nicht ändern" keine Anwendung finden dürfen. :confused: Kann mich bitte jemand aufklären?
Servior Geschrieben 9. Januar 2012 Geschrieben 9. Januar 2012 Erzwingen = Überschreiben, egal was vorher definiert wurde. Bsp 1: DC - OU1 -- OU2: Deaktiviert --- OU3: Aktiviert Benutzer in OU3 hat letztendlich die Option aktiviert. Bsp 2: DC - OU1 -- OU2: Deaktiviert, Erzwungen --- OU3: Aktiviert Benutzer in OU3 hat letztendlich die Option deaktiviert. Bsp 3: DC - OU1 -- OU2: Deaktiviert --- OU3: Nicht konfiguriert Benutzer in OU3 hat letztendlich die Option Deaktiviert. Bsp 4: DC - OU1 -- OU2: Deaktiviert --- OU3: Nicht konfiguriert, Vererbung deaktiviert Benutzer in OU3 hat letztendlich die Option Nicht konfiguriert. Was bei Erzwungen und Vererbung deaktiviert passiert hängt von der Priorisierung die Microsoft dort gewählt hat ab.
Manfred Hasenbusch Geschrieben 9. Januar 2012 Autor Geschrieben 9. Januar 2012 Danke für die Erläuterungen!
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde Dich hier an.
Jetzt anmelden