golf4roy Geschrieben 19. März 2012 Autor Geschrieben 19. März 2012 Hab mich leider geirrt. Die GPO's sollen alle zusammengeführt werden. Beispiel: In der "OU TEMP" ist der User "Hans Meier". Dieser soll die gesammten GPO's sprich TEMP, Test1 und TestOU übernehmen. Hab das ganze versucht einzustellen, authenficated User rausgenommen usw. Admins verweigert auf die jeweilige Policy zu übernehmen. Irgendwie blick ich garnicht mehr durch und hoffe auf eure Hilfe (siehe Screenshot). viele Grüße und tausend Dank Zitieren
Servior Geschrieben 19. März 2012 Geschrieben 19. März 2012 GPOs werden von unten (Temp) nach oben (TestOU) abgearbeitet. Das was du in den GPOs konfigurierst wird auch übernommen, zumindest wenn die Berechtigungen und die Vererbung stimmt. Zitieren
golf4roy Geschrieben 19. März 2012 Autor Geschrieben 19. März 2012 GPOs werden von unten (Temp) nach oben (TestOU) abgearbeitet. Das was du in den GPOs konfigurierst wird auch übernommen, zumindest wenn die Berechtigungen und die Vererbung stimmt. Hört sich schonmal garnicht schlecht. an Weißt du vielleicht was ich nun an den Berechtigungen bzw. an der Vererbung einstellen müsste?! Tausend Dank:) Zitieren
Tiro Geschrieben 19. März 2012 Geschrieben 19. März 2012 mach doch mal ein gpresult /h c:\temp\report.html (auf nem Windows 7 Client) und schau Dir das Ergebnis da an. Das ist manchmal um einiges erhellender, als die Ausgabe in der cmd. Und wenn Du nichts an der Standardeinstellung herumgespielt hast, dann werden alles GPOs vererbt und nach gemäß Standardreihenfolge lokal - Site - Domain - OU - (OU) - (OU) abgearbeitet (falls es mehr als ein OU gibt ;-) ) manchmal hilft auch ein rsop.msc in der cmd für "Licht". Zitieren
golf4roy Geschrieben 19. März 2012 Autor Geschrieben 19. März 2012 mach doch mal ein gpresult /h c:\temp\report.html (auf nem Windows 7 Client) und schau Dir das Ergebnis da an. Das ist manchmal um einiges erhellender, als die Ausgabe in der cmd. Und wenn Du nichts an der Standardeinstellung herumgespielt hast, dann werden alles GPOs vererbt und nach gemäß Standardreihenfolge lokal - Site - Domain - OU - (OU) - (OU) abgearbeitet (falls es mehr als ein OU gibt ;-) ) manchmal hilft auch ein rsop.msc in der cmd für "Licht". Was müsste ich denn machen damit die "Computerkonfiguration" Richtlinien übernehmen werden sollen mitsamt dem "Benutzer" wenn dieser sich am Computer anmeldet. Zitieren
Servior Geschrieben 19. März 2012 Geschrieben 19. März 2012 Hört sich schonmal garnicht schlecht. an Weißt du vielleicht was ich nun an den Berechtigungen bzw. an der Vererbung einstellen müsste?! Tausend Dank:) Deine Vererbung funktioniert, der Rest ist einfach (Fehler)-Meldung lesen und beheben. Temp: Leer Lokale Richtlinien: Leer TestOU: Keine Berechtigung Test1: Leer Wenn du Einstellungen für den Benutzer machen willst, dann muss dies im Bereich Benutzerkonfiguration geschehen. Einstellungen in der Computerkonfiguration werden als Benutzer ignoriert, genauso umgekehrt. Zitieren
Tiro Geschrieben 19. März 2012 Geschrieben 19. März 2012 Wenn du Einstellungen für den Benutzer machen willst, dann muss dies im Bereich Benutzerkonfiguration geschehen. Einstellungen in der Computerkonfiguration werden als Benutzer ignoriert, genauso umgekehrt. Und natürlich müssen für Benutzer-GPOs auch Benutzer in der OU sein :-) (und analog bei Computer-GPOs) Zitieren
Servior Geschrieben 19. März 2012 Geschrieben 19. März 2012 Genau das muss eben nicht. Wichtig ist der Computer, die Benutzer können in komplett anderen OUs sein. Dafür ist ja der Loopbackmodus gedacht. Zitieren
golf4roy Geschrieben 19. März 2012 Autor Geschrieben 19. März 2012 Genau das muss eben nicht. Wichtig ist der Computer, die Benutzer können in komplett anderen OUs sein. Dafür ist ja der Loopbackmodus gedacht. Also nochmal zum mitschreiben. Das bedeutet um die Richtlinie "Computerkonfiguration" zu aktivieren, muss ich separat eine "Computer OU" einrichten. Diese bestimmte Computerkontos beispiel Rechnername "ABCwindows7" kommt in die "ComputerOU" rein. Wusste nicht das Benutzer und Computerkonfigurationen zwei "Paar" Schuhe sind :/ . Das heisst im klartext ich brauche eine eigene "Benutzer OU" sowie "Computer OU". Anschließend kommen die Benutzer in die "Benutzer OU" und die Computerkonten in die "Computer OU". Anschließend aktiviere ich "Loopbackverarbeitungsmodus" evtl. mit (Zusammen oder Ersetzen?). Damit verursache ich denke mal keine "kollision" zwischen den Richtlinien. Tausend Dank an alle für eure Antworten. @ Servior, wenn du mir etwa den Vorgang sprich Schritt 1 bis Schritt .. kurz schreiben könntest wäre ich dir zu tiefst dankbar. Vielen vielen vielen Dank Zitieren
Servior Geschrieben 19. März 2012 Geschrieben 19. März 2012 1. Du erstellst dir erst einmal eine OU. 2. In dieser OU legst du eine Richtlinie an und konfigurierst in der Computerkonfiguration den Loopbackmodus. 3. Danach verschiebst du die jeweiligen Clients/Server in die grade angelegte OU. 4. Du legst weitere Richtlinien innerhalb dieser OU an und konfigurierst das was du brauchst, z.B. Laufwerke für Benutzer. 5. Du meldest dich mit einem Benutzer an einem Rechner in dieser OU an, ggf. halt nochmal die Richtlinien aktualisieren (gpupdate /force). Zitieren
golf4roy Geschrieben 19. März 2012 Autor Geschrieben 19. März 2012 1. Du erstellst dir erst einmal eine OU. 2. In dieser OU legst du eine Richtlinie an und konfigurierst in der Computerkonfiguration den Loopbackmodus. 3. Danach verschiebst du die jeweiligen Clients/Server in die grade angelegte OU. 4. Du legst weitere Richtlinien innerhalb dieser OU an und konfigurierst das was du brauchst, z.B. Laufwerke für Benutzer. 5. Du meldest dich mit einem Benutzer an einem Rechner in dieser OU an, ggf. halt nochmal die Richtlinien aktualisieren (gpupdate /force). 4. Du legst weitere Richtlinien innerhalb dieser OU an und konfigurierst das was du brauchst, z.B. Laufwerke für Benutzer. Benutzerkonfigurationen sollten doch in der "benutzer OU" aktiviert werden ? :confused: Tausend Dank nochmal Servior :uli Zitieren
golf4roy Geschrieben 19. März 2012 Autor Geschrieben 19. März 2012 Benutzerkonfigurationen sollten doch in der "benutzer OU" aktiviert werden ? :confused: Tausend Dank nochmal Servior :uli Ok, habs jetzt verstanden ^^. Hab aber das gefühl das die "Richtlinien" etwas Zeit in Anspruch nehmen, bis diese "richtig" aktiviert sind. viele Grüße Zitieren
golf4roy Geschrieben 26. März 2012 Autor Geschrieben 26. März 2012 1. Du erstellst dir erst einmal eine OU. 2. In dieser OU legst du eine Richtlinie an und konfigurierst in der Computerkonfiguration den Loopbackmodus. 3. Danach verschiebst du die jeweiligen Clients/Server in die grade angelegte OU. 4. Du legst weitere Richtlinien innerhalb dieser OU an und konfigurierst das was du brauchst, z.B. Laufwerke für Benutzer. 5. Du meldest dich mit einem Benutzer an einem Rechner in dieser OU an, ggf. halt nochmal die Richtlinien aktualisieren (gpupdate /force). Kann es sein das unter Computerkonfiguration -> Passwort Policy sprich Kennwortrichtlinien(Computerkonfiguration GPO) nicht vom Computer "xyz" erkannt bzw. aktiviert wird. Ich hab die Policy aktiviert Befehl "gpupdate /force" -> hat aber irgendwie nichts gebracht. Muss ich evtl. länger warten bis die Kennwortrichlinien beispielweise "chronik funktion" zur Geltung kommen? Tausend Dank an an alle besonders an Servior Zitieren
Servior Geschrieben 26. März 2012 Geschrieben 26. März 2012 Kennwortrichtlinien gehen nur auf Domänen-Ebene. Versuch die Richtilinie auf der höchsten Ebene einzubinden. Zitieren
golf4roy Geschrieben 27. März 2012 Autor Geschrieben 27. März 2012 (bearbeitet) Kennwortrichtlinien gehen nur auf Domänen-Ebene. Versuch die Richtilinie auf der höchsten Ebene einzubinden. Meinst du ich soll bei"default policy" die Kennwortrichtlinien Policy aktivieren ? Oder funktioniert diese Geschichte nur über "Local Policy" sprich Lokale Einstellungen? Also gebe es keine andere Möglichkeit, diese Richtlinien sprich speziell für eine bestimmte OU einzustellen ? Tausend Dank Servior Bearbeitet 27. März 2012 von sezer1987 Zitieren
Servior Geschrieben 27. März 2012 Geschrieben 27. März 2012 Kennwortrichtlinien gelten für die komplette Domäne und müssen entsprechend auch dort angelegt werden. Wenn du die Richtlinien nur einer bestimmten OU zuweist, dann gilt das ganze wenn überhaupt nur für lokale Benutzer des Servers/Clients. Die Default Policy würde ich nicht anfassen, erstelle lieber eine eigene Richtlinie dafür. Zitieren
golf4roy Geschrieben 27. März 2012 Autor Geschrieben 27. März 2012 Kennwortrichtlinien gelten für die komplette Domäne und müssen entsprechend auch dort angelegt werden. Wenn du die Richtlinien nur einer bestimmten OU zuweist, dann gilt das ganze wenn überhaupt nur für lokale Benutzer des Servers/Clients. Die Default Policy würde ich nicht anfassen, erstelle lieber eine eigene Richtlinie dafür. Ich hab mal jetzt in der Lokalen Sicherheiteinstellungen wie beispielsweise nach 5 maligen Anmeldeversuch soll er das Konto z.B. für 3 minuten sperren ( klappt einwandfrei sowohl für Domänen Benutzer als auch Domänen Admins). Hier wäre das Problem, dass die Dömänen Admins ebenfalls gesperrt werden. Kann ich diese Lokale Sicherheitsrichtlinie speziel für Admins deaktivieren ? Vielen vielen Dank Servior Zitieren
Servior Geschrieben 27. März 2012 Geschrieben 27. März 2012 Eine Möglichkeit wäre die Domänen-Admins in eine eigene OU zu stecken und die Vererbung zu deaktivieren. Dann dürfte die Einstellung eigentlich nicht für diese gelten. Eventuell lässt sich auch mit "Diese Richtlinie übernehmen" = verweigert für Domänen-Admins arbeiten. Zitieren
golf4roy Geschrieben 27. März 2012 Autor Geschrieben 27. März 2012 (bearbeitet) Eine Möglichkeit wäre die Domänen-Admins in eine eigene OU zu stecken und die Vererbung zu deaktivieren. Dann dürfte die Einstellung eigentlich nicht für diese gelten. Eventuell lässt sich auch mit "Diese Richtlinie übernehmen" = verweigert für Domänen-Admins arbeiten. Aber dann würde ich ja auch andere Konfigurationen wie Minimallänge oder auch KOmplexität usw. bedingt abschalten :-/ ?! Hab vorhin etwas über ADSIEDIT.MSC gelesen, weißt du vielleicht was dieses "Tools" auf sich hat? Viele Grüße und tausend Dank. Bearbeitet 27. März 2012 von sezer1987 Zitieren
Servior Geschrieben 27. März 2012 Geschrieben 27. März 2012 Wenn du dafür andere Richtlinien benutzt sollte das zumindest bei verweigern Methode kein Problem sein. Zitieren
Thanks-and-Goodbye Geschrieben 27. März 2012 Geschrieben 27. März 2012 Hab vorhin etwas über ADSIEDIT.MSC gelesen, weißt du vielleicht was dieses "Tools" auf sich hat? Adsiedit: Active Directory Zitieren
golf4roy Geschrieben 27. März 2012 Autor Geschrieben 27. März 2012 Wenn du dafür andere Richtlinien benutzt sollte das zumindest bei verweigern Methode kein Problem sein. Also könnte ich die "Default Policy" nur für die Domänen Benutzer benutzen + diese Policy für "Domänen Admins" verweigern. Anschließend neben "Default Policy" eine ähnliche GPO erstellen in der nur die "Domänen Admins" verwalten werden. Ist das möglich ? ( siehe Screenshot) Zitieren
golf4roy Geschrieben 27. März 2012 Autor Geschrieben 27. März 2012 Adsiedit: Active Directory Mein Leiter hat es mir verboten, mir der Begründung mein Problem sollte auch ohne ADSIEDIT machtbar sein :-/. Trotzdem dankeschön Zitieren
Servior Geschrieben 27. März 2012 Geschrieben 27. März 2012 Ich hab das ganze auf Basis von Kennwortrichtlinien noch nicht angewendet und kann dir daher nicht sagen ob es funktioniert. Probier es doch einfach aus und du wirst sehen ob es funktioniert. Zitieren
Tiro Geschrieben 28. März 2012 Geschrieben 28. März 2012 Das Problem liesse sich mit Fine-Grained Password Policies am einfachsten lösen. ;-) Mir erschließt sich allerdings nicht, warum man die Admins von der Passwort-Richtlinie ausnehmen sollte. Die sollten im Gegenteil sogar eine höhere Sicherheitsstufe haben. Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.