GPO Vererbung

19/06/2008 - 15:49 von Harald Haas | Report spam
Hallo zusammen,

haben folgende Situation:

In einer GPO ist definiert, dass ein Kennwort für die
Reaktivierung des Computers aus dem Bildschirmschonermodus
erforderlich ist.

In der Sicherheitsfilterung der GPO ist eine globale Gruppe
eingetragen, authentifizierte Benutzer haben Leserechte!

Dies funktioniert auch perfekt!

Jedoch soll ein Benutzer, der auch Mitglied der Gruppe für
die zuvor genannte GPO ist, den Teil der Richtlinie, der
sich mit dem Kennwortschutz beschàftigt, nicht bekommen.

Hierzu habe ich eine weitere GPO in der gleichen
Org.-Einheit für ausschließlich den betreffenden User
gemacht, in der definiert ist, dass Bildschirmschoner und
Kennwörter für Bildschirmschoner deaktiviert sind.

Im GP-Richtlinienergebnissatz werden beide Benutzer-GPO's
auch als angewandt angezeigt, jedoch ist die Funktion in der
zuerst beschriebenen GPO auf dem Client immer noch
gesetzt-soll heißen, es ist weiterhin ein Kennwort
erforderlich, um den Computer aus dem Bildschirmschonermodus
zu reaktivieren!

Natürlich könnten wir den Benutzer aus der globalen Gruppe
für die zuerst beschriebene GPo herausnehmen aber dann
müssten wir eine zusàtzliche GPO definieren, die bis auf die
Bildschirmschonereinstellungen identisch mit der GPO ist,
die für den Rest der Gruppe gilt, was ein unverhàltnismàßig
hohen Admin.-Aufwand bedeutet!

Unser Gedanke war der, dass dies über die Vererbung gehen
müsste - erst die Einstellungen der ersten GPO, welche das
Kennwort fordert und dann der Umkehrschluss über die zweite
GPO nur für den eingetragenen User! Beide Einstellungen
spielen sich ja in der bBenutzerkonfiguration ab...

Ich denke, hier haben wir aber einen Fehler gemacht.

Wie können wir nun sicherstellen, dass die Vererbung, wie
wir sie für die beiden GPO's angedacht haben, umgesetzt wird
bzw. wo ist der (gedankliche) Fehler bei uns gemacht
worden?

Vielen Dank und ich hoffe, dass ich mich in der Beschreibung
der Situation deutlich genug ausgedrückt habe, ansonsten
bitte einfach nochmal nachfragen...

Viele Grüße, Harald Haas
 

Lesen sie die antworten

#1 Norbert Fehlauer [MVP]
19/06/2008 - 16:13 | Warnen spam
"Harald Haas" schrieb
Hi,

In einer GPO ist definiert, dass ein Kennwort für die
Reaktivierung des Computers aus dem Bildschirmschonermodus
erforderlich ist.



OK.

In der Sicherheitsfilterung der GPO ist eine globale Gruppe
eingetragen, authentifizierte Benutzer haben Leserechte!

Dies funktioniert auch perfekt!



OK.

Jedoch soll ein Benutzer, der auch Mitglied der Gruppe für
die zuvor genannte GPO ist, den Teil der Richtlinie, der
sich mit dem Kennwortschutz beschàftigt, nicht bekommen.



OK.

Hierzu habe ich eine weitere GPO in der gleichen
Org.-Einheit für ausschließlich den betreffenden User
gemacht, in der definiert ist, dass Bildschirmschoner und
Kennwörter für Bildschirmschoner deaktiviert sind.

Im GP-Richtlinienergebnissatz werden beide Benutzer-GPO's
auch als angewandt angezeigt, jedoch ist die Funktion in der
zuerst beschriebenen GPO auf dem Client immer noch
gesetzt-soll heißen, es ist weiterhin ein Kennwort
erforderlich, um den Computer aus dem Bildschirmschonermodus
zu reaktivieren!



Und das neue GPO liegt prioritàtentechnisch höher als das andere?

Natürlich könnten wir den Benutzer aus der globalen Gruppe
für die zuerst beschriebene GPo herausnehmen aber dann
müssten wir eine zusàtzliche GPO definieren, die bis auf die
Bildschirmschonereinstellungen identisch mit der GPO ist,
die für den Rest der Gruppe gilt, was ein unverhàltnismàßig
hohen Admin.-Aufwand bedeutet!



Hmm ginge genauso schnell. GPMC copy&paste. Nur wenn sich stàndig was àndert
wirds hakelig. ;)

Unser Gedanke war der, dass dies über die Vererbung gehen
müsste - erst die Einstellungen der ersten GPO, welche das
Kennwort fordert und dann der Umkehrschluss über die zweite
GPO nur für den eingetragenen User! Beide Einstellungen
spielen sich ja in der bBenutzerkonfiguration ab...



Laß in diesem Fall den Finger von Vererbung. Das macht etwas anderes als du
willst.

Wie können wir nun sicherstellen, dass die Vererbung, wie
wir sie für die beiden GPO's angedacht haben, umgesetzt wird
bzw. wo ist der (gedankliche) Fehler bei uns gemacht
worden?



Prüfe mal, ob die GPOs die richtige Reihenfolge für den Nutzer haben.

Bye
Norbert

Ähnliche fragen