Am 10.08.2011 schrieb T.J. Hooker:
Hi,
In meiner AD - ich stelle das jetzt mal vereinfacht dar - gibt es eine DDP und für die OU "Domain Controller" auch eine DDCP. Die DDP wird in die OU "Domain Controller" vererbt, dort gelten also beide Policies.
Naja, das ist Default, und nicht nur bei dir so. ;)
Meine Fragen:
Wie macht ihr das, habt ihr die Vererbung aufgehoben oder lässt man die lieber drin oder gibt es da keine "Best Practice"?
Was genau stört dich am Default Verhalten? Die Vererbung der DDP aufzuheben
ist selten eine gute Idee.
Ich hatte mit der aktiven Vererbung noch nie Probleme, aber jetzt, was mich zu meiner zweiten Frage führt:
In der DDP werden u.a. Einstellungen für die Ordneransicht vorgenommen (z.B. Systemdateien ausblenden). In der DDCP setze ich diese Optionen für die Ordneransicht genau anders herum (hier sollten die Systemdateien NICHT ausgeblendet werden). Da die
DDCP zuletzt abgearbeitet wird, dachte ich, die Einstellungen aus der DDP würden so für die OU "überschrieben", leider wird der Benutzer-Teil der DDCP aber auf den DCs gar nicht ausgeführt, jedenfalls lt. "gpresult /r".
Ist das "by Default" so oder übersehe ich da was?
Das ist nicht per Default. In den beiden Default Policies sind normalerweise
nur Sicherheitsoptionen definiert und nichts, was mit adms usw. zu tun hat.
Wenns dich also stört, nimms aus der DDP raus und definiere es an einer
passenderen Stelle. Sowas gehört meiner Meinung nach nicht in die Default
Domain Policy.
Bye
Norbert
Dilbert's words of wisdom #04:
There are very few personal problems that cannot be solved by a suitable
application of high explosives.
