none
Rangfolge Gruppenrichtlinie lässt sich nicht ändern RRS feed

  • Frage

  • Hallo,

    wir setzen Windows 2003 ein. Als Clients sind XP-Rechner im Einsatz. Damit wir die neuen Funktionen nutzen können haben wir auf einem Windows 7 Rechner RSAT installiert.

    Wir haben eine OU Vewaltung mit der Verknüpfung zu verschiednenen Richlinien (u.a. die Richlinie Verwaltung_User)

    In der OU Verwaltung gibt es eine OU Amt14, hier wurde die Richtlinie Amt14_User verknüpft. Diese soll bestimmte Werte überschreiben,

    die in der Richtlinie OU_Verwaltung angegeben wurde.

    Wenn ich mir jetzt die Rangfolge ansehe, dann wird Amt14_User als erstes verarbeitet. Ich würde diese gerne aber nach Verwaltung_user

    verarbeiten lassen, aber ich finde nichts, wie ich die Rangfolge beeinflussen kann.

    Vielen Dank.

    Christian Schwarz

    Samstag, 21. Januar 2012 15:13

Antworten

  • Am 25.01.2012 09:10, schrieb Schwarzmm:

    Ich hätte gerne [..]

    Äh, ohne mich das jetzt reinzudenken, aber:
    Ich habe immer eine OU "Benutzer" die liegt manchmal in einem Standort
    oder manchmal sind darunter Standorte, je nach Organisation der IT
    (GPO orientiert oder Delgations orientiert)

    An der verlinke ich ALLE! Richtlinien die für Benutzer gelten.
    Auf der Ebene Filtere ich auch anhand von Sicherheitsgruppen oder WMI.
    Es ist doch total Wurst wie der User "darunter" in welcher OU
    einsortiert ist. 95% der Richtlinie kriegen sowieso alle User.
    Die paar LW Buchstaben oder anderen Kleinigkeiten kann man ja abfangen.
    Ich brauche in keinem meiner Konstrukte "Force" oder "Vererbung
    deaktivieren"

    Pack also deine User 400 nicht in eine OU, sondern in eine Gruppe, häng
    die Richtlinie "weiter oben" auf und filter auf die Gruppe.

    Die OU Struktur ist nur ein Sortier- und Delegations Kriterium.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    • Als Antwort markiert Schwarzmm Freitag, 27. Januar 2012 09:01
    Mittwoch, 25. Januar 2012 08:48

Alle Antworten

  • Hallo,

    >In der OU Verwaltung gibt es eine OU Amt14, hier wurde die Richtlinie Amt14_User verknüpft. Diese soll bestimmte Werte >überschreiben, die in der Richtlinie OU_Verwaltung angegeben wurde.

    setze doch einfach die Richtlinie die die Einstellungen überschreiben soll auf "erzwungen".

    >Wenn ich mir jetzt die Rangfolge ansehe, dann wird Amt14_User als erstes verarbeitet

    Die Policies werden von oben nach unten verarbeitet.

    └───domain.local gpo1
        └───OU1 gpo2
            └───OU2 gpo3
                └───OU3 gpo4

    Die Reihenfolge wäre also:

    gpo1
    gpo2
    gpo3
    gpo4

     


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: http://matthiaswolf.blogspot.com/
    Samstag, 21. Januar 2012 16:19
    Beantworter
  • Am 21.01.2012 16:13, schrieb Schwarzmm:

    dann wird Amt14_User als erstes verarbeitet

    Du findest in der GPMC auf der OU die Rangfolge und ihr Verknüpfung und
    hast die PFeile "rauf" und "runter" in der mittleren Leiste noch nicht
    gesehen?

    "oben" läuft später, "oben" stehen die gewinnenden Einstellungen, genau
    wie beim Sport auf dem Siegertreppchen. Platz 1 ist der Gewinner und
    beim Ablauf der "letzte", denn er überschriebt alle vorhergehenden.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Samstag, 21. Januar 2012 16:56
  • Hallo,

    zur Antwort von Matthias:

    ich habe mal gelesen, dass man wenn möglich eine OU nicht erzwingen sollte, ich kenne die Möglichkeit. Was sagen hier die Spezialisten dazu ?

    zur Antwort von Mark:

    genau das ist ja das Problem:

    wenn ich in der OU Amt14 die Vererbung deaktivieren, aller Richtlinien verknüpfe, das sehe ich die Pfeile rauf und runter.

    Wenn ich aber die Vererbung lasse und nur die GPO Amt14_User der OU Amt14 zuweise, dann sehe ich in verknüpfte Gruppenrichtlinienobjekte

    nur AMT14_User, da kann ich nichts nach oben schieben. Beim Reiter Gruppenrichtlinienvererbung sehe ich zwar alle Gruppenrichtlinienobjekte und die Reihenfolge, kann die Reihenfolge aber nicht beeinflussen.

    Vielen Dank für Eure Antworten.

     

    Christian

    Sonntag, 22. Januar 2012 11:14
  • Hi,

    Am 22.01.2012 12:14, schrieb Schwarzmm:

    Wenn ich aber die Vererbung lasse

    Das ist eine hardcodierte Reihenfolge: L-S-D-OU
    - Local
     - Site
      - Domain
       - OU
        - und dann die darunter liegenden OUs

    Das rauf/runter ist nur auf derselben Ebene möglich.

    Wenn ein auf "oberer" OU liegende GPO gegen eine darunterliegende
    gewinnen soll, dann gehört sie "da oben" nicht hin oder "die darunter"
    ist dort falsch.

    Du kannst sie "erzwingen" was aber den Ablauf unnötig verkompliziert und
    den Zwang habe ich noch in keinem ordentlichen GPO Infrastruktur Design
    benötigt.
    Der Zwang is nur ein hirarchisches Drukcmittel, was am Ende bedeutet:
    ein dir untergeordneter Admin hat "mehr" zu sagen. Das ist ein soziales
    Problem, kein Technisches ...

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Sonntag, 22. Januar 2012 12:27
  • Um welche Einstellungen geht es in der GPO eigentlich?

    Im Idealfall kannst du das Überschreiben von doppelten Einstellungen ganz vermeiden indem du entsprechende Filter setzt.

    >Du kannst sie "erzwingen" was aber den Ablauf unnötig verkompliziert und
    >den Zwang habe ich noch in keinem ordentlichen GPO Infrastruktur Design
    >benötigt.

    Das ist natürlich klar, es wäre eben "quick-and-dirty" :-)


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: http://matthiaswolf.blogspot.com/
    Sonntag, 22. Januar 2012 13:39
    Beantworter
  • Hallo,

     

    es geht darum, dass im Amt14 z.B. ausführen angezeigt wird, alles Systemsteuerungsoptionen und ein paar andere Optionen,

    die die User im Amt14 bekommen sollen, die andere halt nicht bekommen.

     

    Ich habe jetzt mal die Vererbung deaktiviert, aller Richtlinien verknüpft und bekomme jezt auch fast das Ergebnis, das ich haben

    will, nur die Proxy-Einstellungen werden nicht eingetragen, im Richtlinienergebnissatz erscheinen diese auch nicht, obwohl

    die Richtliniel. in der diese Einstellungen eingestellt sind verarbeitet wird. In der Richtlinie ist

    Automatische Ermittlung von Konfigurationsseinstellungen deaktiviert, wird aber im Ergebnissatz als aktiviert angezeigt, als

    ausschlaggebendes Richtlinienobjekt ist genau die Richtlinie angegeben, wo die Ermittlung deaktiviert ist.

    Ich weiss viele stellen die Proxy-Einstellungen nicht über die IE-Wartung ein, aber mit WPAD kenne ich mich nicht aus,

    und wir hatten bisher auch keine Probleme.

     

    Christian

    Montag, 23. Januar 2012 08:44
  • Am 23.01.2012 09:44, schrieb Schwarzmm:

    die die User im Amt14 bekommen sollen, die andere halt nicht bekommen.

    Wenn du die Vererbung abschaltest verhinderst du das ERBE aller darüber
    liegenden Einstellungen.

    Mögliche "Filter" Lösungen:
    - Die OU
    Die OU selbst ist schon ein Filter. Dü könntest also alle User, die den
    Wert bekommen sollen in eine OU stecken.
    Das ist aber meistens unglücklich, da unflexibel und wirklich Ausnahmen
    sich darüber schlecht verwalten lassen. Man will ja nicht 500 OUs für
    550 User

    - Die Sicherheitsgruppe
    Alle Benutzer in einer OU. An dieser OU alle Richtlinien. Ausnahmen und
    Filter werden über eine Sicherheitsgruppe gesteuert. USer in Gruppen
    packen, fertig.
    Man sollte nur beachten, da die Ausnahme Richtlinie idR später laufen
    müssen (nach oben sortieren).

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Montag, 23. Januar 2012 08:59
  • Alternativ kannst du auch Item Level Targeting nutzen.

    Dieses kannst du zwar nur für die GPPs (Group Policy Preferences) verwenden,
    mit einem Trick kannst du diese Filterung jedoch auch für die "normalen" GPOs verwenden:

    http://www.sdmsoftware.com/uncategorized/leveraging-group-policy-preferences-item-level-targeting-from-downlevel-group-policy/

    Welcher Filter hier Sinn macht, hängt von eurer Struktur ab.


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: http://matthiaswolf.blogspot.com/
    Montag, 23. Januar 2012 09:24
    Beantworter
  • Hallo,

    ich würde gerne das Thema von Mark bezüglich der Sicherheitsgruppe aufgreifen. Vielleicht habe ich auch ein Organisationsproblem meiner OUs.

    So siehts bei uns aus:

     

     Ich hätte gerne die OU Amt14, Mobil und CAD in die OU Verwaltung, da die Mitarbeiter in diesen OUs ja auch Mitarbeiter der Verwaltung sind.

    In der OU Amt14neu habe ich mal die Vererbung deaktiviert, aber da funktionieren alles, bis auf die ProxyEinstellungen.

    Wenn ich jetzt die Sicherheitsgruppe einsetzen will, dann muss ich ja allen Benutzern, die jetzt in der OU Verwaltung sind eine Gruppe zuweisen

    (ca. 400 Konten), allen Benutzern in den OU Amt14, CAD, Mobil (hier wäre es natürlich nicht so viele Benutzer). Mir scheint es auch zwar

    die einzige Lösung.

     

    Vielen Dank für Eure Beiträge.

     

    Christian

     

    Mittwoch, 25. Januar 2012 08:10
  • Am 25.01.2012 09:10, schrieb Schwarzmm:

    Ich hätte gerne [..]

    Äh, ohne mich das jetzt reinzudenken, aber:
    Ich habe immer eine OU "Benutzer" die liegt manchmal in einem Standort
    oder manchmal sind darunter Standorte, je nach Organisation der IT
    (GPO orientiert oder Delgations orientiert)

    An der verlinke ich ALLE! Richtlinien die für Benutzer gelten.
    Auf der Ebene Filtere ich auch anhand von Sicherheitsgruppen oder WMI.
    Es ist doch total Wurst wie der User "darunter" in welcher OU
    einsortiert ist. 95% der Richtlinie kriegen sowieso alle User.
    Die paar LW Buchstaben oder anderen Kleinigkeiten kann man ja abfangen.
    Ich brauche in keinem meiner Konstrukte "Force" oder "Vererbung
    deaktivieren"

    Pack also deine User 400 nicht in eine OU, sondern in eine Gruppe, häng
    die Richtlinie "weiter oben" auf und filter auf die Gruppe.

    Die OU Struktur ist nur ein Sortier- und Delegations Kriterium.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    • Als Antwort markiert Schwarzmm Freitag, 27. Januar 2012 09:01
    Mittwoch, 25. Januar 2012 08:48
  • > Ich hätte gerne die OU Amt14, Mobil und CAD in die OU Verwaltung, da die
    > Mitarbeiter in diesen OUs ja auch Mitarbeiter der Verwaltung sind.
     
    Das ist der übliche "Fehler" in deutschen Firmen -
    "Organisationseinheit" wird gemappt auf "Unternehmensstruktur", und das
    ist - wie Mark schon schreibt - falsch. OUs sind NICHT dazu da,
    irgendwelche organisatorischen Einheiten der Firma abzubilden, sondern
    um das AD zu organisieren. Also GPOs verlinken und Rechte delegieren.
     
    mfg Martin
     

    A bissle "Experience", a bissle GMV... Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Mittwoch, 25. Januar 2012 09:31
    Beantworter
  • Hallo,

    ich gebe Martin ja recht, die OUS sind halt noch aus Anfangszeiten.

    Ich benötige ja wegen auch best. LDAP-Abfragen alle Benutzer in der OU Verwaltung.

    Ich werde es wohl schon so machen, dass ich jetzt halt die Benutzer, die bestimmte Richtlinien abweichen bekommen sollen

    in eine andere Gruppe stecke, wie alle anderen und anhand von Sicherheitsgruppen filtere.

    Danke, Christan

     

    Mittwoch, 25. Januar 2012 10:00
  • >Das ist der übliche "Fehler" in deutschen Firmen -

    Aber leider wird das einem selbst bei MS vorgeschlagen:

    Using organizational units, you can create containers within a domain that represent the hierarchical, logical structures within your organization. You can then manage the configuration and use of accounts and resources based on your organizational model.

    http://technet.microsoft.com/en-us/library/cc758565(WS.10).aspx

    Interessant wird es dann noch, wenn die GPOs ebenfalls anhand von organisatorischen Merkmalen
    strukturiert sind. Dann gibt es z.B. eine GPO "sales_department" die dann allerdings wieder auf andere OU gelinkt werden muss, da dort Benutzer die gleichen Settings benötigen.

    Was sich bei uns bewährt hat, Policies anhand deren Funktion zu benennen und zu verlinken.


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: http://matthiaswolf.blogspot.com/
    Mittwoch, 25. Januar 2012 10:22
    Beantworter
  • > Aber leider wird das einem selbst bei MS vorgeschlagen:
     
    Ja. MS schlägt ja in der Hintergrundbild-GPO auch nen UNC-Pfad vor. Die
    haben noch nie von 64 kBit MPLS gehört... ))):
     

    A bissle "Experience", a bissle GMV... Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Mittwoch, 25. Januar 2012 10:23
    Beantworter
  • Donnerstag, 26. Januar 2012 13:42
  • Hallo,

    ich habe die Antwort von Mark als Antwort markiert, ich werde es mit den SIcherheitsgruppen durchführen.

    Habe leider kein Testsystem, daher muss ich hier in meiner Echtumgebung das einrichten.

    Ich werde meine AD so organisieren, dass ich meine Benutzer alle unter Benutzer sammle, und die Richtlinien

    über die Sicherheitsgruppen steuere, da ja eh 95 % aller Benutzer das gleiche bekommen (zumindestens bei uns)

    Eine Frage noch zu den Computerkonten:

    Werden die auch alle in eine OU "geworfen" oder macht man hier am besten eine Unterscheidung nach Betriebssystem oder

    nach Computer Typ (Server/Workstation) ?

    Danke, Chrisitan

    Freitag, 27. Januar 2012 09:05
  • Am 27.01.2012 10:05, schrieb Schwarzmm:

    Werden die auch alle in eine OU "geworfen" oder macht man hier am
    besten eine Unterscheidung nach Betriebssystem oder nach Computer Typ (Server/Workstation) ?

    Findest du blau oder rot besser?
    Ich baue eine OU für alle Systeme und sortiere darunter in OUs nach
    Einsatz und Aufgabe, denn daran mache ich auch das GPO Regelwerk fest.
    Ich persönlich sehe keinen Sinn darin Systeme in Operatingsystems zu
    sortieren, das kann ein WMI Filter viel besser.

    ... andere machen es anders.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Freitag, 27. Januar 2012 12:08
  •  

    Ich will mir ja nur Tips holen, damit unsere Umgebung vielleicht übersichtlicher wird. Ich beschäftige mich nicht jeden

    Tag mit Gruppenrichtlinien und bei der letzten Schulung erzählt dir auch jeder etwas anderes.

    Danke für Eure Tips

    Freitag, 27. Januar 2012 13:58
  • Am 27.01.2012 14:58, schrieb Schwarzmm:

    Ich will mir ja nur Tips holen

    Das Problem ist: Jede Lösung, die in EUREN Workflow passt und die IHR
    administrieren könnt, die für EURE Pläne der nächsten 5 Jahre richtig
    sortiert ist, die ist richtig.

    Kein Schwarz kein Weiss. Kein macht man das so oder so, sondern immer
    die typische Antwort jedes guten Dienstleisters: It depends ...

    und ab diesem Moment befindest du dich ausserhalb des Forums im
    Consulting Bereich. Ein AD Layout und Design kann in einer Stunde, einem
    Tag oder einer Woche erstellt werden.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Freitag, 27. Januar 2012 16:41
  • Vielen Dank für Eure Hilfe,

    ich bin zumindestens weitergekommen.

    Consulter hatten wir bereits mal angefordert, aber es scheitert halt auch mal wieder am Geld.

    Was nicht heissen soll, dass ich alles lösen will, ohne etwas dafür zu bezahlen.

    Christian


    • Bearbeitet Schwarzmm Dienstag, 31. Januar 2012 12:07
    Dienstag, 31. Januar 2012 12:06
  • Moin,

    Am 31.01.2012 13:06, schrieb Schwarzmm:

    Was nicht heissen soll, dass ich alles lösen will, ohne etwas dafür zu bezahlen.

    So war das auch nicht gemeint, das Problem ist eben nur, daß man auf
    diese Frage mit 100 Antworten Recht haben kann und ohne den
    tatsächlichen Hintergrund immer flasch liegt ...

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Dienstag, 31. Januar 2012 19:29