Hallo zusammen,
ich arbeite mich ein wenig in W2K8 ein und habe folgende/s Frage/Problem:
Wie kann man verhindern, dass eine vorhandene GroupPolicy nicht auf eine OU angewendet wird?
Vielen Dank im Voraus
Hallo,
entschuldige da kann ich leider nicht helfen
Gruß Thomas
eine Variante
Servermanager aufrufen
\Futures\Gruppenrichtlinenverwaltung\Gesammtstruktur:smiley:omainname.local\Domänen\Domainname.local\Gruppenrichtline
Dort entsprechende Police auswählen auf der Rechtenseite unter der Registerkarte Bereich alle Benutzer oder OUs einsetzen für die die Police gelten soll nur die Organisation Einheit nicht.
Hat aber zu folge das du alle User oder Gruppen explizit eingeben musst. Vergisst du einen hast du gelitten oder die Person freut sich oder auch nicht.
Die andere und bessere Möglichkeit ist du strickst die selber eine GPO (rechte maustaste auf Gruppenrichtlinienobjekte und Neu Namen vergeben auf die neue GPO mit der rechten Maustaste auf bearbeiten oder im Aktionsbereich weitere Aktionen bearbeiten, dann dasselbe Spiel wie oben beschrieben. OU im Register Bereich hinzufügen, Verknüpfung für entsprechenden Bereich nicht vergessen fertig. Ich weiß zwar nicht was du vorhast, wird aber schon seinen Sinn haben.
Aber meine Persönliche Meinung ist tue dies nicht auf einem Produktiven Server, sondern auf einer Virtuellen Maschine oder Test Maschine.
Willst Du der OU etwas erlauben räume ihnen Rechte über das Benutzerkonto ein.
Willst Du Ihnen etwas verbieten neue GPO stricken.
Einen User oder Gruppe aus der Police zu entfernen hat evtl. zur folge das der oder die User nichts mehr dürfen.
Du solltest hier schon wissen was Du tust.
Gruß Marcel
Hallo Marcel,
vielen Dank für die hilfreichen Tipps. Eine Frage hätte ich da aber noch:
Gibt es einen konkreten Befehl GPO_XY der OU_XY zu verweigern? Ich find nur Schaltflächen um Benutzer und OUs GPOs zuzuweisen. Verwähre ich einer OU einfach das Recht, indem ich für alle anderen OUs die GPO freigebe?
P.S : ich arbeite auf einer VM. Dieses Risiko gehe ich nicht ein =)
Vielen Dank im Voraus
Du hast nur die Möglichkeit eine Sicherheitsgruppe zu bilden und dieser Rechte zuzuweisen oder zu verweigern oder aber über die GPO
Wer in den GPOS eingetragen ist, für den gilt auch die GPO, wer nicht in den GPOs eingetragen ist für den gilt Sie auch nicht.
Und du solltest in den Einstellungen (registerkarte Einstellungen) genau nachsehen was für die Abteilung dann nicht mehr gelten soll.
Da in der Regel immer der authentifizierte Benutzer eingetragen ist und das ist in der Regel jeder der ein Konto besitzt. System, Administratoren, Organisationsadministratoren und DCs haben ihre eigenen Konten.
Es gibt wohl befehle für die Shell oder Admin Konsole, aber ob es einen explizierten Befehl für dein Vorhaben gibt weiß ich nicht, den ich bevorzuge den manuellen weg, damit ich sehe was für ein Käse ich fabriziere, wenn ich so tief ins System eindringe.
Ich glaube bei wer weiß was bist du da auch verkehrt. Da ist http://www.administrator.de/ die zweite und http://technet.microsoft.com/de-de/ms376608 die erste Wahl.
Selbst ich weiß nicht alles, auch meine Kollegen lesen sich hier schlau.
Achtung!
Bei Administrator.de gehört es zu guten Ton kein Konto mit Nick anzulegen, fragen mit Nick werden meist nicht beantwortet unsinnige Fragen auch nicht. Hier musst du dein Anliegen genau Formulieren.
Hallo,
ich weiss es klingt doof, aber das geht meines Wissens nur mit einer separaten zweiten GPO.
Gruß
Diderik
Hallo Diderik,
danke für den Tipp ! ich werd’s versuchen.
Viele Gruesse