Mahlzeit,

folgendes Szenario:

OU Buchhaltung

|- OU Buchhaltung-Lohn

In der OU "Buchhaltung" darf der Benutzer per erzwungener GPO seinen Bildschirmschoner nicht aktivieren. In der OU "Buchhaltung-Lohn" mit deaktiverter Vererbung darf der Benutzer per GPO seinen Bildschirmschoner aktivieren.

Was passiert hier nun in der Praxis mit OU "Buchhaltung-Lohn"? Darf der Bilschirmschoner aktiviert werden (= weil "Vererbung deaktiviert") oder nicht (= weil "Bildschirmschoner deaktivieren" der übergeordneten OU erzwungen)?

Hat damit schon jemand Erfahrungen gemacht?

Das passiert: In der OU "Buchhaltung-Lohn" mit deaktiverter Vererbung darf der Benutzer per GPO seinen Bildschirmschoner aktivieren.

Also wird "Vererbung deaktiviert" höher gewertet als "erzwungene Ausführung"?

OU Buchhaltung: Bildschirmschoner ändern deaktiviert

OU Buchhaltung: GPO Ausführen erzwingen

OU Buchhaltung-Lohn: Vererbung deaktiviert

So richtig?

Alles was du in OU Buchhaltung-Lohn definierst wird höher gewertet als die Einstellungen aus der Vererbung.

Wenn du für die komplette Domäne eine Regel definierst, so gilt diese solange bis in einer untergeordneten OU etwas anderes steht. Die Vererbung wird nur beim Status "Nicht konfiguriert" übernommen.

OU Buchhaltung: Bildschirmschoner ändern deaktiviert

OU Buchhaltung: GPO Ausführen erzwingen

OU Buchhaltung/Buchhaltung-Lohn: Bildschirmschoner ändern aktiviert

OU Buchhaltung/Buchhaltung-Lohn: Vererbung deaktiviert

Also die OU "Buchhaltung-Lohn" ist eine untergeordnete OU von der OU "Buchhaltung".

Wenn du für die komplette Domäne eine Regel definierst, so gilt diese solange bis in einer untergeordneten OU etwas anderes steht. Die Vererbung wird nur beim Status "Nicht konfiguriert" übernommen.

Das wäre ja in dem Sinne keine Regel für die komplette Domäne, sondern nur für eine übergeordnete OU. Macht aber keinen Unterschied?

Und "GPO ausführen erzwingen" gilt bei deaktivierter Vererbung nur solange, bis explizit etwas anderes (= "Bildschirmschoner ändern aktivieren") erlaubt ist?

Das mit der kompletten Domäne war nur als Beispiel.

Im Endeffekt gilt das übergeordnete nur wenn nichts anderes unterhalb konfiguriert wurde.

Wenn du in der untergeordneten OU die Vererbung deaktivierst, dann dürfte es vollkommen egal sein was in der darüber für Regeln gelten.

Die Hierarchie beginnt beim tiefsten Punkt im Baum und wird dann nach oben hin abgearbeitet. Bereits gesetzte Werte werden nicht nochmals überschrieben.

Wenn alle relevanten Stränge durchlaufen wurden gelten die dann gesetzten Einstellungen.

Bsp:

Domäne.local

- Zentral

-- Buchhaltung

--- Buchhaltung-Lohn

Buchhaltung-Lohn > Buchhaltung > Zentral > Domäne.local

Danke, so langsam wird es mir klarer.

Also ist es egal, was in einer übergeordneten OU/Domäne "erzwungen" wird - sobald es unterhalb dieser OU/Domäne bereits manuell geändert wurde, ist die "Erzwingung" von oberhalb unwirksam?

Und wenn ich in einer untergeordneten OU die "Vererbung deaktiviere", dann betrifft dieses deaktivieren nur die zusätzlichen GPO von oberhalb, die nicht manuell in der Unter-OU geändert wurden?

Beispiel 1:

OU Buchhaltung: "Bildschirmschoner ändern" deaktiviert

OU Buchhaltung: "Desktophintergrund darf nicht geändert werden" aktiviert

OU Buchhaltung: GPO ausführen für beide erzwingen

OU Buchhaltung/Buchhaltung-Lohn: "Bildschirmschoner ändern" aktiviert

In der OU Buchhaltung/Buchhaltung-Lohn passiert dann folgendes:

- Bildschirmschoner darf geändert werden

- Desktophintergrund darf nicht geändert werden

Beispiel 2:

OU Buchhaltung: "Bildschirmschoner ändern" deaktiviert

OU Buchhaltung: "Desktophintergrund darf nicht geändert werden" aktiviert

OU Buchhaltung: GPO ausführen für beide erzwingen

OU Buchhaltung/Buchhaltung-Lohn: "Bildschirmschoner ändern" aktiviert

OU Buchhaltung/Buchhaltung-Lohn: Vererbung deaktiviert

In der OU Buchhaltung/Buchhaltung-Lohn passiert dann folgendes:

- Bildschirmschoner darf geändert werden

- Desktophintergrund darf geändert werden (= weil "Vererbung deaktiviert")

Ist das so alles korrekt?

Sollte so korrekt sein.

Edit:

- Desktophintergrund darf geändert werden (= weil "Vererbung deaktiviert")

Da der Status hier "nicht konfiguriert" wäre gilt die Standard Einstellung. Wenn diese das ändern erlaubt ist das korrekt, ansonsten wärs halt trotzdem verboten.

Bearbeitet 9. Januar 201214 j von Servior

Erstmal danke für die Antwort, aber irgendwie verstehe ich jetzt gar nix mehr. Ich habe Beispiel 1 von oben nun mal praktisch getestet:

In der OU Buchhaltung/Buchhaltung-Lohn passiert dann folgendes:

- Bildschirmschoner darf nicht geändert werden

- Desktophintergrund darf nicht geändert werden

Warum ist das nun so?

Also ist es egal, was in einer übergeordneten OU/Domäne "erzwungen" wird - sobald es unterhalb dieser OU/Domäne bereits manuell geändert wurde, ist die "Erzwingung" von oberhalb unwirksam?

Und wenn ich in einer untergeordneten OU die "Vererbung deaktiviere", dann betrifft dieses deaktivieren nur die zusätzlichen GPO von oberhalb, die nicht manuell in der Unter-OU geändert wurden?

Stimmt dem Test nach zufolge nicht - sonst hätte ich den Bildschirmschoner ändern dürfen. Und mit der deaktivierten Vererbung hätte auch die erzwungene GPO "Desktophintergrund nicht ändern" keine Anwendung finden dürfen. :confused:

Kann mich bitte jemand aufklären?

Erzwingen = Überschreiben, egal was vorher definiert wurde.

Bsp 1:

DC

- OU1

-- OU2: Deaktiviert

--- OU3: Aktiviert

Benutzer in OU3 hat letztendlich die Option aktiviert.

Bsp 2:

DC

- OU1

-- OU2: Deaktiviert, Erzwungen

--- OU3: Aktiviert

Benutzer in OU3 hat letztendlich die Option deaktiviert.

Bsp 3:

DC

- OU1

-- OU2: Deaktiviert

--- OU3: Nicht konfiguriert

Benutzer in OU3 hat letztendlich die Option Deaktiviert.

Bsp 4:

DC

- OU1

-- OU2: Deaktiviert

--- OU3: Nicht konfiguriert, Vererbung deaktiviert

Benutzer in OU3 hat letztendlich die Option Nicht konfiguriert.

Was bei Erzwungen und Vererbung deaktiviert passiert hängt von der Priorisierung die Microsoft dort gewählt hat ab.

Danke für die Erläuterungen!