Active Directory < Sonstige < Schule < Informatik < Vorhilfe
|
Hi Leute
Ich habe da zwei Fragen. Beim Booten eines PC werden ja die Computerrichtlinien aktiv. Nun meldet sich ein User lokal am PC an. Dann werden die lokalen User-Richtlinien gestartet. Was ist dann mit den lokalen Computerrichtlinien? Kommen diese jetzt zum Einsatz oder schon beim Booten vorher? Oder kommen beim Booten die Domainen-Computerrichtlinien zum Einsatz?
Die andere Frage:
Im AD kann man ja sogenannte Sicherheitsgruppen erstellen. Jetzt gehört da Max zum Beispiel einer Gruppe User an. Auf dem Notebook "Maximilian" ist er jedoch als Administrator mit seinem Domänenaccount eingetragen. Wie sieht denn dort der Ablauf auf bzg. Gruppenrechte? Irgendwie haben ja dort die lokalen die höhere Priorität oder wie muss man das ansehen?
Grüsse Nicole
|
|
| |
|
| Status: |
(Antwort) fertig  | | Datum: | 14:11 Mo 24.09.2007 | | Autor: | rainerS |
Hallo Nicole!
> Ich habe da zwei Fragen. Beim Booten eines PC werden ja die
> Computerrichtlinien aktiv. Nun meldet sich ein User lokal
> am PC an. Dann werden die lokalen User-Richtlinien
> gestartet. Was ist dann mit den lokalen
> Computerrichtlinien? Kommen diese jetzt zum Einsatz oder
> schon beim Booten vorher? Oder kommen beim Booten die
> Domainen-Computerrichtlinien zum Einsatz?
Beides. Genauer gesagt: es werden alle Computerrichtlinien genommen, die für diesen Rechner gelten. Wenn es in der Domäne Untereinheiten (OUs - Organisational Units) gibt, und der Computer ist einer oder mehreren davon zugeordnet, und es gibt Richtlinien für diese OU, dann werden angewandt:
1. Die globalen Richtlinien der Domäne
2. Die Richtlinien für die OU(s)
3. Die lokalen Richtlinien
Normalerweise überschreiben Richtlinien weiter oben in der Hierarchie die weiter unten.
Du kannst dir das mit dem MMC-Snapin Richtlinienergebnissatz anschauen, oder mit dem Kommandozeilenwerkzeug gpresult.exe.
> Im AD kann man ja sogenannte Sicherheitsgruppen erstellen.
> Jetzt gehört da Max zum Beispiel einer Gruppe User an. Auf
> dem Notebook "Maximilian" ist er jedoch als Administrator
> mit seinem Domänenaccount eingetragen. Wie sieht denn dort
> der Ablauf auf bzg. Gruppenrechte? Irgendwie haben ja dort
> die lokalen die höhere Priorität oder wie muss man das
> ansehen?
Nein, das wird ausschließlich über die Zugehörigkeit zu Gruppen geregelt. Wer auf einem Rechner in der lokalen Gruppe Administratoren eingetragen ist, hat Administratorrechte auf diesem Rechner. Zunächst ist Administrator das einzige Mitglied dieser Gruppe; sobald der Rechner in eine Domäne aufgenommen wird, kommt als weiteres Mitglied die globale Gruppe DOMÄNE[mm]\backslash[/mm]Domänen-Admins hinzu.
Wenn Max Mitglied als Mitglied der Gruppe Administratoren auf dem Notebook "Maximilian" eingetragen ist, so hat er damit dort Administratorrechte. Auf jedem anderen Computer, auf dem er nicht Mitglied der lokalen Gruppe Administratoren ist, hat er nur normale Rechte als Benutzer. Die kommen daher, dass die globale Gruppe DOMÄNE[mm]\backslash[/mm]Domänen-Benutzer Mitglied der lokalen Gruppe Benutzer ist. Die Gruppe Domänen-Benutzer enthält normalerweise als Mitglieder alle in der Domäne registrierten Benutzer.
Viele Grüße
Rainer
|
|
|
| |
|
Vielen Dank Rainer, du hast mir das klarer gemacht. Jedoch hab ich noch eine Frage zu deiner Reihenfolge.
1. Die globalen Richtlinien der Domäne
2. Die Richtlinien für die OU(s)
3. Die lokalen Richtlinien
Ich habe da folgendes gelesen:
lokale Richtline --> Standortrichtlinie
--> Domänenrichtlinie --> OU Richtlinien von außen nach innen
Somit hat die lokale Richtlinie die geringste Priorität.
Also was gilt jetzt bei den Computerrichtlinien, welche haben die höchste Priorität?
Grüsse Nicole
|
|
|
| |
|
| Status: |
(Antwort) fertig | | Datum: | 16:42 Mo 24.09.2007 | | Autor: | rainerS |
Hallo Nicole,
> Vielen Dank Rainer, du hast mir das klarer gemacht. Jedoch
> hab ich noch eine Frage zu deiner Reihenfolge.
>
> 1. Die globalen Richtlinien der Domäne
> 2. Die Richtlinien für die OU(s)
> 3. Die lokalen Richtlinien
>
> Ich habe da folgendes gelesen:
>
> lokale Richtline --> Standortrichtlinie
> --> Domänenrichtlinie --> OU Richtlinien von außen nach innen
> Somit hat die lokale Richtlinie die geringste Priorität.
Das ist richtig, meine erste Antwort war nicht völlig korrekt.
Die Richtlinien werden in der von dir angegebenen Reihenfolge angewandt
Damit kann man auf der Domänenebene eine allgemeine Richtlinie vorgeben, die auf der Ebene einer OU durch spezielle Einstellungen verändert werden kann.
Es gibt Ausnahmen von dieser Regel, wenn eines der speziellen Flags "No Override", "Block Policy Inheritance" oder "Loopback" gesetzt ist.
![[]](/images/popup.gif) Hier gibt's eine ausführliche Doku dazu.
Mit "No Override" kann man verhindern, dass eine Richtlinie von einer danach angewandten verändert wird; also zum Beispiel erzwingen, dass die Domänenrichtlinie gilt, egal was die OU-Richtlinien sagen.
"Block Policy Inheritance" verhindert die Anwendung von Gruppenrichtlinien, die weiter oben in der Domänen-/OU-Hierarchie eingestellt sind.
"Loopback" bezieht sich auf Benutzerrichtlinien.
Schau mal bei http://www.gruppenrichtlinien.de/ rein, da gibt's viele Nützliche Infos zum Thema.
Viele Grüße
Rainer
|
|
|
|
