Gå til innhold

Linke GPOer/Bruke GP


Kakeshoma

Anbefalte innlegg

Skrevet

Hallois.

 

Lurer litt på dette med group policy...

Man kan jo linke enkelte GPOer til forskjellige OUs i AD (sant?), men så er det et GPO som heter Default Domain Policy også.

Brukes den til generelle regler for alle i domenet, så kan man linke spesielle regler til OUs?

Noen som kan forklare når man bruker hva? :)

 

Takker

Videoannonse
Annonse
Skrevet

Hei,

 

Det stemmer bra det. Default domain policy ligger på toppnivået i AD og vil affektere alle subnivåer. Denne brukes gjerne til å sette passordpolicy, sikkerhetsinstillinger, sertifikatutrulling o.l.

 

Utover dette er det vanlig å lage forskjellige policies som man linker opp til forskjellige OUer etter behov.

 

Husk også forskjellen mellom maskin og brukerpolicy. Hva som affekterer hva og eventuell loopback.

 

Om jeg ikke husker veldig feil er det alltid siste instans av en setting som leses i policy som blir gjeldende. Policy leses fra toppen i domenet og nedover. Så om en spesifikk setting står til feks "true" på default domain policy, og "false" i en mer spesifikk policy linket til et subnivå, vil man ende opp med settingen "false".

 

Audun

  • Liker 1
Skrevet (endret)

En ting til...

Om jeg oppretter et GPO for password policy under et OU ser det fortsatt ut til Default Domain Policy overstyrer denne, gjelder også Account Lockout Policy...

Overstyrer DDP Windows Security settings eller gjør jeg noe feil?

 

Jeg linket GPOer med Computer config til brukere og ikke maskinOU, da er det ikke rart det ikke funker.

Endret av Kakeshoma
  • 4 uker senere...
Gjest Slettet-t8fn5F
Skrevet

Hei,

 

Det stemmer bra det. Default domain policy ligger på toppnivået i AD og vil affektere alle subnivåer. Denne brukes gjerne til å sette passordpolicy, sikkerhetsinstillinger, sertifikatutrulling o.l.

 

Utover dette er det vanlig å lage forskjellige policies som man linker opp til forskjellige OUer etter behov.

 

Husk også forskjellen mellom maskin og brukerpolicy. Hva som affekterer hva og eventuell loopback.

 

Om jeg ikke husker veldig feil er det alltid siste instans av en setting som leses i policy som blir gjeldende. Policy leses fra toppen i domenet og nedover. Så om en spesifikk setting står til feks "true" på default domain policy, og "false" i en mer spesifikk policy linket til et subnivå, vil man ende opp med settingen "false".

 

Audun

Du tar litt feil der. Fra og med 2003 server, så ble deny eller false avgjørende. Det hjelper ikke om du har 100 GPO med allow så lenge der er en deny.

Alle GPO'er legges på "root" eller toppen av hireakiet og så linkes de til spesifikke GPO'er og underliggende gpo'er arver disse. Det går ann å slå av arvingen.

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...