GPO Serverprobleme

Hallöchen Forum,

unsere französischen Freunde haben bei uns eine GPO eingeführt, bzw. in unser AD!
Diese GPO wird auf den Clients angewendet, über authentifizierter User.
Leider ist dies global und bedeutet soviel, dass die GPO auch auf den Servern angewendet wird, sowie sich ein domainadmin anmeldet.
Geht man auf die Eigenschaften der Server OU und group policy, dann ist das Feld leer.
Meine Frage ist, wie kann ich verhindern, dass die GPO nicht auf der Server OU angewendet wird, aber trotzdem für authentifizierte User angewendet wird?
Meine Idee war, in der Server OU/Eigenschaften/grouppolicy die GPO hinzufügen und auf disable klicken.
Funktioniert das so?

liebe grüsse

Mahlwerk

Hi,

Meine Idee war, in der Server OU/Eigenschaften/grouppolicy die GPO hinzufügen und auf disable klicken.

Zum Vergrößern anklicken....

das wäre eine Maßnahme... Und dann würde ich prinzipiell das gesamte GPO Konzept überdenken, weil

Diese GPO wird auf den Clients angewendet, über authentifizierter User.

Zum Vergrößern anklicken....

und

Leider ist dies global und bedeutet soviel, dass die GPO auch auf den Servern angewendet wird, sowie sich ein domainadmin anmeldet.

Zum Vergrößern anklicken....

grob fahrlässig...

Gruß
Sven

besten dank!

Mein Problem ist, ich bin in einer französischen Firma, die Franzmänner können nur französisch und etwas englisch aber richtig schlecht. Ich kenn mich nicht so gut mit gruppenrichtlinien aus, und versuche jetzt einfach das ganze grade zu biegen.
Da ich DomainAdmin bin, kann ich für unsere seite alles einstellen, wie ich will, will aber auch nix falsch machen. Ist nach meiner Ausbildung das erste Mal das ich einen Server mit AD administriere.
Wie sollte man denn am besten vorgehen?
Bin grad nicht mehr in der Firma, da stand unten im Reiter group policy noch irgendwas mit block inheritance..., da kann man ein Häckchen setzen? Was ist das genau?
Was ist denn so schlimm daran, dass die GPO auf authentifizierter User verteilt wird. Kann man nicht einfach irgendwie die Domain Admins aus dieser Gruppe entfernen?
Tut mir leid, dass ich soviel (dumme)Fragen stell, aber ich kenn mich mit allem möglichen aus nur nicht mit AD und GPO.
Ich hab mir den GPMC Snapin installiert. Wie kann ich sehen, in welchen OUs die GPO angewendet wird. Sozusagen als Übersicht. Hab schon gesehen, dass beim klicken aufs plus der OU die GPO angezeigt wird, aber das find ich nicht grade übersichtlich.

gruß

Mahlwerk

Wie wärs mit Einlesen in die Materie:
www.grurili.de

Du wirst im Web kein besseres, deutschsprachiges Kompendium dazu finden wie Mark´s Seite und ein allumfassende Erklärung der GPOs würde den Rahmen jedes Forums sprengen.

Jo, besten Dank, werde mir die Seite mal vornehmen.
Scheint ein riesiges Thema zu sein!
Kann mir vielleicht trotzdem jemand schreiben, wofür im Group Policy Tab das Feld:
Block Policy inheritance steht, übersetzt verstehe ich zwar was es bedeutet, aber nicht,
was es bewirkt.

liebe grüsse

Mahlwerk

Das bedeutet das GPO´s, die unter dieser erstellt werden, diese Richtlinien nicht annehmen, da sie nicht weitervererbt wird. Die GPO zieht also nur auf Objekte die in diesem Ordner sind, nicht in Unterordnern, sprich Organisationseinheiten..

Verstehe ich das richtig:
Wenn ich in den Eigenschaften der Server OU das Häckchen setze, dann wird die GPO schon auf den Server OU angewendet, aber wenn ich in der Server OU Unterordner habe, dann nicht auf die Ordner?

Wäre es dann also sinnvoller (falls richtig verstanden), die GPO in der Server OU zu adden und dann zu disablen?

Danke schonmal!

liebe grüsse

Mahlwerk

Kannst du auch machen.
Das hast du alles richtig verstanden!

Besten Dank für die Hilfe Marco!

Will ja nicht Nerven, aber Du hast geschrieben, -kannst Du auch machen-,
aber so wie ich es verstanden habe, bedeutet das blocken durch das Häckchen,
dass es sehrwohl auf den ServerOrdner angewendet wird, und das disablen, dass die GPO nicht auf den ServerOrdner angewendet wird.Ich will ja schließlich, dass es nicht angewendet wird! Oder gibt es noch eine weitere Möglichkeit, von der ich noch nichts weiß?

liebe grüsse

Mahlwerk

Richtig, wenn du es nicht deaktivierst und die Vererbung ausschaltest gilt es nur für diesen Ordner.
Wenn du es deaktivierst wird es nicht angewendet.