GPO erzwungene Priorität

11

Was ist der Vorrang für erzwungene Gruppenrichtlinienobjekte? Ich kann keine MS-Artikel finden, die eine verfeinerte Antwort geben.

Mein derzeitiges Verständnis lautet wie folgt:

Nehmen wir an, wir haben 5 Gruppenrichtlinienobjekte - GPO1 bis GP05. Ich werde eine Prüfungsfrage verwenden, um sie in einen Kontext zu setzen.

GPO    Linked to   Enforced
GP01 - contoso.com - No
GP02 - contoso.com - Yes
GP03 -    Site 1   - Yes
GP04 -     OU1     - No
GP05 -     OU1     - Yes

Jetzt würde mein Verständnis bedeuten, dass sie in dieser Reihenfolge gelten würden, von der ersten bis zur letzten (also die mit der höchsten Priorität).

GP01 -> GP04 -> GP05 -> GP02 -> GP03 (meaning 3 has the final say on any duplicates)

Bin ich in meinem Verständnis richtig? Danke vielmals!

active-directory group-policy PnP
quelle
Ihr "in dieser Reihenfolge anwenden" ist richtig in Bezug auf WAS angewendet wird, aber nicht unbedingt auf WANN, dass gpo sequenziert wird. Siehe meine Antwort zur Klärung dieses Teils.
TheCleaner

Antworten:

17

Ich habe hier darüber geschrieben: http://myotherpcisacloud.com/post/2012/08/14/GPO-Application-Precedence-Just-Because-You-Can-Edition.aspx

TL; DR - Das oberste oder übergeordnete Gruppenrichtlinienobjekt, das ebenfalls erzwungen wird, gewinnt.

Von Microsoft:

Sie können festlegen, dass die Einstellungen in einem Gruppenrichtlinienobjekt-Link Vorrang vor den Einstellungen eines untergeordneten Objekts haben sollen, indem Sie diesen Link auf Erzwungen setzen. Durchgesetzte GPO-Links können nicht aus dem übergeordneten Container blockiert werden. Ohne Durchsetzung von oben werden die Einstellungen der Gruppenrichtlinienobjektverknüpfungen auf der höheren Ebene (übergeordnet) durch Einstellungen in Gruppenrichtlinienobjekten überschrieben, die mit untergeordneten Organisationseinheiten verknüpft sind, wenn die Gruppenrichtlinienobjekte widersprüchliche Einstellungen enthalten. Bei der Durchsetzung hat die übergeordnete Gruppenrichtlinienobjektverbindung immer Vorrang. Standardmäßig werden GPO-Links nicht erzwungen.

BEARBEITEN:

Siehe auch hier: GPO bietet unerwarteten Wert

Dort heißt es ausdrücklich:

Die Einstellung Erzwingen ist eine Eigenschaft der Verknüpfung zwischen einem Active Directory-Container und einem Gruppenrichtlinienobjekt. Es wird verwendet, um dieses Gruppenrichtlinienobjekt für alle Active Directory-Objekte in einem Container zu erzwingen, unabhängig davon, wie tief sie verschachtelt sind. Die Einstellungen in einem Gruppenrichtlinienobjekt, die erzwungen werden, überschreiben andere Einstellungen, die vorherrschen würden, da sie später angewendet werden. Wenn in Gruppenrichtlinienobjekten widersprüchliche Einstellungen vorhanden sind, die auf zwei Hierarchieebenen erzwungen werden, hat die vom Client am weitesten erzwungene Einstellung Vorrang. Dies ist eine Umkehrung der üblichen Regel , nach der die Einstellung des am nächsten verknüpften Gruppenrichtlinienobjekts Vorrang hat.

Ryan Ries
quelle
1
Dann ist es richtig, dass im obigen Fall das mit der Site verknüpfte Gruppenrichtlinienobjekt tatsächlich gewinnt. Vielen Dank.
PnP
TheD - Nur um klar zu sein, dies ist relevant für Einstellungen, die beiden Gruppenrichtlinienobjekten gemeinsam sind. Wenn Sie Einstellungen im OU-verknüpften Gruppenrichtlinienobjekt haben, die nicht im Site-verknüpften Gruppenrichtlinienobjekt festgelegt sind, werden diese Einstellungen vom OU-verknüpften Gruppenrichtlinienobjekt angewendet. Nur wenn in beiden Gruppenrichtlinienobjekten gemeinsame Einstellungen vorhanden sind, kommt die Durchsetzungshierarchie ins Spiel.
Joeqwerty
4

Ryan (und ich: P) beantworteten die Frage, wie zwei oder mehr erzwungene Gruppenrichtlinienobjekte behandelt werden, aber ich wollte klarstellen, dass GPO3, das mit der Site verknüpft ist, zwar "gewinnt", die Reihenfolge der Anwendung der Gruppen jedoch nicht korrekt ist.

Das OP besagt:

Jetzt würde mein Verständnis bedeuten, dass sie in dieser Reihenfolge gelten würden, von der ersten bis zur letzten (also die mit der höchsten Priorität).

GP01 -> GP04 -> GP05 -> GP02 -> GP03 (meaning 3 has the final say on any duplicates)

Daran erinnern:

Geben Sie hier die Bildbeschreibung ein

Was die Sequenz selbst betrifft (einschließlich der Durchsetzung, insbesondere der Reihenfolge, in der die Gruppenrichtlinienobjekte bei der Verarbeitung berücksichtigt werden):

GPO3 (wobei alle Einstellungen erzwungen werden und von nun an Vorrang haben)

->

GPO1 oder GPO2 (abhängig von der Verbindungsreihenfolge auf Domänenebene dieser beiden, wobei GPO2 erzwungen wird, es sei denn, die GPO3-Einstellungen werden außer Kraft gesetzt, da GPO3 auf Standortebene erzwungen wird)

->

GPO4 oder GPO5 (abhängig von der Verbindungsreihenfolge auf der OU-Ebene dieser beiden, wobei GPO5 erzwungen wird, außer wenn die GPO2- oder GPO3-Einstellungen außer Kraft gesetzt werden)

Der Reiniger
quelle
Sorry, aber wie ist die Reihenfolge der Verarbeitung dann, wie: GPOx -> GPOx, Entschuldigung, aber Ihre Erklärung hat mich nur ein wenig verwirrt!
PnP
Nehmen wir an, die Verknüpfungsreihenfolge wurde nicht geändert, sodass die Gruppenrichtlinienobjekte einfach mit der Organisationseinheit und Site usw. verknüpft sind. In welcher Reihenfolge werden sie in Bezug auf das erste Gruppenrichtlinienobjekt bis zum letzten Gruppenrichtlinienobjekt verarbeitet.
PnP
Die Frage selbst besagt, dass Sie sie in der Reihenfolge bestellen müssen, in der sie auf den Client-PC angewendet werden. Vielen Dank!
PnP
Ich kann nicht antworten, basierend darauf, was für ein Quiz die Antwort sein soll ... aber es gibt IMMER eine Linkreihenfolge, wenn zwei oder mehr Gruppenrichtlinienobjekte auf einer Ebene angewendet werden, auch wenn Sie keine manuell festlegen. Sie können dies in der Gruppenrichtlinien-Verwaltungskonsole sehen, indem Sie auf der Registerkarte "Verknüpfte Gruppenrichtlinienobjekte" nachsehen, auf welcher Ebene Sie sich befinden. Gruppenrichtlinienobjekte werden immer in der BESTELLUNG verarbeitet, die sich auf dem von mir geposteten Bild befindet. Das bedeutet nicht, dass sie Vorrang haben oder sich bewerben, sondern nur, dass es die Reihenfolge ist, in der sie bei der Entscheidung berücksichtigt werden. Ich habe den von mir geposteten "Code" geändert, um Sie zu klären.
TheCleaner
Meine Frage ist, Sie zeigen, dass GP03 tatsächlich zuerst verarbeitet wird, aber ich dachte, dass diejenigen mit der höchsten Priorität und der letzten Verarbeitung das letzte Wort über die Richtlinie haben.
PnP