Wenn Sie die anderen Teile dieser Artikelserie lesen möchten, gehen Sie bitte zu:
- Top 10 Gründe, warum Gruppenrichtlinien nicht angewendet werden (Teil 1)
- Top 10 Gründe, warum Gruppenrichtlinien nicht angewendet werden (Teil 2)
Einführung
In den ersten beiden Abschnitten dieses Themas haben wir uns 7 Gründe angesehen, warum Gruppenrichtlinien in Ihrer Umgebung möglicherweise nicht ordnungsgemäß funktionieren. Ein Rückblick auf diese 7 Gründe enthüllte einige Schlüsselfaktoren für Gruppenrichtlinien. Erstens beruht die Gruppenrichtlinie auf der korrekten Authentifizierung über DNS bei den Domänencontrollern, wobei Kerberos für das Authentifizierungsprotokoll, den Verwaltungsumfang und den richtigen Objekttyp für jede Einstellung in einem Gruppenrichtlinienobjekt verwendet wird. Dann haben wir uns die Gruppenrichtlinienpräzedenz (LSDOU) und die Sicherheitsfilterung angesehen. In dieser Ausgabe werden wir uns keine Überschreibung, Blockvererbung und WMI-Filter ansehen.
Erzwungen (Keine Überschreibung) wird für das Gruppenrichtlinienobjekt
festgelegtStandardmäßig verfügt jedes konfigurierte Gruppenrichtlinienobjekt über keine Sicherheitsfilterung, erzwungen (keine Überschreibung), Blockvererbung usw. Es kann jedoch vorkommen, dass jemand eine dieser Funktionen einrichtet. Wir haben uns die Sicherheitsfilterung angesehen, aber jetzt betrachten wir die erzwungene (keine Überschreibung). Erzwungen (Keine Überschreibung) ist eine Einstellung, die einem Gruppenrichtlinienobjekt zusammen mit allen Einstellungen im Gruppenrichtlinienobjekt auferlegt wird, sodass jedes Gruppenrichtlinienobjekt mit höherer Priorität nicht „gewinnt“, wenn eine widersprüchliche Einstellung vorliegt.
Es ist wichtig zu verstehen, dass die GPO-Vererbung mit LSDOU (Local, site, domain, OU) funktioniert. Sobald Sie No override für ein Gruppenrichtlinienobjekt festgelegt haben, wird dieses Konzept der Priorität negiert. Erzwungen (Keine Überschreibung) legt fest, dass das betreffende Gruppenrichtlinienobjekt nicht von einem anderen Gruppenrichtlinienobjekt überschrieben wird (standardmäßig natürlich).
Ein gutes Beispiel hierfür ist das Festlegen der Standarddomänenrichtlinie für Erzwungen (keine Überschreibung), sodass die darin enthaltenen Kennwortrichtlinieneinstellungen nicht von einem Gruppenrichtlinienobjekt in der Domäne für Domänenbenutzer oder in einer Organisationseinheit für lokale SAM-Benutzer auf Computern in der Organisationseinheit übertroffen werden. Sie können sehen, dass dies in der Standarddomänenrichtlinie in Abbildung 1 festgelegt ist.
Abbildung 1:
Erzwungen (keine Überschreibung) ist für die Standarddomänenrichtlinie festgelegt.
Beim Setzen von Enforced (No override) sind einige Dinge zu beachten. Zunächst wird das Gruppenrichtlinienobjekt an der Stelle, an der das Gruppenrichtlinienobjekt über die Anzeigenstruktur verknüpft ist, auf die höchste Priorität festgelegt. Zweitens, wenn ein Gruppenrichtlinienobjekt mit höherer Priorität (z. B. in unserem Beispiel auf Organisationsgruppenebene) ebenfalls auf Erzwungen (Keine Überschreibung) festgelegt ist, hat es keine höhere Priorität als das in der AD-Struktur höher verknüpfte Gruppenrichtlinienobjekt. Aus diesem Grund kann ein Organisationsgruppenadministrator einem Gruppenrichtlinienobjekt keine höhere Priorität als einem Domänenadministrator zuweisen.
Die Blockvererbung wird auf dem Active Directory-Knoten
festgelegt Eine weitere Funktion, die zwar nicht regelmäßig verwendet werden soll, ist die Möglichkeit, die Vererbung der Standardgruppenrichtlinienverarbeitung über Active Directory zu blockieren. Wie bereits mehrfach in diesem Artikel erwähnt, wird die LSDOU-Priorität für die Anwendung von Gruppenrichtlinien und die Konfliktlösung eingehalten.
Die Blockvererbung ist eine Funktion, die entweder auf dem Domänenknoten oder einer Organisationseinheit festgelegt ist. Obwohl Websites über ein verknüpftes Gruppenrichtlinienobjekt verfügen können, ist das einzige Gruppenrichtlinienobjekt, das eine schwächere Priorität als das mit der Website verknüpfte Gruppenrichtlinienobjekt hat, lokal, und lokale Gruppenrichtlinienobjekte können mit dieser Funktion nicht blockiert werden.
Das Feature blockiert alle Gruppenrichtlinienobjekte mit niedrigerer Priorität, die der Ebene zugeordnet sind, in der die Einstellung für die Blockvererbung festgelegt ist. Wenn also die Blockvererbung auf eine Organisationseinheit der zweiten Ebene festgelegt wird, werden alle Gruppenrichtlinienobjekte, die in der Domäne und der Organisationseinheit der obersten Ebene festgelegt sind, blockiert, ohne dass die Benutzer und Computer in der Organisationseinheit der zweiten Ebene betroffen sind. Nur die mit der Organisationseinheit der zweiten Ebene verknüpften Gruppenrichtlinienobjekte hätten Auswirkungen. Wenn es unter der zweiten Ebene mehr Organisationseinheiten gäbe, wären diese Gruppenrichtlinienobjekte natürlich auch wirksam, nur nicht diejenigen, die eine schwächere Priorität haben. Wie sich dies auf Gruppenrichtlinienobjekte auswirkt, sehen Sie in Abbildung 2 und 3. In Abbildung 2 ist keine Blockvererbung festgelegt, während in Abbildung 3 die Einstellung in der Organisationseinheit der zweiten Ebene festgelegt ist.
Abbildung 2:
Standard-Gruppenrichtlinienpräzedenz und Vererbung auf der Organisationseinheit der zweiten Ebene.
Abbildung 3:
Die Blockvererbung wird in der Organisationseinheit der zweiten Ebene festgelegt.
WMI-Filter ist falsch
WMI-Filter sind eine leistungsstarke Methode, um zu steuern, welche Objekte (Benutzer oder Computer) die Einstellungen in einem Gruppenrichtlinienobjekt erhalten. Der WMI-Filter ist eine eigenständige Datei, die mit einem oder mehreren Gruppenrichtlinienobjekten verknüpft ist. Wenn die Gruppenrichtlinieneinstellungen jedes Gruppenrichtlinienobjekts ausgewertet werden, bestimmt der WMI-Filter, ob die im WMI-Filter enthaltenen Abfragen als positiv oder negativ zurückgegeben werden. Wenn dies positiv ist und die Kriterien im WMI-Filter erfüllt werden, werden die Einstellungen im Gruppenrichtlinienobjekt angewendet, mit dem der WMI-Filter verknüpft ist.
Natürlich können Sie sehen, wo in diesem Prozess möglicherweise viele Bereiche vorhanden sind, in denen der WMI-Filter das Gruppenrichtlinienobjekt als fehlgeschlagen erscheinen lässt. Wenn die WMI-Filterdatei geändert oder gelöscht wird, der WMI-Filterlink jedoch intakt bleibt, wird der WMI-Filter nicht erfüllt, sodass die Einstellungen im Gruppenrichtlinienobjekt nicht angewendet werden. Wenn der WMI-Filter syntaktische Fehler aufweist, die zum Fehlschlagen der Abfrage führen, werden die Einstellungen im Gruppenrichtlinienobjekt ebenfalls nicht angewendet. Wenn die Abfrage falsch ausgelegt ist oder die Logik für den Erfolg der WMI-Abfrage falsch ist, werden die Gruppenrichtlinieneinstellungen nicht angewendet.
Verwenden Sie WMI-Filter nur dort, wo es keine anderen Optionen gibt, da WMI-Filter viele Bereiche haben, in denen sie alle Einstellungen im Gruppenrichtlinienobjekt von der Anwendung ausschließen können. Verwenden Sie WMI-Filter auch im Item-Level-Targeting (ILT) in den Gruppenrichtlinieneinstellungen sparsam, da sie innerhalb des ILT ebenfalls Probleme haben können.
Zusammenfassung
In dieser Artikelserie haben wir zehn verschiedene Möglichkeiten untersucht, wie Gruppenrichtlinien fehlschlagen können oder zumindest so aussehen, als ob sie fehlschlagen. In Wirklichkeit schlägt die Gruppenrichtlinie selbst selten fehl. Was normalerweise fehlschlägt, ist die Konfiguration des Gruppenrichtlinienobjekts, der Links, der Gruppenrichtlinienstruktur usw. welche falsch sind, wodurch das Gruppenrichtlinienobjekt und die Einstellungen nicht für die gewünschten Ziele gelten. Ich schlage immer vor, dass die Rückkehr zu den Grundlagen und Grundlagen der Gruppenrichtlinie dabei hilft, herauszufinden, wo die Kernprobleme verwurzelt sind. Außerdem finde ich, dass grundlegende Kernkonfigurationen die meisten Probleme mit Gruppenrichtlinien verursachen. Stellen Sie als Faustregel sicher, dass Sie die Organisationsgruppenstruktur verwenden, um Gruppenrichtlinieneinstellungen bereitzustellen, sodass alle Objekte in der Organisationseinheit die Einstellungen erhalten. Wenn Sie versuchen, die Standardberechtigungen, die Anwendung und die Priorität der Gruppenrichtlinie zu ändern, häufen sich hier die Probleme. Es wird nur in sehr seltenen Fällen empfohlen, Funktionen wie Sicherheitsfilterung, Blockvererbung, Erzwingung und WMI-Filter zu verwenden. Wenn Sie sich von diesen Optionen und Funktionen fernhalten, können Sie Ihre Gruppenrichtlinienumgebung einfacher, stabiler und einfacher beheben, wenn echte Probleme auftreten.
Wenn Sie die anderen Teile dieser Artikelserie lesen möchten, gehen Sie bitte zu:
- Die 10 wichtigsten Gründe, warum Gruppenrichtlinien nicht angewendet werden (Teil 1)
- Die 10 wichtigsten Gründe, warum Gruppenrichtlinien nicht angewendet werden (Teil 2)
diese Anzeige melden