By: adminPosted on

Als u de andere delen in deze artikelserie wilt lezen, ga dan naar:

  • Top 10 Redenen waarom Groepsbeleid niet van toepassing is (deel 1)
  • Top 10 Redenen waarom Groepsbeleid niet van toepassing is (deel 1) 2)

Inleiding

in onze eerste twee afleveringen van dit onderwerp hebben we 7 redenen onderzocht waarom Groepsbeleid mogelijk niet goed werkt in uw omgeving. Terugkijkend op deze 7 redenen bloot een aantal belangrijke factoren over Groepsbeleid. Ten eerste is Groepsbeleid afhankelijk van de juiste verificatie via DNS naar de domeincontrollers, waarbij Kerberos wordt gebruikt voor het verificatieprotocol, de reikwijdte van het beheer en het juiste objecttype voor elke instelling in een groepsbeleidsobject. Vervolgens hebben we gekeken naar GPO-voorrang (LSDOU) en beveiligingsfiltering. In deze aflevering, zullen we kijken naar geen override, Block overerving, en WMI filters.

afgedwongen (geen override) is ingesteld op groepsbeleidsobject

standaard heeft elk geconfigureerd groepsbeleidsobject geen beveiligingsfiltering, afgedwongen (geen override), overerving van blokken, enz. Er kan echter een tijd zijn dat iemand een van deze functies opzet. We hebben gekeken naar beveiligingsfiltering, maar nu kijken we naar afgedwongen (geen override). Afgedwongen (geen override) is een instelling die wordt opgelegd aan een groepsbeleidsobject, samen met alle instellingen in het groepsbeleidsobject, zodat een groepsbeleidsobject met een hogere prioriteit niet “wint” als er een conflicterende instelling is.

het is belangrijk om te begrijpen dat GPO-overerving werkt met LSDOU (lokaal, site, domein, OU). Zodra u geen override hebt ingesteld op een groepsbeleidsobject, wordt dit concept van voorrang genegeerd. Enforced (No override) stelt het groepsbeleidsobject in kwestie in om niet te worden overschreven door een ander groepsbeleidsobject (standaard natuurlijk).

een goed voorbeeld hiervan is het instellen van het standaarddomeinbeleid voor afgedwongen (geen override), zodat de Wachtwoordbeleidsinstellingen die erin zitten niet worden overtroffen door een groepsbeleidsobject op het domein voor domeingebruikers of op een organisatie-eenheid voor lokale SAM-gebruikers op computers die zich in de organisatie-eenheid bevinden. U kunt zien dat dit is ingesteld op het standaard domeinbeleid in Figuur 1.


figuur 1:
afgedwongen (geen override) is ingesteld voor het standaard domeinbeleid.

er zijn een paar dingen om rekening mee te houden bij het instellen van afgedwongen (geen override). Ten eerste wordt het groepsbeleidsobject ingesteld op de hoogste prioriteit vanaf de locatie waar het groepsbeleidsobject via de AD-structuur is gekoppeld. Ten tweede, als een groepsbeleidsobject met een hogere prioriteit (zoals op een OU-niveau in ons voorbeeld) ook is ingesteld op afgedwongen (geen override), heeft het geen hogere prioriteit dan het groepsbeleidsobject dat hoger is gekoppeld in de AD-structuur. Dit betekent dat een OU-beheerder een groepsbeleidsobject niet kan instellen op een hogere prioriteit dan een domeinbeheerder.

Block overerving is ingesteld op Active Directory-knooppunt

een andere functie, hoewel niet aanbevolen om regelmatig te gebruiken, is de mogelijkheid om de overerving van de standaard groepsbeleidsverwerking via Active Directory te blokkeren. Zoals al vele malen is vermeld in deze reeks artikelen, wordt de lsdou voorrang aangehouden voor de toepassing van Groepsbeleid en conflictoplossing.

de functie Blokovererving is er een die is ingesteld op het domeinknooppunt of op een organisatie-eenheid. Hoewel sites een gekoppeld groepsbeleidsobject kunnen hebben, is het enige groepsbeleidsobject met een zwakkere voorrang dan het gekoppelde groepsbeleidsobject lokaal en kunnen lokale groepsbeleidsobjecten met deze functie niet worden geblokkeerd.

wat de functie doet is alle zwakkere voorrang GPO ‘ s blokkeren die geassocieerd zijn met het niveau waarin de instelling voor Blokovererving is ingesteld. Als de Blokovererving is ingesteld op een organisatie-eenheid van het tweede niveau, worden alle groepsbeleidsobjecten die zijn ingesteld op het domein en de organisatie-eenheid van het hoogste niveau geblokkeerd, zonder dat dit gevolgen heeft voor de gebruikers en computers in de organisatie-eenheid van het tweede niveau. Alleen de groepsbeleidsobjecten gekoppeld aan de OU van het tweede niveau zouden enig effect hebben. Natuurlijk, als er meer niveaus van ou ’s Onder het tweede niveau één zouden zijn, zouden deze GPO’ s ook effectief zijn, alleen niet die met een zwakkere voorrang. U kunt zien hoe dit van invloed is op groepsbeleidsobjecten door te kijken naar figuur 2 en 3. Figuur 2 heeft geen blok overerving ingesteld, terwijl Figuur 3 heeft de instelling vastgesteld op het tweede niveau OU.


Figuur 2:
standaard GPO-voorrang en-overerving op de OU van het tweede niveau.


Figuur 3:
Blokovererving wordt ingesteld op de OU van het tweede niveau.

WMI-filter is onjuist

WMI-filters zijn een krachtige manier om te bepalen welke objecten (gebruikers of computers) de instellingen in een groepsbeleidsobject ontvangen. Het WMI-filter is een stand-alone bestand dat is gekoppeld aan een of meer GPO ‘ s. Wanneer de groepsbeleidsinstellingen van elk groepsbeleidsobject worden geëvalueerd, bepaalt het WMI-filter of de in het WMI-filter opgenomen query ‘ s positief of negatief zijn. Als dit positief is en aan de criteria in het WMI-filter voldoet, worden de instellingen in het groepsbeleidsobject waaraan het WMI-filter is gekoppeld, toegepast.

natuurlijk kunt u zien waar er veel gebieden in dit proces kunnen zijn dat het WMI-filter het groepsbeleidsobject doet mislukken. Als het WMI-filterbestand wordt gewijzigd of verwijderd, maar de WMI-filter link intact blijft, wordt aan het WMI-filter niet voldaan, zodat de instellingen in het groepsbeleidsobject niet van toepassing zijn. Als het WMI-filter vervolgens syntactische fouten bevat waardoor de query mislukt, zijn ook de instellingen in het groepsbeleidsobject niet van toepassing. Tot slot zijn de instellingen van het groepsbeleidsobject niet van toepassing als de query verkeerd is ontworpen of als de logica voor het succes van de WMI-query onjuist is.

gebruik alleen WMI-filters als er geen andere opties zijn, omdat WMI-filters veel gebieden hebben waar ze alle instellingen in het groepsbeleidsobject kunnen negeren van toepassen, plus WMI-filters zijn erg traag om te evalueren en toe te passen. Zelfs in de ILT (item-level Targeting) die zich in Groepsbeleidsvoorkeuren bevindt, kunt u WMI-filters spaarzaam gebruiken, omdat ze binnen de ILT ook problemen kunnen hebben.

samenvatting

In deze reeks artikelen hebben we tien verschillende manieren onderzocht waarop Groepsbeleid zou kunnen mislukken, of er tenminste uit zou kunnen zien alsof het mislukt. In werkelijkheid mislukt het groepsbeleid zelf zelden. Wat meestal mislukt is de configuratie van het groepsbeleidsobject, koppelingen, Groepsbeleidsstructuur, enz. die onjuist zijn, waardoor het groepsbeleidsobject en de instellingen niet van toepassing zijn op de gewenste doelen. Ik stel altijd voor om terug te gaan naar de basisprincipes van het groepsbeleid zal helpen om te achterhalen waar de kernpunten zijn geworteld. Ook vind ik dat kern, fundamentele configuraties de meeste problemen met Groepsbeleid veroorzaken. Als vuistregel moet u de structuur van de organisatie-eenheid gebruiken om groepsbeleidsinstellingen te implementeren, zodat alle objecten in de organisatie-eenheid de Instellingen ontvangen. Wanneer u probeert de standaardmachtigingen, toepassing en Voorrang van Groepsbeleid te wijzigen, beginnen de problemen zich echt op te stapelen. Alleen in zeer zeldzame situaties wordt voorgesteld dat u functies gebruikt zoals beveiligingsfiltering, overerving, afdwinging en WMI-filters. Door uit de buurt van deze opties en functies te blijven, kunt u uw Groepsbeleidsomgeving eenvoudiger, stabiel en gemakkelijker oplossen wanneer er echte problemen optreden.

als u de andere delen van deze serie wilt lezen, ga dan naar:

  • Top 10 Redenen waarom Groepsbeleid niet van toepassing is (deel 1)
  • Top 10 Redenen waarom Groepsbeleid niet van toepassing is (deel 1) 2)
en dat is … :54,660

Ezoicmeld deze advertentie

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.