Kakeshoma Skrevet 11. oktober 2011 Del Skrevet 11. oktober 2011 Hallois. Lurer litt på dette med group policy... Man kan jo linke enkelte GPOer til forskjellige OUs i AD (sant?), men så er det et GPO som heter Default Domain Policy også. Brukes den til generelle regler for alle i domenet, så kan man linke spesielle regler til OUs? Noen som kan forklare når man bruker hva? Takker Lenke til kommentar
audhage Skrevet 11. oktober 2011 Del Skrevet 11. oktober 2011 Hei, Det stemmer bra det. Default domain policy ligger på toppnivået i AD og vil affektere alle subnivåer. Denne brukes gjerne til å sette passordpolicy, sikkerhetsinstillinger, sertifikatutrulling o.l. Utover dette er det vanlig å lage forskjellige policies som man linker opp til forskjellige OUer etter behov. Husk også forskjellen mellom maskin og brukerpolicy. Hva som affekterer hva og eventuell loopback. Om jeg ikke husker veldig feil er det alltid siste instans av en setting som leses i policy som blir gjeldende. Policy leses fra toppen i domenet og nedover. Så om en spesifikk setting står til feks "true" på default domain policy, og "false" i en mer spesifikk policy linket til et subnivå, vil man ende opp med settingen "false". Audun 1 Lenke til kommentar
Kakeshoma Skrevet 11. oktober 2011 Forfatter Del Skrevet 11. oktober 2011 Takk takk, dette blir bra Lenke til kommentar
Kakeshoma Skrevet 12. oktober 2011 Forfatter Del Skrevet 12. oktober 2011 (endret) En ting til... Om jeg oppretter et GPO for password policy under et OU ser det fortsatt ut til Default Domain Policy overstyrer denne, gjelder også Account Lockout Policy... Overstyrer DDP Windows Security settings eller gjør jeg noe feil? Jeg linket GPOer med Computer config til brukere og ikke maskinOU, da er det ikke rart det ikke funker. Endret 12. oktober 2011 av Kakeshoma Lenke til kommentar
Gjest Slettet-t8fn5F Skrevet 4. november 2011 Del Skrevet 4. november 2011 Hei, Det stemmer bra det. Default domain policy ligger på toppnivået i AD og vil affektere alle subnivåer. Denne brukes gjerne til å sette passordpolicy, sikkerhetsinstillinger, sertifikatutrulling o.l. Utover dette er det vanlig å lage forskjellige policies som man linker opp til forskjellige OUer etter behov. Husk også forskjellen mellom maskin og brukerpolicy. Hva som affekterer hva og eventuell loopback. Om jeg ikke husker veldig feil er det alltid siste instans av en setting som leses i policy som blir gjeldende. Policy leses fra toppen i domenet og nedover. Så om en spesifikk setting står til feks "true" på default domain policy, og "false" i en mer spesifikk policy linket til et subnivå, vil man ende opp med settingen "false". Audun Du tar litt feil der. Fra og med 2003 server, så ble deny eller false avgjørende. Det hjelper ikke om du har 100 GPO med allow så lenge der er en deny. Alle GPO'er legges på "root" eller toppen av hireakiet og så linkes de til spesifikke GPO'er og underliggende gpo'er arver disse. Det går ann å slå av arvingen. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå