Donnerstag, 27. Oktober 2011

The lies of GPOs! #2

# 2
"Die Einstellungen einer GPO werden entfernt, wenn die Policy deaktiviert oder gelöscht wird bzw. der Rechner/User nicht mehr in dem SOM (Scope of Management) der GPO ist."

Ebenfalls ein Trugschluss.

Je nach CSE (Client Side Extension) werden Settings teilweise permanent angewandt.

Typische Beispiele:
  • NTFS oder Registry Berechtigungen
  • Eingeschränkte Gruppen
  • Softwareinstallationen (änderbar)
  • Folder Redirections (änderbar)

Ebenfalls nicht zu verachten, Settings unter Sicherheitseinstellungen>Lokale Richtlinien.

Wurde zuvor hier kein Setting definiert, ist das per GPO angewandte Setting ebenfalls "persistent" also dauerhaft.

http://technet.microsoft.com/de-de/library/cc785052(WS.10).aspx

Das Gleiche gilt für eigene Administrative Vorlagen die ihre Werte außerhalb der Bereiche:

"HKLM\Software\Policies"
"HKLM\Software\Microsoft\Windows\CurrentVersion\Policies"
"HKCU\Software\Policies"
"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies"
schreiben.


Last but not least:

GPP = Group Policy Preferences

Den Meisten nicht bekannt, GPP = Tattooing!
GPPs überschreiben gnadenlos vorhandene Einstellungen.

Beim Entfernen bleiben die Werte, die per GPP definiert wurden, vorhanden.


Deshalb, immer vorher überlegen, welche Werte sollen definiert werden und wie können diese im Zweifelsfalle wieder rückgängig gemacht werden!

Keine Kommentare:

Kommentar veröffentlichen

Kommentar veröffentlichen