Donnerstag, 27. Oktober 2011

The lies of GPOs! #2

# 2
"Die Einstellungen einer GPO werden entfernt, wenn die Policy deaktiviert oder gelöscht wird bzw. der Rechner/User nicht mehr in dem SOM (Scope of Management) der GPO ist."

Ebenfalls ein Trugschluss.

Je nach CSE (Client Side Extension) werden Settings teilweise permanent angewandt.

Typische Beispiele:
  • NTFS oder Registry Berechtigungen
  • Eingeschränkte Gruppen
  • Softwareinstallationen (änderbar)
  • Folder Redirections (änderbar)

Ebenfalls nicht zu verachten, Settings unter Sicherheitseinstellungen>Lokale Richtlinien.

Wurde zuvor hier kein Setting definiert, ist das per GPO angewandte Setting ebenfalls "persistent" also dauerhaft.

http://technet.microsoft.com/de-de/library/cc785052(WS.10).aspx

Das Gleiche gilt für eigene Administrative Vorlagen die ihre Werte außerhalb der Bereiche:

"HKLM\Software\Policies"
"HKLM\Software\Microsoft\Windows\CurrentVersion\Policies"
"HKCU\Software\Policies"
"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies"
schreiben.


Last but not least:

GPP = Group Policy Preferences

Den Meisten nicht bekannt, GPP = Tattooing!
GPPs überschreiben gnadenlos vorhandene Einstellungen.

Beim Entfernen bleiben die Werte, die per GPP definiert wurden, vorhanden.


Deshalb, immer vorher überlegen, welche Werte sollen definiert werden und wie können diese im Zweifelsfalle wieder rückgängig gemacht werden!

Sonntag, 23. Oktober 2011

The lies of GPOs! #1

Joa...

Einer muss es ja machen.
Und zwar, diese Fragen festhalten, die immer wieder zum Thema GPO gestellt werden, aber in dem meisten Fällen falsch verstanden werden!

# 1
"GPO? Nein, nutzen wir nicht!"

Wage ich zu bezweifeln.
Habt ihr ein AD? ... Ja haben wir ...

Dann nutzt ihr auch GPOs! Ihr wisst es nur nicht!

Per Default (oh ja lieben wir nicht alle diese Formulierung? :-) ),
sind im AD zwei Policies vorhanden:

Default Domain Policy = DDP

Default Domain Controllers Policy = DDCP

Ohne diese werdet ihr nicht glücklich!
Allgemein reden wir von Sicherheitseinstellungen,
maximale Gültigkeitsdauer des TGT (Ticket Granting Ticket), maximale Gültigkeitsdauer der ausgestellten Tickets usw.
Auf die einzelnen Settings der Policy einzugehen würde den Rahmen sprengen.

Der weitere Klassiker ist jedoch die Kennwortrichtlinie (über dessen Anwendung man sich ebenfalls totdiskutieren kann!). Diese ist in der DDP definiert.


Also merke, nutze ich AD, nutze ich immer Policies.
Ob ich will oder nicht!

Nun, jetzt aber!

Für diesen Post ist es Zeit geworden.

Seit 01.10.2011 bin ich MVP im Bereich GPO!


Ja und nu?

Der Blog soll weiterhin GPO und Windows Server beinhalten.

Bleibt es ein Blog, wird es eine eigene Domain?
Ich weiß es nicht! Ich kann es einfach noch nicht sagen.



Achja, noch was fürs Auge ;-)