Vererbung und Hierarchien

15.01.2013 | Autor: Mark Heitbrink

Wer gewinnt: Computer oder Benutzerkonfiguration?

Stehen 2 widersprüchliche Aussagen im Konflikt, so setzt sich meistens die Computerbezogene Einstellung durch. Warum? Weil der Entwickler diesen Wert priorisiert hat. Das Konstrukt und Regelwerk hat leider nichts mit den Richtlinien zu tun, sondern nur mit dem Weg, den sich der Entwickler für sein Produkt überlegt hat.

Reihenfolge zur Anwendung, oder auch L-S-D-OU (LSDOU)

  1. Lokale Richtlinie (Local Policy)
  2. (Multi Lokale Richtlinien, mit Vista eingeführt)
  3. Standortrichtlinien (Site)
  4. Domänenrichtlinien (Domain)
  5. OU-Richtlinien von der übergeordneten OU zur untergeordneten. (OU)

Das Konzept baut komplett auf das System: LAST WRITER WINS. Der letzte, der den Wert schreibt definiert den Wert.

Siehe auch: Filtern von Gruppenrichtlinien - Richtlinien für Benutzergruppen

Beispiel:
Einstellungen die über den lokalen Gruppenrichtlinieneditor gesetzt sind gelten für alle Benutzer an diesem System. Sowohl für Lokale Benutzerkonten, als auch für die Domänen Benutzer. Ist in der Lokalen Richtlinie "Desktop Symbole ausblenden" gesetzt, so werden diese bei jedem Benutzer ausgeblendet und nicht angezeigt, da diese Einstellungen unter normalen Bedingungen in der Richtlinie auf Domänen/OU Ebene "Nicht konfiguriert" ist. Erst wenn in der Domänerichtlinie dieser Wert auf "deaktiviert" gesetzt wird, werden die Symbole wieder angezeigt.

Sind an einer Ebene (pro Domänen, pro OU, pro Standort) mehrere Richtlinien gebunden, so können diese in ihrer hierarchischen Struktur vom Administrator sortiert werden. Sie können in der GPMC „nach oben“, bzw. „nach unten“ sortiert werden und somit kann für diese Richtlinien die Priorität und die damit verbundene Reihenfolge der Anwendung festgelegt werden. "Oben" gewinnt. Es ist wie im Sport.

Siehe auch: Filtern von Gruppenrichtlinien - Richtlinien für Benutzergruppen 

Die standardisierte Reihenfolge der Richtlinien kann durch 2 Optionen beeinflusst werden

Pro Gruppenrichtlinien Objekt gibt es "Erzwungen"
Pro OU gibt es "Vererbung deaktivieren"

Erzwungen:
Eigentlich setzt sie sich mit einen ganz simplen Trick durch. Sie wird einfach an des Ende der Liste alles Richtlinien gestellt und läuft als Letzte. Last Writer Wins. Bingo.

Vererbung deaktivieren:
Es wird nicht die von ihr ausgehende Vererbung deaktiviert, sondern das darüber liegende Richtlinienerbe wird nicht geerbt. Sie wird "blockiert" (engl. Block Inheritance)

Wichtige Regeln dazu:
Hat mehr als eine GPO die Option „Erzwungen“ aktiviert, so setzt sich die im Active Directory hierarchisch höchste durch. Sind diese GPO-Objekte auf gleicher Ebene so, setzt sich die mit der höchsten Priorität durch (die nach oben sortierte).

Über die Option „Vererbung Deaktivieren“ kann eine Übernahme der übergeordneten Einstellungen verhindert werden. Mit einer Einschränkung: Ist bei einem hierarchisch übergeordneten Objekt „Erzwungen“ aktiviert, so kann das Erbe nicht verhindert werden. Damit kann sich der Domänen-Administrator mit seinen Einstellungen immer durchsetzen.

Der lokalen Sicherheitsrichtlinien kommt in einer Domäne genau betrachtet nur so viel Bedeutung zu, wie der Domänen-Administrator dies zulässt. Denn die lokalen Einstellungen werden von entgegenstehenden Einstellungen in den Richtlinien der Domäne „überstimmt“. Das heißt, dass Alles, was der Domänenadmin einstellt auch übernommen wird und dass dieses durch die lokale Sicherheitsrichtlinie nicht geändert werden kann. Nur das, was der Domänen-Administrator nicht konfiguriert kann lokal verändert werden.

Die lokale Sicherheitsrichtlinie ist nur dann uneingeschränkt wirksam, wenn sich der Computer innerhalb einer Arbeitsgruppe befindet. Sobald der Rechner ein Domänenmitglied ist werden die lokalen Sicherheitsrichtlinien von denen der Domäne überstimmt (wie gerade beschrieben).

Eine weitere Sonderstellung innerhalb der möglichen Einstellung nehmen die Kennwortrichtlinien ein. Jede Domäne hat genau eine Kontorichtlinie (i.d.R. Default Domain Policy). Die Einstellungen der Domänenrichtlinie gelten für die Domäne und damit für alle Domänenkonten. Es nicht möglich für die Nutzer in verschiedenen OUs unterschiedliche Kennwortrichtlinien (z.B.: Länge und Gültigkeit des Passwortes) einzustellen. Dieses ist nur pro Domäne möglich. Die Einstellung innerhalb einer OU wird nur von den Computerobjekten der OU übernommen (nicht von der Domäne) und wirken sich damit nur auf die jeweiligen lokalen Benutzerkonten aus.

Siehe auch: Fine Grained Password Policies (FGPP) - Password Settings Objects (PSO)

Privater Kommentar zum Thema:
Genau genommen würde es anders auch keinen Sinn ergeben, es würde irgendein „ganz wichtiger“  Abteilungsleiter mit extrem ungesunden, profunden Halbwissen für seine Abteilung darauf bestehen, dass bei „ihm“ die Passwortlänge mit 3 Buchstaben genügen würde oder er keinen Bildschirmschoner benötigt. *lol* Keine Chance. Der Admin legt die Richtlinie ja genau deswegen für alle verbindlich fest, damit eben nicht jeder sein eigenes Süppchen kochen kann.