CertBase Community
Die Lernplattform für Ihren Erfolg

Frage 280 Antwort falsch?

rated by 0 users
This post has 6 Replies | 4 Followers

Top 150 Mitwirkender
Beiträge 16
engywuck Posted: Wed, 23. Oct 2013 23:24 | IP-Adresse ist Registriert

In Frage 410/280 geht es um eine GPO, die auf eine OU und mit Sicherheitsfilterung angewandt wird.

In der zugehörigen Hilfe heißt es:

Durch die Konfiguration der Sicherheitsfilterung von GPO1 sind ausschließlich Benutzer1, Benutzer2 und Benutzer3 berechtigt, die Einstellungen von GPO1 zu übernehmen. In OU1 und damit im Anwendungsbereich von GPO1 befinden sich Benutzer1, Benutzer2 und Benutzer4. Da Benutzer4 keine Berechtigungen zur Übernahmen des Richtlinieneinstellungen hat, werden die Einstellungen nur auf Benutzer1 und Benutzer2 angewendet. Benutzer3 und Benutzer4 haben weiterhin Zugriff auf die Systemsteuerung.

In den zugehörigen Bildern ist das User-Objekt "Benutzer1" aber in OU2 angelegt (Benutzer 2 und 4 sind in der OU1 sichtbar, laut Gruppenmitgliedschaft ist Benutzer1 in OU2). Dadurch gilt dies (wie soeben auch ausprobiert) für Benutzer1 nicht, nur Benutzer2 hat keinen Zugriff.

Ist hier das Bild oder die Antwort falsch - oder habe ich etwas essentielles übersehen?

Top 10 Mitwirkender
Beiträge 1,704
Maik Antwort zu Thu, 24. Oct 2013 7:30 | IP-Adresse ist Registriert

Die Abbildungen sind so richtig. Ich habe mich aber beim Hilfetext und bei der Beantwortung vertan.

Du hast ganz recht. Benutzer1 befindet sich in OU2 und liegt damit gar nicht im Wirkungsbereich von GPO1. Er hat ebenso wie Benutzer3 und Benutzer4 Zugriff auf die Systemsteuerung. Ich habe den Hilfetext und die vorgegebene Antwort gerade korrigiert.

Top 150 Mitwirkender
Beiträge 16
engywuck Antwort zu Fri, 25. Oct 2013 20:37 | IP-Adresse ist Registriert

Danke

Nicht gereiht
Beiträge 1
Steffen83 Antwort zu Thu, 21. Nov 2013 13:47 | IP-Adresse ist Registriert

Hi,

kann einer die Frage mal genauer erklären?

Quasi leichter verständlich?

Danke

Nicht gereiht
Beiträge 1
teutatix Antwort zu Sun, 15. Dec 2013 6:54 | IP-Adresse ist Registriert

Hallo,

ich denke, dass Benutzer1 zwar in OU2 steckt, aber durch die Gruppenmitgliedschaft die Einstellungen trotzdem erhält. Die Gruppe ist berechtigt und in der OU1. 

Top 150 Mitwirkender
Beiträge 16
engywuck Antwort zu Sun, 15. Dec 2013 17:39 | IP-Adresse ist Registriert

probier's aus! (Ich hab's gemacht... :-))

zum Hintergrund: wo welche Gruppe ist ist für die Ermittlung der potentiell (vor Sicherheitsfilterung/WMI) geltenden GPOs egal. Bei Anmeldung des Benutzers wird geschaut, wo das Benutzerkonto liegt und dann lokal-site-domain-OUs (oder war site und Domain vertauscht?) durchgegangen bis zum Benutzerobjekt, und dann nochmal rückwärts falls erzwungene GPO dabei sind. Das alles wird für Gruppen nicht gemacht (wäre bei zig Mitgliedschaften auch zu aufwendig!)

[Ja, wenn Loopback beim Computerkonto drin ist wird's anders, aber das lassen wir hier mal außen vor]

Nicht gereiht
Beiträge 1
AleFro Antwort zu Tue, 09. Dec 2014 14:59 | IP-Adresse ist Registriert

Hey auch wenn es ein bisschen her ist. Die GPO zieht nur auf das Objekt das in der OU verankert ist und das explizit in der Richtlinie genannt wird. Hier müssen beide Statements stehen. Nicht auf die Gruppe1. Da Benutzer 1 zwar in der Gruppe1 ist, aber nicht in der OU1 sondern in der "OU2" wird die GPO für Benutzer1 nicht ziehen. Genau wie Benutzer3 für den die Richtlinie zwar gestartet wird, der aber weder in der "OU1" noch in der Gruppe1 (wobei Letzteres unerheblich wäre!) steht. Bei Benutzer4 verhält es sich genau andersherum. Er steht zwar in der "OU1" und für Ihn würde die Richtlinie greifen aber für Ihn wird sie nicht gestartet. 

Deshalb ist die Antwort so richtig.

Seite 1 von 1 (7 Treffer) | RSS
CertBase - IT-Prüfungsvorbereitung Online