Group Policies, Group Policy Preferences, Tattooing

Hallo zusammen,

Ich habe mich mal wieder ein bisschen mit Group Policies beschäftigt und musste feststellen, dass ich da noch einige wissenslücken aufgewiesen habe.

Mit dem Begriff "Tattooing" wird beschrieben, ob eine Einstellung nach dem entfernen der GPO weiterhin vorhanden bleibt (eben wie bei einem Tattoo) oder ob die Einstellung wieder rückgängig gemacht wird.

 

Type	Description	Tattooing
Group Policy	Alles was unterhalb der folgenden Registry Keys ist, wird beim entfernen der GPO wieder rückgängig gemacht. HKEY_LOCAL_MACHINE\Software\Policies HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies HKEY_CURRENT_USER\Software\Policies HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies	Nein
Group Preference	Alle Settings, welche nicht unter den obenstehenden Registry Keys gemacht werden, werden Group Preferences gemacht und unterliegen meist dem Tatooing. Aber eben auch nicht immer. Das muss man eben immer ausprobieren...	Ja
Group Policy Preference	Die Group Policy Preferences sind ein spezieller Teil, bei dem man vereinfacht viele Tasks wie Mappen von Laufwerken oder Printern, Registry Settings, Links etc. erledigen kann. Für solche Dinge mussten früher Scripts oder Batch Files herhalten.	Ja

Mehr Informationen: http://blogs.technet.com/b/grouppolicy/archive/2008/03/04/gp-policy-vs-preference-vs-gp-preferences.aspx

Im folgenden Bild sieht man die "Group Policies" und die "Group Policy Preferences"

Auf einer OU kann eine GPO gelinkt werden. Oder Gruppenrichtlinien geblockt werden.

Mit der Einstellung "Link Enabled" kann man den Link "aktivieren" und so das Anwenden der Policy steuern. Ist der "Link Enabled" nicht aktiviert, wird die Gruppenrichtlinie nicht angewendet.

Mit dem Setting "Enforced" wird die Gruppenrichtlinie auch angewendet, wenn auf einer OU ein "Block Inheritance" gesetzt ist. Diese Einstellung übersteuert also das "Block Inheritance".

Mit dem "Link Order" kann man die Reihenfolge der Gruppenrichtlinien steuern.

Auf der Registerkarte "Group Policy Inheritance" kann die Reihenfolge aller Gruppenrichlinien für diese OU angezeigt werden.

Den GPO Status kann man auf der Registerkarte "Details" anpassen.

Bei den Group Policy Preferences gibt es noch zusätzliche Settings, wie zum beispiel "Apply once" oder "Remove if not applied".

Nun bleibt noch die Frage, ob die Einstellungen im User oder Machine Teil "stärker" sind. Damit der User und der Machine Teil in einer Policy angewendet werden kann, muss ich beide Objekte in dieselbe OU verschieben.

Nun erstelle ich eine Gruppenrichlinie, bei welchem ich dasselbe Setting in User und im Machine Teil gegenteilig setze.

Nach einem "gpupdate /force" und einem Reboot versuche ich die Sidebar zu starten.

Das gelingt aber nicht. Da scheint also die Machine Setting "stärker" zu sein.