AD-strukturen din er ferdig. AGDLP fungerer. Men hvordan får du faktisk pålagt brukerne en bestemt skrivebordsbakgrunn? Hvordan tvinger du alle Salgs-PCer til å ha bestemte brannmurregler? Group Policy er svaret – og det er der det blir gøy.
Tenk deg dette: NovaTech har akkurat ansatt 50 nye personer. Du har laget brukerkontoer (PowerShell, husk?). Men nå må alle:
Ha en bestemt skrivebordsbakgrunn med firmalogo
Ha tilgang til en delt nettverksstasjon (H:\)
Ha brannmuren aktivert
Ha Windows Update konfigurert til å installere natt til søndag
Ha en passordpolicy som krever 12 tegn og bytte hver 90. dag
Du kunne selvfølgelig gå bort til hver eneste maskin og konfigurere alt manuelt. Men husker du fra Modul 1 hvor smertefullt det ble med 30 maskiner? Vi vil ikke gjøre det igjen.
Dette er hva Group Policy løser. GP er Microsofts svar på «hvordan kan jeg sentralt styre konfigurasjon for tusenvis av brukere og maskiner samtidig?»
«Group Policy er som å være regelsetter for hele byen. Du skriver reglene én gang sentralt, og alle innbyggerne (brukere og maskiner) følger dem automatisk – uten at du må knabbe på hver enkelt dør.»
Group Policy Object (GPO)
Et Group Policy Object – ofte kalt en GPO – er bærer-objektet for en samling med innstillinger. Du lager én GPO, fyller den med innstillinger, og kobler den til en del av AD (et domene, en site, eller en OU). Da gjelder reglene for alle objekter under den koblingen.
📌 Definisjon
En GPO er en samling av innstillinger som kontrollerer oppførselen til operativsystemet eller applikasjoner for en gruppe brukere eller datamaskiner. Innstillingene skrives til Windows-registeret når GPO-en anvendes.
Hvor lagres innstillingene rent fysisk? I Windows-registeret. Når en GPO anvendes på en maskin eller bruker, skrives innstillingene inn i registry-nøkler som operativsystemet leser. Derfor sier vi noen ganger at Group Policy «er en serie med innstillinger i Windows-registeret som kontrollerer sikkerhet, revisjon og andre operative atferder» (det var nøyaktig formulert sånn i eksamen 2023).
🧠 Sjekk forståelsen · flervalg · eksamen 2025
Hva er et Group Policy Object (GPO)?
Riktig! 🎯 Dette var spørsmål 1 på eksamen 2025. En GPO er en samling regler/innstillinger som anvendes på en gruppe brukere eller maskiner – sentralt fra AD.
Husk: GPO er ikke et filter, et program, eller et lokalt verktøy. Det er en sentral samling med konfigurasjonsinnstillinger. Svar C.
§ 02 — Innholdet
GPO-objektet og hva det inneholder
Når du åpner Group Policy Management Editor for å redigere en GPO, ser du to hovedgrener:
💻 Computer Configuration
Anvendes når maskinen starter opp
Gjelder for maskinen, uavhengig av hvem som logger på
Eksempler: brannmurregler, Windows Update, drivere
Under begge grenene finner du tre kategorier av innstillinger:
Software Settings – installer eller fjern programvare
Windows Settings – sikkerhet, scripts, mappe-omdirigering, og lignende
Administrative Templates – registry-baserte innstillinger (selve hjertet av GP)
🎯 Husk dette
En GPO er et objekt, akkurat som brukere og grupper. Men den «handler» bare når den er koblet (linked) til en plassering i AD. Ukoblede GPO-er ligger på vent og gjør ingenting.
⚡ Interaktiv øvelse · vokabular match pairs
Match GPO-termene til riktig forklaring
Klikk en term, deretter dens forklaring. Riktige par låses inn med grønn farge.
0 / 5 matchet
Term
GPO
GPO-link
Scope of Management
Administrative Templates
GPMC
Forklaring
Registry-baserte innstillinger som utgjør hoveddelen av GP
Selve samlingen av innstillinger som ligger i AD
Stedet en GPO er koblet til (Site/Domain/OU) som bestemmer hvor den anvendes
Verktøyet (Group Policy Management Console) du administrerer GPO-er i
Koblingen mellom en GPO og en plassering i AD-hierarkiet
§ 03 — De to halvdelene
User Configuration vs Computer Configuration
Dette er en av de viktigste konseptene i hele Group Policy, og det dukker opp på eksamen hvert år. La oss ta det grundig.
Når anvendes hva?
De to «halvdelene» av en GPO anvendes på helt forskjellige tidspunkter:
Computer Configuration anvendes ved oppstart. User Configuration anvendes ved innlogging.
Hvem «følger» hva?
Tenk på det slik:
User Configuration følger personen. Kari får sin skrivebordsbakgrunn uansett om hun logger på sin egen PC, en konferanseromsmaskin, eller en kollegas PC.
Computer Configuration følger maskinen. Salgs-PCen har sine brannmurregler uansett om Kari, Ola, eller en konsulent logger på.
Dette er nøyaktig derfor NovaTech-OU-strukturen vi lærte om i Modul 1 skiller brukere og maskiner. Hver av dem trenger sin egen type policy.
⚡ Pro tip
Hvis du har en GPO som bare inneholder Computer-innstillinger, kan du deaktivere User Configuration-delen for å spare litt tid ved innlogging (og omvendt). Dette er en mikro-optimalisering, men sensoren elsker når du nevner detaljer som dette.
⚡ Interaktiv øvelse · klassifisering drag to bucket
Hvor hører innstillingene hjemme?
Klassifiser hver innstilling: er det noe som hører til maskinen (Computer Config) eller noe som følger brukeren (User Config)?
Klikk innstilling → klikk bøtte
0 / 8 plassert
Skrivebordsbakgrunn
Windows-brannmurregler
Mapping av H:-drev til hjemmemappa
Windows Update-tidspunkter
Start-meny-tilpasning
Startup-script på maskinen
Skjul Kontrollpanel for brukeren
Installasjon av antivirus
💻 Computer Configuration
👤 User Configuration
Glimrende! 🌟 Tommelfingerregelen: hvis innstillingen handler om «hva ser/får brukeren» → User Config. Hvis det handler om «hvordan maskinen oppfører seg» → Computer Config.
🧠 Sjekk forståelsen · flervalg · eksamen 2025
Hva er forskjellen mellom brukerinnstillinger og datamaskininnstillinger i Group Policy?
Yes! 🎯 Du svarte akkurat riktig på spørsmål 3 fra eksamen 2025. Husk: User følger brukeren, Computer følger maskinen.
Tenk på forskjellen i hvem/hva innstillingene følger – ikke om sluttbrukere kan endre dem (B) eller omstart (A). Riktig svar er C.
§ 04 — Behandlingsrekkefølgen
LSDOU – rekkefølgen GPO-er behandles i
OK – så hvis du har flere GPO-er, hvilken vinner? Hvilken gjelder først? Dette styres av LSDOU-rekkefølgen, og det er den absolutt viktigste regelen i hele Group Policy. Memoriser den. Tatover den om du må.
⚡ LSDOU
Local → Site → Domain → Organizational Unit
Hva betyr hvert ledd?
Local Group Policy – innstillinger som ligger på selve maskinen (lokal GP)
Site – GPO-er koblet til en AD-site (geografisk plassering)
Domain – GPO-er koblet til selve domenet (gjelder hele bedriften)
Organizational Unit – GPO-er koblet til en OU, fra topp til bunn i hierarkiet
LSDOU-rekkefølgen: hver GPO i kjeden kan overstyre den forrige. Sist behandlet = sterkest.
Hvorfor er rekkefølgen viktig?
Fordi senere innstillinger overstyrer tidligere ved konflikt. Hvis Domain-GPO sier «skrivebordsbakgrunn skal være BLÅ», men OU-GPO sier «skrivebordsbakgrunn skal være RØD», så vinner OU-en – den behandles sist.
Dette gjør at du kan ha generelle innstillinger på Domain-nivå, og overstyre dem med spesifikke innstillinger på OU-nivå. Eksempel:
Domain: alle ansatte skal ha 8-tegns minimum passord
OU=IT-admin: IT-administratorer skal ha 16-tegns minimum passord (overstyrer)
IT-administratorene får da 16 tegn, vanlige ansatte får 8.
⚡ Interaktiv øvelse · LSDOU sequence builder
Bygg LSDOU-rekkefølgen
Klikk tilene i den rekkefølgen GPO-er behandles. Husk: senere = sterkere ved konflikt.
0 / 4 plassert
Domain
Local
Organizational Unit
Site
Memorert! 🏆 LSDOU er det viktigste mnemoniske i hele Group Policy. Local → Site → Domain → OU. Når flere OU-er stables, går det fra topp-OU mot bunn-OU. Nærmest brukeren/maskinen = vinner.
🧠 Sjekk forståelsen · flervalg · eksamen 2025
I hvilken rekkefølge behandles Group Policy Objects (GPOs)?
Spot on! 🎯 Akkurat eksamen 2025 spørsmål 2. LSDOU er en av få ting du MÅ kunne utenat til eksamen.
Husk mnemoniske: L-S-D-O-U. Lokal først (på maskinen), så Site (geografisk), så Domain (hele bedriften), så OU (mest spesifikt). Svar A.
§ 05 — Arv
Arv – hvordan GPO-er kaskader nedover
Når en GPO er koblet til et nivå (f.eks. Domain), så arves innstillingene automatisk nedover i hele hierarkiet under. Du trenger ikke koble GPO-en til hver eneste OU manuelt – arven gjør jobben for deg.
Kari får: brannmurregler (arvet fra domain) + blå skrivebordsbakgrunn (fra Salg-OU)
Per får: brannmurregler (arvet fra domain). Ingen ekstra fra Utvikling-OU.
Innstillinger fra et høyere nivå flommer nedover, og hvert OU-nivå kan legge til sine egne. Hvis det er konflikt, vinner det laveste nivået (nærmest brukeren).
Tenk på arv som regn. Det regner fra toppen (domain). Regnet faller nedover gjennom OU-ene som om de var gjennomsiktige paraplyer. Hvert OU kan også bidra med litt eget regn. Den nederste brukeren får summen av alt regn ovenfra – pluss eventuelle lokale dråper på sitt nivå.
🔑 Tre regler å huske
1. GPO-er arves automatisk nedover OU-treet.
2. Senere nivå overstyrer tidligere ved konflikt (OU vinner over Domain).
3. Innstillinger som ikke er i konflikt kombineres – du får alle.
🧠 Sjekk forståelsen · flervalg · scenario
Gitt strukturen over (Domain-GPO med brannmur, Salg-OU-GPO med blå bakgrunn). Hvilke innstillinger får Kari (som er i Salg-OU)?
Nydelig! ✨ Innstillinger som ikke er i konflikt akkumuleres. Domain GPO sier ingenting om bakgrunn, OU GPO sier ingenting om brannmur. Kari får begge.
Husk arv-prinsippet: GPO-er stables oppå hverandre. Innstillinger som ikke er i konflikt kombineres. Kari får både brannmurregler (Domain) og blå bakgrunn (OU). Svar C.
§ 06 — Konfliktløsning
Konfliktløsning – link order
Hva skjer hvis du har flere GPO-er koblet til samme OU, og de sier motstridende ting? Det er her link order kommer inn.
Hver GPO koblet til en OU får en link order-nummer. Reglene:
GPO med høyest link order-nummer behandles først
GPO med lavest link order-nummer (1) behandles sist
Sist behandlet = vinner ved konflikt
Dette virker baklengs første gang du ser det. Men logikken er at link order 1 er «høyest prioritet». I GPMC (Group Policy Management Console) ser du gjerne en kolonne der GPO-er med link order 1 står øverst:
OU: Salg
├─ Link Order 1: GPO_Salg_Spesielle_Innstillinger ← vinner ved konflikt
├─ Link Order 2: GPO_Salg_Felles
└─ Link Order 3: GPO_Salg_Bakgrunn ← behandles først
📌 Husk regelen
«Den GPO-en som er lenket sist i rekkefølgen, har høyest prioritet og overstyrer de andre.» – dette var eksamen 2025 spørsmål 5. Det er regelen om last writer wins. Link order 1 behandles sist = vinner.
🧠 Sjekk forståelsen · flervalg · eksamen 2025
Hva skjer når flere GPO-er med motstridende innstillinger er knyttet til samme OU?
Riktig! 🔥 Eksamen 2025 spørsmål 5. Last writer wins-prinsippet: GPO med link order 1 behandles sist og vinner.
Husk: GPO-er kanselerer ikke hverandre. De behandles i rekkefølge, og den siste behandlede vinner. Svar B.
§ 07 — Spesialregler
Block Inheritance og Enforced
To spesialfunksjoner lar deg overstyre standard arve-oppførsel. De er hverandres motsetninger.
🛑 Block Inheritance
Settes på en OU. Effekten: blokkerer alle GPO-er fra høyere nivåer fra å gjelde for denne OU-en (og alle OU-er under den).
Eksempel: NovaTech har en strikt Domain-GPO som sier «skjul Kontrollpanel for alle brukere». Men IT-avdelingen trenger tilgang til Kontrollpanelet for å gjøre jobben sin. Løsning: sett Block Inheritance på IT-OU-en – Domain-GPO-en gjelder ikke lenger der.
Settes på en GPO-link (ikke OU). Effekten: tvinger GPO-en til å gjelde uansett – selv om en underliggende OU har Block Inheritance.
Eksempel: Sikkerhetsavdelingen krever at alle maskiner i bedriften har Windows Defender aktivert – det skal ikke kunne blokkeres av noen. Da setter du Enforced på den GPO-en. Selv om en OU prøver å blokkere arv, slår Enforced igjennom.
novatech.local [GPO: Windows Defender PÅ]⚡ ENFORCED
└── NovaTech-users
├── Salg
│ └── Kari → Defender PÅ (arvet og enforced)
└── IT-admin 🛑 BLOCK INHERITANCE
└── Hans → Defender PÅ (enforced slår igjennom blokkeringen!)
⚠️ Husk prioriteten
Når både Block Inheritance OG Enforced er i bilde: Enforced vinner. Enforced er den eneste måten å «punche gjennom» en Block Inheritance. Tenk på det slik: Enforced er en byttekonge – ingenting kan stoppe den.
🧠 Sjekk forståelsen · flervalg · eksamen 2025
Hva er effekten av å bruke "Block Inheritance" på en Organisational Unit (OU)?
Spot on! 🎯 Eksamen 2025 spørsmål 4. Block Inheritance = «stopp arven fra over meg». Den sletter ikke GPO-er (A), tvinger ikke noe (B), hindrer ikke innlogging (C).
Block Inheritance blokkerer kun arven av GPO-er fra høyere nivåer. Den sletter ikke noe og hindrer ikke innlogging. Svar D.
🧠 Sjekk forståelsen · flervalg · scenario
Du har en Domain-GPO satt med Enforced. En OU under domain har Block Inheritance aktivert. Hvilken vinner?
Riktig! 💪 Enforced er overordnet Block Inheritance. Dette er hele poenget med Enforced – å sørge for at en kritisk policy gjelder uansett hvilken lokal blokkering noen prøver å sette opp.
Husk: Enforced er som en byttekonge. Den slår igjennom alt – inkludert Block Inheritance. Svar A.
§ 08 — Fjerning
Slette link vs slette GPO vs deaktivere
Dette er en av de mest forvirrende delene av GP, men også en favoritt på eksamen (eksamen 2023 spørsmål 12 testet akkurat dette). Det er tre forskjellige operasjoner som ligner, men gjør helt forskjellige ting:
🔗 Slette GPO-linken
GPO-en eksisterer fortsatt
Den er bare ikke lenger koblet til denne OU-en
Andre OU-er som bruker den, påvirkes IKKE
Den riktige måten å fjerne en GPO fra én OU
❌ Slette GPO-en
GPO-en blir helt slettet fra AD
Alle koblinger til den fjernes globalt
Alle OU-er som brukte den, mister innstillingene
Drastisk! Bruk kun når du er helt sikker
🚫 Deaktivere GPO-en
GPO-en eksisterer fortsatt
Men den anvendes ikke noen steder
Alle OU-er som bruker den, blir påvirket
Drastisk! Påvirker globalt
⚠️ Eksamensfellen (eksamen 2023, spm 12)
Spørsmålet «hva bør du IKKE gjøre med en GPO som skal tas vekk fra en bestemt OU?» har svaret «Deaktivere GPO-en». Det riktige er å slette linken – det fjerner GPO-en fra denne OU-en, uten å påvirke andre OU-er som kanskje bruker samme GPO. Deaktivering = globalt drastisk, link-sletting = lokalt kirurgisk.
⚡ Interaktiv øvelse · velg riktig handling drag to bucket
Hvilken operasjon passer hvert scenario?
For hvert scenario: skal du slette linken, slette GPO-en, eller deaktivere den?
Klikk scenario → klikk bøtte
0 / 6 plassert
Salg-OU skal ikke lenger ha en GPO som fortsatt brukes på andre avdelinger
En GPO som ikke har vært brukt på 3 år og du vil rydde opp i AD
Du vil midlertidig stoppe en GPO mens du tester en ny versjon
Du flyttet en gruppe brukere til en annen OU og GPO-en skal ikke følge med
En GPO ble laget av en ansatt som har sluttet, og den var aldri i bruk
Du oppdager en feil i en GPO i prod og må stoppe den umiddelbart overalt
🔗 Slett linken
❌ Slett GPO
🚫 Deaktiver GPO
Mestret! 🏆 Tommelfingerregler: • Skal GPO-en fortsatt eksistere et annet sted? → Slett linken • Skal GPO-en aldri brukes igjen? → Slett GPO-en • Midlertidig stopp (alle steder)? → Deaktiver
🧠 Sjekk forståelsen · flervalg · eksamen 2023
Hva bør du IKKE gjøre med en GPO-er som skal tas vekk fra en bestemt OU?
Du falt ikke i fellen! 🎯 Eksamen 2023 spørsmål 12. Deaktivering rammer GLOBALT, ikke bare denne ene OU-en. Riktig fremgangsmåte er å slette linken.
Tenk: du vil bare fjerne fra én OU. Sletting av link gjør akkurat det. Deaktivering rammer hele bedriften. Svar D er svaret på «hva du IKKE bør gjøre».
§ 09 — Praksis
Praktiske bruksområder
Pensumguiden din lister opp typiske bruksområder for GP. Her er en liste over realistiske eksempler du kan dra nytte av i essay-svar:
📦 Programvareinstallasjon
Distribuér MSI-pakker automatisk. Eksempel: «Alle utviklere skal automatisk få Visual Studio Code installert.» Kobles til OU=Utvikling via Computer Configuration (maskin-installert) eller User Configuration (per bruker).
🖼️ Skrivebordsinnstillinger
Lås ned brukeropplevelse: skrivebordsbakgrunn med firmalogo, skjult Kontrollpanel for vanlige brukere, standard Start-meny, og så videre. Typisk User Configuration.
🔐 Tilgangsstyring og sikkerhet
Tving passordpolicyer (lengde, kompleksitet, utløp), konfigurer kontolåsing, sett audit-policyer for hva som skal logges. Typisk Computer Configuration, ofte på Domain-nivå.
🛡️ Brannmur og nettverk
Sett brannmurregler sentralt, konfigurer proxy-innstillinger, blokkér uønskede porter. Computer Configuration.
💾 Drev-mapping
Når brukeren logger på, mappes automatisk H:\ til hennes hjemmemappe og S:\ til avdelingens fellesmappe. User Configuration (klassisk eksempel).
📅 Windows Update
Kontroller når og hvordan oppdateringer installeres. Spesielt viktig for servere som ikke bare skal restarte midt på dagen. Computer Configuration.
⚡ Interaktiv øvelse · bruksområde-mapping match pairs
Match bruksområdet til riktig konfigurasjonsside
Hvert bruksområde er klassisk plassert under enten Computer eller User Configuration. Match dem!
0 / 5 matchet
Bruksområde
Mapping av H:-drev til hjemmemappa
Brannmurregler for alle PC-er
Skrivebordsbakgrunn med firmalogo
Windows Update-tidspunkter
Skjul Kontrollpanel for vanlige brukere
Konfigurasjonsside
💻 Computer Configuration (gjelder maskinen)
👤 User Configuration (følger brukeren)
👤 User Configuration (brukeropplevelse)
💻 Computer Configuration (maskinen oppdateres)
👤 User Configuration (brukerens skrivebord)
Glimrende! 🌟 Du har nå mønstergjenkjenningen. Når sensor spør «hvor ville du satt opp X?», kan du tenke: «Følger det brukeren eller maskinen?» – og svaret kommer naturlig.
🔥 § 10 — Final boss
Mixed challenge – kan du Group Policy nå?
Disse 6 spørsmålene tester det viktigste fra hele modulen. Knus dem alle, og du har ikke bare bestått GP-pensumet – du har tatt det med ro.
⚔️ Boss-spørsmål 1 av 6 · Eksamen 2023
Hva er Group Policy?
Riktig! 🎯 Eksamen 2023, ord for ord. GPO-er skriver sine innstillinger til Windows-registeret.
Husk: GP er innstillinger som lagres i registeret og kontrollerer maskinens/brukerens oppførsel. Svar C.
⚔️ Boss-spørsmål 2 av 6 · LSDOU-anvendelse
En GPO koblet til OU=Salg sier «bakgrunn = blå». En GPO koblet til Domain sier «bakgrunn = grønn». Hvilken bakgrunn får en Salgs-bruker?
Yes! 💪 LSDOU: Local → Site → Domain → OU. OU behandles SIST, og siste behandlet vinner ved konflikt. Salgs-OU vinner over Domain.
Husk LSDOU: OU er sist i kjeden, og siste behandlede vinner. Svar B.
⚔️ Boss-spørsmål 3 av 6 · User vs Computer
Kari logger på kollega Ola's PC (han er syk). Hva får hun?
Spot on! 🔥 User Configuration følger BRUKEREN (Kari), Computer Configuration følger MASKINEN (Olas PC). Hun får sin egen User Config kombinert med PC-ens Computer Config.
Husk: User følger brukeren, Computer følger maskinen. Når Kari logger på en annen PC, får hun sin User Config + den nye maskinens Computer Config. Svar C.
⚔️ Boss-spørsmål 4 av 6 · Block Inheritance
Du setter Block Inheritance på OU=IT-admin for å la administratorer slippe noen restriktive Domain-GPO-er. Domain har én GPO med «kontolåsing etter 5 forsøk» – og denne er IKKE markert som Enforced. Hva skjer?
Riktig! 🎯 Uten Enforced kan Block Inheritance stoppe Domain-GPO-er fra å arves nedover. IT-admin OU blir «skjermet».
Block Inheritance fungerer på alle GPO-er som IKKE er Enforced. Siden ingenting er Enforced her, vinner Block. Svar A.
⚔️ Boss-spørsmål 5 av 6 · Praktisk scenario
Du vil at alle brukere i Salg skal få en bestemt skrivebordsbakgrunn. Hva bør du gjøre?
Topp! 🏆 Skrivebordsbakgrunn er en bruker-innstilling (det er DERES skrivebord). Derfor: User Configuration + koble til Salgs-USER-OU. Da følger bakgrunnen brukeren uansett hvilken Salgs-PC hun logger på.
Tenk: skrivebordsbakgrunn følger brukeren, ikke maskinen. Det er User Config. Og scope skal være OU for Salgs-USERS, ikke maskiner eller hele Domain. Svar B.
⚔️ Boss-spørsmål 6 av 6 · Felle-spørsmål · Eksamen 2023
Du har en GPO koblet til 4 forskjellige OU-er. Nå skal den bare fjernes fra ÉN av disse OU-ene. Hva gjør du?
Mesterlig! 🎓 Klassisk fellespørsmål – som du har sett på eksamen 2023. Slett bare linken til den ene OU-en. GPO-en finnes fortsatt og brukes i de andre 3.
Husk forskjellen: Slett link = lokalt kirurgisk, Deaktiver/Slett GPO = globalt drastisk, Block Inheritance = stopper ARV ovenfra, ikke direkte koblede GPO-er. Svar A.
💪 6/6? Du har knust Group Policy-pensumet!
§ 11 — Oppsummering
Nøkkelpunktene du må huske
GP er kanskje den mest «mekaniske» delen av pensumet ditt. Men når disse 12 punktene sitter, sitter alt:
📋 Modul 3 – Cheat sheet
GPO = samling med innstillinger som styrer oppførselen til brukere/maskiner sentralt.
Innstillinger skrives til Windows-registeret når en GPO anvendes.
En GPO må kobles (linkes) til Site, Domain, eller OU for å gjelde. Ulinkede GPO-er gjør ingenting.
Computer Configuration anvendes ved oppstart, følger maskinen.
User Configuration anvendes ved innlogging, følger brukeren.
LSDOU = Local → Site → Domain → OU. Memoriser denne rekkefølgen!
Siste behandlet vinner ved konflikt. OU vinner over Domain. Sub-OU vinner over parent-OU.
Innstillinger som ikke er i konflikt kombineres – brukeren får alt.
Link Order: når flere GPO-er er på samme OU, behandles de fra høyest link-tall (først) til lavest (sist, vinner).
Block Inheritance: blokkerer arv fra høyere nivåer (med mindre noe er Enforced).
Enforced: tvinger GPO-en til å gjelde uansett – slår igjennom Block Inheritance.
Slett link ≠ slett GPO ≠ deaktiver. Slett link = lokalt kirurgisk. Deaktiver = globalt drastisk.
→ NESTE
Modul 4: NTFS og delte tillatelser
Nå har du AD, automatisering, og GP. Tid for å snakke om tilgangsstyring til filer på alvor. Vi går dypt på NTFS-rettigheter, Share Permissions, og det berømte «mest restriktive vinner»-prinsippet som så ofte testes på eksamen.
NTFSShare PermissionsEffektive rettigheterMest restriktiveRead/Change/Full Control