neueradmuser
Goto Top

Active Directory - OU Anordnung und Aufbau

Hallo,
ich habe mal wieder einen Server vor mir wo alle User in der OU User sind, alle PC's in der OU Clients... und das wars.
GPO's wurden bisher genutzt und über Active Directory Gruppen (lese und übernahme rechte) verwaltet. Sprich es gibt unzählige AD-Gruppen für alles Mögliche...

wie könnte man das schöner / übersichtlicher gestalten?

1) pro Büro Etage eine OU und dann darunter je eine OU für Benutzer und eine für PC's?
--> aus meiner Sicht nicht so prickelnd

2) pro Team eine OU und darin je eine OU für User und eine für PC's? oder gar keine weitere Unterteilung?
--> wäre übersichtlicher als die erste Lösung denk ich...

Beispiel für den OU-Baum:
AD
--domainController
--Firma (für GPO's die auf beide Mitarbeiter Gruppen wirken sollen)
Mitarbeiter_die_nicht_mit_allen_GPO's_verwaltet_werden_sollen
Mitarbeiter_normal
TEAM1
User_TEAM1
PC's_TEAM1
TEAM2
User_TEAM2
PC's_TEAM2
TEAM3
User_TEAM3
PC's_TEAM3
usw...
--Users

3) alternativen?

Gruß und danke für input...

Content-Key: 330940

Url: https://administrator.de/contentid/330940

Ausgedruckt am: 28.03.2024 um 20:03 Uhr

Mitglied: emeriks
emeriks 02.03.2017 um 16:40:55 Uhr
Goto Top
Hi,
nichts für ungut bitte, aber ...

Funktioniert es? Falls ja: Finger weg!
Hast Du konkreten Bedarf, daran etwas zu ändern? Falls nein: Finger weg!
"schöner" ist kein Bedarf, es sei denn, Du hast sonst nichts zu tun, und "übersichtlicher" nur dann, wenn Du es tatsächlich übersichtlicher gestalten (also besser machen) kannst. Kannst Du's?

E.
Mitglied: neueradmuser
neueradmuser 02.03.2017 um 16:51:31 Uhr
Goto Top
Bedarf-1 = es wird unübersichtlich
Bedarf-2 = Ziel soll eine logische Struktur sein in der der User in weniger Gruppen eingetragen werden muss
Mitglied: Chonta
Chonta 02.03.2017 um 17:02:35 Uhr
Goto Top
Hallo,

Ziel soll eine logische Struktur sein in der der User in weniger Gruppen eingetragen werden muss
Dann musst Du Dir erstmal einen Überblick verschaffen was die GPO machen und warum die auf auf Personenkreis X gefiltert wurden.
Eine Unterteilung macht eh nur dann Sin, wenn es Unterschiedliche Anforderungen bei den GPO gibt.


-Mitarbeiter_die_nicht_mit_allen_GPO's_verwaltet_werden_sollen
die gibt es nicht, da Domaiweite GPO eh wirken und die Defaults auch.

Wenn Du es struktorieren willst dann eine immer eine Ober OU Computer und Benutzer auf wo dann immer alle GPO verlinkt werden die für alle ohne Ausnahme gelten.
Wenn es in den ganzen GPO immer wieder Ausnamen für xyz gibt, läuft was falsch.

Ansonsten, wenns so funktioniert las es so face-smile

Gruß

Chonta
Mitglied: emeriks
emeriks 02.03.2017 aktualisiert um 17:05:05 Uhr
Goto Top
OK.
OU-Struktur und Gruppenmitgliedschaft haben nichts, aber auch gar nichts miteinander zu tun.
Zuerst solltest Du feststellen, welche Gruppe welchen Zweck erfüllt. Ein paar Stichpunkte:
  • Verwendung in NTFS- oder Freigabe-Berechtigungen
  • Verwendung in GPO-Sicherheitsfilter oder -Zielgruppenadressierung
  • Verwendung in Scripten (is member of ... then ....)
  • Email-Verteiler (Exchange)
  • Verschachtelung beachten
ggf. hilft es schon, sich eine Namenskonvention für die Gruppennamen festzulegen und danach die Gruppen zu benennen/umbenennen. (beachte Scripte!)

OU-Struktur hilft Dir evtl. beim Zuordnen der GPO. Also dass Du hier evtl. die eine oder andere Gruppe sparst, welche nur für die Filterung von GPO verwendet wird, die Filterung aber jetzt durch Organisation in OU's und Zuweisung der GPO zu den jeweiligen OU's erfolgt. Beachte aber auch hier, dass das dann u.U. im Bereich der GPO unübersichtlicher werden kann. Hier solltest Du eh nur "rumfummeln", wenn Du die Mechanismen der GPO-Verarbeitung aus dem FF kennst.
Mitglied: neueradmuser
neueradmuser 02.03.2017 aktualisiert um 17:25:20 Uhr
Goto Top
also grundsätzlich wird nahezu alles damit geregelt... allein für den WSUS (also die Client-Einstellungen) gibt es 5 GPO's (da unterschiedliche einstellungen) welche quasi per AD-Gruppen zugeordnet werden. in den Gruppen stecken die rechner.

NTFS-shares werden auch darüber freigegeben... quasi pro ordner eine AD-gruppe

Sicherheitsfilter werden in beide richtungen genutzt (allow/deny) und zielgruppenadressierung ist natürlich auch vorhanden.

das ou-struktur und ad-gruppen pro forma erstmal nix miteinander zu tun haben weiß ich ... jedoch werden die gpo's mit den ad-gruppen in der sicherheitsfilterung verwaltet. da es ja keine entsprechenden ou's gibt (sonst könnte man die gpo mit der ou verknüfen und auf all users lassen). das hat auch zur folge das in der gpo übersicht eine riesenlange liste an gpo's untereinander steht ohne das auf den ersten blick ersichtlich ist was wofür ist und wo wirkt... man muss sich jede einzeln angucken oder über den richtlinien ergebniss-satz gehen...

und die mitarbeiter auf die keine ou's wirken sollen... das sind die die alles dürfen ;)
natürlich unterliegen sie der domänen-default gpo... aber halt nicht der runterfahren-verboten gpo... chef und so

EDIT: außerdem soll LDAP verstärkt genutzt werden in div. apllikationen - da würde ein aufgeräumtes AD schon Sinn machen

Gruß
Mitglied: emeriks
emeriks 02.03.2017 aktualisiert um 17:30:46 Uhr
Goto Top
das hat auch zur folge das in der gpo übersicht eine riesenlange liste an gpo's untereinander steht ohne das auf den ersten blick ersichtlich ist was wofür ist und wo wirkt... man muss sich jede einzeln angucken oder über den richtlinien ergebniss-satz gehen...
Daran wird sich auch nichts ändern. Du kannst höchsten über den Namen oder über das Beschreibungsfeld einer GPO Hinweise darauf geben, wofür sie denn gedacht ist (war). Ob die tatsächlichen Einstellungen (noch) mit dem Namen oder der Beschreibung übereinstimmen, das ist dann eine andere Sache.

über den richtlinien ergebniss-satz
Dieser sagt Dir gar nichts über eine GPO aus, sondern nur darüber, welche einzelnen Einstellungen in Summe für einen Benutzer oder einen Computer angewendet wurden.

(editiert)
Mitglied: neueradmuser
neueradmuser 02.03.2017 um 17:37:50 Uhr
Goto Top
wir entfernen uns vom Thema...
gefragt war nach einem gangbaren / übersichtlichem AD Design

kann sein das wir aneinander vorbei reden... aus meiner sicht macht das sinn
Mitglied: emeriks
emeriks 02.03.2017 um 17:48:32 Uhr
Goto Top
Ja, ich will Dich auch nicht "quälen". face-wink
Ich habe nur schon oft gehört, dass jemand etwas "schöner", "besser", "übersichtlicher" machen will, meint aber nicht selten "wie es nach mir geht". Und da ich in einer größeren Umgebung unterwegs bin, mit vielen Admins, kann sowas mal schnell in die Hose gehen, wenn jeder seinen Geschmack oder Stil durchsetzen will. Da muss man sich Regeln ausmachen und sich dann jeder dran halten.
Bzw. kommt es auch vor, das jemand etwas "besser" machen will, weil er/sie es fachlich gar nicht überblicken und bloß deshalb mit dem Ist-Stand nicht klar kommen.
So war das von mir gemeint.
Mitglied: neueradmuser
neueradmuser 02.03.2017 aktualisiert um 18:22:38 Uhr
Goto Top
fein fein face-smile

ich komm damit schon klar... aber man sollte dinge auch weiterentwickeln - denke ich... und wenn es ein offizielles To-Do seitens MS geben würde würde ich das umsetzen....

nach mir gehts da bestimmt nicht... eher nach der usability... wenn ich z.b. nur 10 user (1 team) von 200 per ldap ansprechen will kann ich das nicht indem ich einfach den DN der OU angebe ... sowas nervt einfach...

oder das PC's (aufgrund des GPO/AD_gruppen Models) in mehreren WSUS gruppen sein können.... weil der PC von einem Team zum anderen gewandert ist und niemand in den AD-Gruppen das computer-Objekt mitgezogen hat... der kleinkram summiert sich halt und man ist auf der suche nach einer besseren Lösung. genauso gut könnte man evtl den network policy server auf ou's anstatt auf gruppen wirken lassen - demnach dynamisch... und wenn der pc nicht in OU 1, 2, oder 3 ist dann gibts kein Netzwerk connect :D

ich sehe da viel potential... also das noch mehr zu automatisieren / dynamischer zu gestalten

UND was ganz argh nervt sind die deny's in den GPO Sicherheitsfilterungen wenn man dafür keine Gruppe angelegt hat...
ich denke mit einer optimierten OU-Baumstruktur und KEINE deny's läßt sich der Fehlerkreis schon eingrenzen...

Gruß und trotzdem schonmal dank