plategt
Goto Top

GPOs den Benutzergruppen zuweisen?

Hallo zusammen,

bin gerade dabei ein Active Directory einzurichten. Jedoch fehlt mir noch ein bisschen die Logik vom AD face-wink

Ich habe folgende Benutzergruppen (Standard eben):

Domänen-Admins
Domänen-Benutzer
Domänen-Gäste

(Und noch keine OUs außer den Standard OUs)

Nun gibt es eine globale GPO die auf Domänen-Ebene definiert ist. Zusätzlich möchte ich jetzt jeder, der drei Gruppen, noch eine GPO zuweisen.

Dafür fehlt mir jedoch noch der logische Ansatz.
Folgende Lösung würde warscheinlich funktionieren:

Eine neue OU mit drei "Unter-OUs" mit folgender Struktur erstellen:

- User GPOs
----- Domänen-Admins
----- Domänen-Benutzer
----- Domänen-Gäste

Jetzt für jede OU eine GPO definieren und dann die drei Gruppen in die entsprechenden OUs verschieben. Jedoch müsste ich dann die Benutzergruppen aus dem Ordner Users verschieben. Ist das so gedacht? Obwohl ich denke, dass es so funktionieren würde, bin ich mir nicht sicher ob dies der richtige Ansatz ist und der Logik des ADs entspricht.

Oder gibt es für diese Problemstellung eine "typischere" Konfiguration des ADs? Wie geht man mit sowas um?

Bin sehr gespannt welche Möglichkeiten es da gibt? (Ich glaube das AD ist ziemlich mächtig wenn man es denn mal richtig bedienen kann face-wink )

Vielen Dank im Voraus!

Gruß

plate

Content-Key: 87280

Url: https://administrator.de/contentid/87280

Ausgedruckt am: 29.03.2024 um 10:03 Uhr

Mitglied: SarekHL
SarekHL 09.05.2008 um 06:05:10 Uhr
Goto Top
Also es ist durchaus eine Möglichkeit, das AD so aufzubauen, daß man Admins, Benutzer und Gäste in jeweils eine eigene OU steckt. Aber eben nur eine von vielen. Welche AD-Struktur bei Dir sinnvoll ist, hängt sehr von der Struktur Deines Betriebes ab. Vielleicht macht es mehr Sinn, die Benutzer nach Abteilungen oder nach Filialen zu gruppieren.

Aber zurück zur Überschrift Deiner Frage: Selbst wenn alle Benutzer in einer OU sind, kannst Du trotzdem für jede Gruppe eine eigene GPO erstellen. Der Schlüssel dazu sind die Berechtigungen, die Du unter Gruppenrichtlinie -> Eigenschaften -> Sicherheit findest. Wenn Du dort beispielsweise für die Gruppe "Gäste" bei der Berechtigung "Gruppenrichtlinie übernehmen" auf "Verweigern" gehst, gilt diese Richtlinie für die Mitglieder dieser Gruppe nicht.
Mitglied: plategt
plategt 09.05.2008 um 13:35:05 Uhr
Goto Top
Danke erstmal für die Antwort.

Gibt es auch die Möglichkeit die GPO andersrum zu übernehmen. Also nicht verweigern sondern erlauben.

Sonst müsste ich ja wenn in einer OU 40 Elemente sind bei 39 Elementen verweigern einstellen und nur bei einem nicht. Hier ist es ja besser wenn ich nur angebe wer die GPO übernehmen soll.

Für die Struktur meines ADs ist noch nichts vorgesehen. Deswegen frag ich ja um es von Anfang richtig aufzubauen. In der Regel brauche ich gar keine OUs.

Im Moment ist nämlich nur folgendes in der Domäne.

1 Windows 2003 Server
4 Clients

1 Benutzer in der Gruppe "Domänen-Admins"
2 Benutzer in der Gruppe "Domänen-Benutzer"
1 Benutzer inder Gruppe "Domänen-Gäste"

Deswegen bin ich nicht an Standorte oder Abteilungen gebunden.

Gruß

plategt
Mitglied: SarekHL
SarekHL 09.05.2008 um 16:01:01 Uhr
Goto Top
Gibt es auch die Möglichkeit die GPO andersrum zu übernehmen. Also nicht verweigern sondern erlauben.

Sonst müsste ich ja wenn in einer OU 40 Elemente sind bei 39 Elementen verweigern

Was für 40 Elemente meinst Du denn? Ich denke, Du hast nur vier Benutzer???
Mitglied: plategt
plategt 10.05.2008 um 23:05:00 Uhr
Goto Top
Hallo,

klar habe ich gerade nur vier Benutzer. Aber ein AD kann ja auch 3000 Benutzer verwalten. Also muss es ja so aufgebaut sein dass die Lösung für alle erweiterbar ist.

Gruß

plategt
Mitglied: SarekHL
SarekHL 10.05.2008 um 23:17:15 Uhr
Goto Top
klar habe ich gerade nur vier Benutzer. Aber ein AD kann ja auch 3000 Benutzer verwalten.
Also muss es ja so aufgebaut sein dass die Lösung für alle erweiterbar ist.

Darum wies ich ja am Anfang darauf hin, daß Du erst planen sollst. Das schließt natürlich auch mögliche Erweiterungen mit ein. Wenn Du dann irgendwann mal 100 Benutzer hast, dann wird es sinnvollere Arten geben, diese zu gruppieren, als nach ihren Berechtigungen. Ich bilde im AD in der Regel die Firmenstruktur ab. Also Pro Abteilung eine OU.

Allerdings sitzen die Admins ja in der Regel in einer eigenen Abteilung ... insofern hast Du auch dann für die Admins eine eigene OU. Und ansonsten bleibt ja noch der Weg über die Berechtigungen.
Mitglied: datasearch
datasearch 12.05.2008 um 11:25:20 Uhr
Goto Top
Hallo Plate,

bevor du weitermachst, entschuldige, aber ich muss es sagen, informiere dich bitte über die Gundlagen des ActiveDirectory. Ich werde mal versuchen dir ein paar Tips zu geben. Also, los gehts.

Gruppenrichtlinien (GPO's) können nur auf Benutzer oder Computerobjekte angewendet werden. Nicht auf Benutzergruppen, kontakte usw. Ein GPO kann aber nicht direkt auf ein solches Objekt gelegt werden, soltern muss mit einer OU verknüpft werden. Die Einstellungen, die in einem GPO im Bereich "Computerkonfiguration" und "Benutzerkonfiguration" gesetzt werden, werden auf den jeweiligen Objekttyp (Benutzer oder Computerkonten) angewendet. Mit Berechtigungen kannst du steuern wer auf ein GPO zugreifen (Lesen) und wer die Einstellungen in einem GPO überhaupt übernehmen kann. Die Berechtigungsvergabe sollte niemals auf einzelne Benutzer, sondern auf eine Gruppe gesetzt werden. Dafür hast du die Benutzergruppen, zum "setzen" von Berechtigungen.

Was dein AD-Design angeht, solltest du noch folgendes beachten:

Die Anzahl der OU's sollte möglichst gering gehalten werden, aber den LOGISCHEN AUFBAU der Objekte in der Firma wiederspiegeln. Arbeitest du zb. mit Abteilungen, die jeweils unterschiedliche Anforderungen haben und somit eigene GPO's erfordern, erstelle für jede Abteilung eine OU und lege darauf ein passendes GPO.
Hast du aber eine eine Firma mit Abteilungen die aber alle die selbe Konfiguration verwenden, kannst du nur eine OU für die jeweilige Ressource anlegen.
Nochwas, die DEFAULT DOMAIN POLICY (DDP) sollte Niemals oder nur extrem selten geändert werden. Es gibt allerdings Einstellungen die nur einmal pro Domäne gesetzt werden können, diese kann man ausnahmsweise doch in der DDP setzen. Dies sind zb. Einstellungen zur Kennwortkomplexität. Zudem sollte man jede Änderung an einem GPO irgendwie Dokumentieren.

Es gibt seitens Microsoft Empfehlungen und Regeln die man beim AD-Design beachten sollte. Wie oben geschrieben, schau dir das Thema bitte etwas genauer an. Anschließend solltest du problemlos in der Lage sein, die diese und evt. folgende Fragen zu beantworten.

Sorry falls das nicht das ist was du lesen wolltest, aber besser du verstehst was du da eigentlich machst. Ich könnte dir auch ein Step-by-Step Guide schreiben, würde dir aber nicht wirklich weiterhelfen.

Hier habe ich gerade noch etwas gefunden:
Active Directory Planning and Design Guide
Active Directory (Konzepte)
Mitglied: plategt
plategt 12.05.2008 um 12:15:08 Uhr
Goto Top
Hallo datasearch,

vielen Dank für deine ausführliche Antwort. Jedoch ist mir das meiste bekannt. Ich betreue im Geschäft selber zum Teil ein AD, welches jedoch vor meiner Zeit angelegt wurde und selbstverständlich sind dort auch die OUs auch nach den Werken aufgebaut. Die GPOs sind auch von höherer Stelle festgelegt, worauf wir keine Einflussmöglichkeit haben.

Das Problem hier ist nur, dass ich in diesem Fall keine Werke habe. Hier soll es folgendermaßen aussehen:

Es soll eine GPO auf Domänenebene geben (sozusagen die "Default Domain Policy" wofür natürlich eine eigene GPO angelegt wird). Diese soll die Standardcomputerkonfiguration für alle Clients sein. Die restlichen GPOs sollen benutzerspezifisch sein. Da ich als Admin an allen Clients die gleichen Einstellungen haben möchte. Die Benutzer aber zum Beispiel an meinem Rechner auch nur eingeschränkte Konfigurationsmöglichkeiten haben sollen.

Würde es denn nicht funktionieren wenn ich eine Benutzergruppe in eine OU verschiebe und der OU dann eine GPO zuweise?

Im Moment sieht meine AD Struktur so aus:
http://dynamite-network.de/ad_struktur.jpg

Gruß
plate
Mitglied: datasearch
datasearch 12.05.2008 um 12:29:25 Uhr
Goto Top
OK, alles klar face-smile.

Das Problem ist das du die einstellungen des Standard-GPO's auch auf die Default-Container und OU's anwendest. Das sollte man eigentlich vermeiden. Erstelle zb. in der Hauptebene eine OU mit dem Namen "ORG-MEMBERS" (oder wie du sie nennen magst), darin legst du die OU's Admins, Benutzer und Gäste an. Ich empfehle eine weitere OU mit dem namen Computer ODER das ablegen der Computerkonten in den OU's der Benutzerkonten.

Anschließend legst du die GPO's auf die entsprechenden OU's. Auf die ORG-MEMBERS OU wird das GPO, das für alle Mitglieder gültig sein soll gelegt, auf Admins das Admin-GPO usw.

Du MUSST nun die Benutzer und Computerkonten in die entsprechenden OU's ablegen. Zb. die Benutzerkonten aller Gäste in OU=gäste,OU=ORG-MEMBERS,DC=...
Wenn du nun einen der Gäste von OU=gäste,OU=ORG-MEMBERS nach OU=Benutzer,OU=ORG-MEMBERS verschiebst, werden nur noch die GPO's auf der neuen OU auf das Objekt angewendet.

Auf Benutzergruppen können keine GPO's angewendet werden. Auch wenn du eine Gruppe nach OU=Gäste verschiebst, die Mitglieder der Gruppe aber in OU=Admins liegen, werden die GPO's aus OU=Admins angewendet. Die einzige Möglichkeit besteht in dem Verweigern der Berechtigung "Gruppenrichtlinie übernehmen" für das GPO, das auf der OU Admins liegt für die Benutzergruppe "Gäste". Quasi als 2. Sicherung durchaus sinnvoll.
Mitglied: plategt
plategt 12.05.2008 um 20:08:42 Uhr
Goto Top
Hallo,

habe das AD jetzt so aufgebaut:

http://dynamite-network.de/ad_struktur_neu.jpg

Die Gruppen Domänen-Admins, Domänen-Benutzer und Domänen-Gäste habe ich jetzt wieder in den Standardordner "Users" aufgenommen und die einzelnen Benutzerkonten verschoben (siehe Bild). Ich hoffe das passt so.

Jetzt ist nur noch die Frage:

Wenn zum Beispiel die Gruppe Domänen-Benutzer standardmäßig Aktion A erlaubt (weil die Standardgruppe in der der User ja Mitglied ist das erlaubt) und die GPO auf die OU=Benutzer,OU=ORG-MEMBERS die Aktion A verbietet, was zieht dann? Besitzen die GPO oder die Gruppe der der User zugeordnet ist die höhere Priorität?

Danke und Gruß,
plate
Mitglied: datasearch
datasearch 12.05.2008 um 22:40:11 Uhr
Goto Top
Die vererbung der einstellungen eines GPO werden in der Hirachie nach unten Priorisiert. Legst du ein GPO auf die OU ORG-MEMBERS das irgendetwas verweigert und in auf die OU OU=Admins,OU=ORG-MEMBERS ein weiteres GPO, das die Aktion wieder erlaubt, hat die letzte vorrang. Die vererbung ist wie folgt:

AD-Site -> Domäne -> OU -> OU -> OU .....

Was Berechtigungen zur übernahme eines GPO's angeht, haben verweigerungen immer vorrang vor berechtigungen. Ist der User Admin zb in der Gruppe Admins, der die Berechtigung zur Übernahme des GPO Admins gewährt wurde, kann er die Einstellungen anwenden. Ist er allerdings gleichzeitig in einer Gruppe, der du den Zugriff explizit verweigert hast, kann er die Einstellungen nicht übernehmen. Aus diesem grund sollte man mit Verweigerungen extrem sparsam umgehen. Wenn du anstatt der Verweigerung nur der 2. Gruppe das übernehmen der GPO entziehst (also NICHT verweigerst), kann er trotz das der User in beiden Gruppen ist, das GPO anwenden.

Ich hoffe das war verständlich face-wink
Mitglied: plategt
plategt 22.05.2008 um 15:49:14 Uhr
Goto Top
Hallo zusammen,

@datasearch:
Ja war verständlich face-wink.

Vielen Dank für eure Hilfe. Habe es jetzt so aufgebaut wie im letzten Beitrag beschrieben und das funktioniert super. Jetzt kann ich Computer GPOs für die OU festlegenund den Benutzern auch GPOs zuteilen.

Bleibt nur noch ein Problem wie GPOs auf den Server angewandt werden. Aber dazu habe ich einen andere Beitrag erstellt:
GPOs auf PDC anwenden? PDC in OU nehmen?

Danke nochmal.

Gruß
plate