5
Simple Active Directory Strukturierung
Hallo zusammen,
also wir machen für die Schule mit ein paar Leuten eine Gruppenarbeit zum Thema Active Directory, bei dem wir ein wenig das Active Directory kennen lernen sollen.
Wir haben uns schon im Internet durch viele Tutorials gelesen, sind uns aber nicht ganz im klaren, wie wir unser AD strukturieren sollen/müssen … ?!
Also wir haben 6 Gruppentische mit à 4 Computern/Benutzern. Den 4 Benutzern an den Gruppentischen sollen jeweils über GPOs unterschiedliche Rechte eingeräumt werden, den einen mehr, den anderen weniger. Welche sind ja auch erst einmal egal.
Wie strukturieren wir nun am besten?! Machen wir für jeden Gruppentisch eine OU, wo wir dann jeweils die 4 Computer und 4 Benutzer reinpacken? Also so:
[OU] Gruppe 1
- PC1
- PC2
- PCx
- User1
- User 2
- User X
- …
[OU] Gruppe 2
- PC 5
- User 5
- …
Oder packen wir die die 4 Computer und 4 Benutzer jeweils in eine Gruppe, die dann wieder in einer OU ist? Also so:
[OU] Gruppe 1
- [Gruppe] Computer
- PC 1
- PC 2
- PC 3
- [Gruppe] Benutzer
- User 1
- User 2
- User 3
[OU] Gruppe 2
- [Gruppe] Computer
- PC 4
- PC 5
- PC 6
- [Gruppe] Benutzer
- User 7
- User 8
- User 9
Welche Struktur könnt ihr mir empfehlen?! Bzw. machen meine Vorschläge überhaupt Sinn?
Gruß und vielen Dank im Voraus,
yiha!
also wir machen für die Schule mit ein paar Leuten eine Gruppenarbeit zum Thema Active Directory, bei dem wir ein wenig das Active Directory kennen lernen sollen.
Wir haben uns schon im Internet durch viele Tutorials gelesen, sind uns aber nicht ganz im klaren, wie wir unser AD strukturieren sollen/müssen … ?!
Also wir haben 6 Gruppentische mit à 4 Computern/Benutzern. Den 4 Benutzern an den Gruppentischen sollen jeweils über GPOs unterschiedliche Rechte eingeräumt werden, den einen mehr, den anderen weniger. Welche sind ja auch erst einmal egal.
Wie strukturieren wir nun am besten?! Machen wir für jeden Gruppentisch eine OU, wo wir dann jeweils die 4 Computer und 4 Benutzer reinpacken? Also so:
[OU] Gruppe 1
- PC1
- PC2
- PCx
- User1
- User 2
- User X
- …
[OU] Gruppe 2
- PC 5
- User 5
- …
Oder packen wir die die 4 Computer und 4 Benutzer jeweils in eine Gruppe, die dann wieder in einer OU ist? Also so:
[OU] Gruppe 1
- [Gruppe] Computer
- PC 1
- PC 2
- PC 3
- [Gruppe] Benutzer
- User 1
- User 2
- User 3
[OU] Gruppe 2
- [Gruppe] Computer
- PC 4
- PC 5
- PC 6
- [Gruppe] Benutzer
- User 7
- User 8
- User 9
Welche Struktur könnt ihr mir empfehlen?! Bzw. machen meine Vorschläge überhaupt Sinn?
Gruß und vielen Dank im Voraus,
yiha!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 115181
Url: https://administrator.de/contentid/115181
Printed on: April 19, 2024 at 09:04 o'clock
5 Comments
Latest comment
Hallo,
die GPOs wirken auf die OUs. Wenn du also für jeden Gruppentisch eine OU einrichtest und alle da rein packst haben auch alle gleiche Richtlinien. Oder?
Gruß
Filipp
die GPOs wirken auf die OUs. Wenn du also für jeden Gruppentisch eine OU einrichtest und alle da rein packst haben auch alle gleiche Richtlinien. Oder?
Gruß
Filipp
trenne Pcs und User in einzelne OUs die nicht innerhalb einer OU sind,somit kannst du Richtlinien für PCs setzen und für User getrennt ohne Gefahr zu laufen,dass GPOs für User auch PCs betreffen.
Bedenke auch immer,dass die übergeordnete OU mit ihren GPOs immer greift auf den untergeordneten OUs.
Wenn du Visio haben solltest versuche die GPOs mit den OUs zu koordinieren und zu planen.
Wenn nicht nimm Papier und stift zur Hand und bedenke dabei,welche GPO du auf welcher OU greifen lassen willst,so wirst du sicher und schnell zum Ziel kommen.
Bedenke auch immer,dass die übergeordnete OU mit ihren GPOs immer greift auf den untergeordneten OUs.
Wenn du Visio haben solltest versuche die GPOs mit den OUs zu koordinieren und zu planen.
Wenn nicht nimm Papier und stift zur Hand und bedenke dabei,welche GPO du auf welcher OU greifen lassen willst,so wirst du sicher und schnell zum Ziel kommen.
Hallo,
erstmal finde ich es toll das Ihr sowas in der Schule macht.
Ich kann meinen Vorrednern nur Recht geben und PCs und Users voneinander trennen.
Wir haben unsere Domäne so strukturiert das eine OU gibt mit allen Rechnern.
Und für jede Abteilung im Unternehmen eine weitere OU mit den jeweiligen Usern.
Dies ist so gemacht worden, damit man weniger Verwaltungsaufwand hat, falls die PCs
an einem Standort abgebaut und am anderen wieder aufgebaut werden.
User bleiben ja meistens in der gleichen Abteilung und da braucht man im AD nichts zu ändern.
Berechtigungen würde ich über Gruppen anlegen.
In der Gruppe "Administratoren, all diejenigen die auf allen Clients und Servern in der Domäne Adminrechte haben sollen.
In die Gruppe "Benutzer" kommen die User die sogut wie keine Rechte haben.
Über die Gruppenrichtlinien kann man Funktionen eines Rechners einschrenken, freigeben und einstellen.
Genau das gleiche kann ich für einen User machen.
Berechtigungen, wie du sich glaube ich meinstest, kann ich damit nicht so einfach handhaben.
Ich hoffe ich konnte dir ein wenig weiterhelfen.
Gruß
Moesch
erstmal finde ich es toll das Ihr sowas in der Schule macht.
Ich kann meinen Vorrednern nur Recht geben und PCs und Users voneinander trennen.
Wir haben unsere Domäne so strukturiert das eine OU gibt mit allen Rechnern.
Und für jede Abteilung im Unternehmen eine weitere OU mit den jeweiligen Usern.
Dies ist so gemacht worden, damit man weniger Verwaltungsaufwand hat, falls die PCs
an einem Standort abgebaut und am anderen wieder aufgebaut werden.
User bleiben ja meistens in der gleichen Abteilung und da braucht man im AD nichts zu ändern.
Berechtigungen würde ich über Gruppen anlegen.
In der Gruppe "Administratoren, all diejenigen die auf allen Clients und Servern in der Domäne Adminrechte haben sollen.
In die Gruppe "Benutzer" kommen die User die sogut wie keine Rechte haben.
Über die Gruppenrichtlinien kann man Funktionen eines Rechners einschrenken, freigeben und einstellen.
Genau das gleiche kann ich für einen User machen.
Berechtigungen, wie du sich glaube ich meinstest, kann ich damit nicht so einfach handhaben.
Ich hoffe ich konnte dir ein wenig weiterhelfen.
Gruß
Moesch
Hallo nochmal,
erst einmal Danke für die schnellen Antworten. Ihr habt mir schon sehr geholfen, aber ich befürchte, ich habe noch ein, zwei Verständnisfragen ...
Angenommen ich mache die Strukturierung so, wie moesch es vorgeschlagen hat, und erstelle Gruppenrichtlinien für die OU "Abteilung/Gruppe1", über die ich z.B. den Task-Manager deaktiviere, wird das ja auf alle Gruppen/User innerhalb der OU angewandt, oder?!
Wie kann ich dann innerhalb der OU eine Gruppe "Administratoren" machen, die trotzdem alle Rechte hat, und dann z.B. den Task-Manager nutzen kann?!
Weiterhin würde es mich nochmal interessieren, wie ich am leichtesten/besten bestimmten Benutzern z.B. den Zugriff auf Excel verbieten kann. Nur aus Interesse, wie gesagt ich bin ziemlicher Anfänger auf dem Gebiet, finde es aber echt interessant.
Danke und viele Grüße!
erst einmal Danke für die schnellen Antworten. Ihr habt mir schon sehr geholfen, aber ich befürchte, ich habe noch ein, zwei Verständnisfragen ...
Angenommen ich mache die Strukturierung so, wie moesch es vorgeschlagen hat, und erstelle Gruppenrichtlinien für die OU "Abteilung/Gruppe1", über die ich z.B. den Task-Manager deaktiviere, wird das ja auf alle Gruppen/User innerhalb der OU angewandt, oder?!
Wie kann ich dann innerhalb der OU eine Gruppe "Administratoren" machen, die trotzdem alle Rechte hat, und dann z.B. den Task-Manager nutzen kann?!
Weiterhin würde es mich nochmal interessieren, wie ich am leichtesten/besten bestimmten Benutzern z.B. den Zugriff auf Excel verbieten kann. Nur aus Interesse, wie gesagt ich bin ziemlicher Anfänger auf dem Gebiet, finde es aber echt interessant.
Danke und viele Grüße!
Zitat von @yihayiha:
Hallo nochmal,
erst einmal Danke für die schnellen Antworten. Ihr habt mir
schon sehr geholfen, aber ich befürchte, ich habe noch ein, zwei
Verständnisfragen ...
Angenommen ich mache die Strukturierung so, wie moesch es
vorgeschlagen hat, und erstelle Gruppenrichtlinien für die OU
"Abteilung/Gruppe1", über die ich z.B. den Task-Manager
deaktiviere, wird das ja auf alle Gruppen/User innerhalb der OU
angewandt, oder?!
Ja,wenn du für die OU Gruppe1 eine GPO festlegst(verknüpfst),die den Taskmanager verhindert greift diese GPO auf alle Objekte(User/PCs) innerhalb dieser OUHallo nochmal,
erst einmal Danke für die schnellen Antworten. Ihr habt mir
schon sehr geholfen, aber ich befürchte, ich habe noch ein, zwei
Verständnisfragen ...
Angenommen ich mache die Strukturierung so, wie moesch es
vorgeschlagen hat, und erstelle Gruppenrichtlinien für die OU
"Abteilung/Gruppe1", über die ich z.B. den Task-Manager
deaktiviere, wird das ja auf alle Gruppen/User innerhalb der OU
angewandt, oder?!
Wie kann ich dann innerhalb der OU eine Gruppe
"Administratoren" machen, die trotzdem alle Rechte hat, und
dann z.B. den Task-Manager nutzen kann?!
Du darfst hier jetzt nicht OUs,GPOs und Gruppen nicht durcheinander bringen."Administratoren" machen, die trotzdem alle Rechte hat, und
dann z.B. den Task-Manager nutzen kann?!
In einer OU sind Objekte/User/weitere OUs. Eine GPO verknüpfst du mit einer OU und definierst so,wer was in welcher OU darf oder auch nicht darf,daraus kann man ableiten das eine OU eine Gruppe ist,was nur bedingt stimmt,weil eine OU nur zum Organisieren von Gruppen/Abteilungen/PCs/Standorten da ist.
Eine Gruppenzugehörigkeit ist wieder etwas völlig anderes und diese werden auch wieder ganz anders definiert wie OUs,auch wenn es für einen Aussenstehenden oft den selben Anschein hat.
Wenn jetzt in der OU Gruppe1 die User Hans,Harry und Jochen sind und du imt einer GPO verhinderst das der Taskmanager genutzt werden darf,wiederum aber Harry in die Gruppe der Administratoren aufnimmst,gelten für Harry die Richtlinien der GPO genauso wie für die anderen,da Harry wiederum aber in der Gruppe der Administratoren ist,kann Harry den Taskmanager öffnen.
Das würde wiederum aber dann nicht für Harry zutreffen,wenn du ein Fixes Profil festlegst und dort weitere Einstellungen vordefinierst,dann gelten für Harry die in dem Profil festgelegten Eigenschaften.
Weiterhin würde es mich nochmal interessieren, wie ich am
leichtesten/besten bestimmten Benutzern z.B. den Zugriff auf Excel
verbieten kann. Nur aus Interesse, wie gesagt ich bin ziemlicher
Anfänger auf dem Gebiet, finde es aber echt interessant.
Danke und viele Grüße!
leichtesten/besten bestimmten Benutzern z.B. den Zugriff auf Excel
verbieten kann. Nur aus Interesse, wie gesagt ich bin ziemlicher
Anfänger auf dem Gebiet, finde es aber echt interessant.
Danke und viele Grüße!
Wenn du Jetzt z.B nicht willst das das eine bestimmte Gruppe Excel nutzen kann,dann legst du es über die NTFS Rechte fest,das heisst in der OU Gruppe1 hast du Harry,Jochen und Willy und du möchtest,dass Willy auf Excel zugreifen darf,aber Jochen und Harry nicht,dann kannst du entweder in den NTFS Berechtigungen von der Excel.exe Separat jeden Einzelnen User festlegen und hinzufügen und dem dort die entsprechenden Rechte nehmen oder geben.
Du kannst aber auch zwei Neue Sicherheitsgruppe erstellen die eine nennst du Excel_ja und die andere nennst due Excel_nein,dann musst du Harry und Jochen zur Gruppe Excel_nein hinzufügen und Willy zur Gruppe Excel_ja hinzufügen und in den NTFS Berechtigungen der Excel.exe fügst du nur noch die beiden Gruppen hinzu und vergibst der jeweiligen Gruppe die entsprechenden Rechte,die ein Ausführen erlauben oder auch verbieten.
