Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Verständnisfrage Gruppenrichtlinien mit Gruppen steuern

Mitglied: TuXHunt3R

TuXHunt3R (Level 3) - Jetzt verbinden

12.11.2013, aktualisiert 17.11.2013, 1984 Aufrufe, 5 Kommentare

Hallo ans Forum


Ich konnte mich bisher beim Aufbau und der Konfiguration von GPO-Objekten immer so "durchmogeln", dass ich alle User- oder Computer-Objekte, für die eine bestimmte GPO greifen soll, in eine OU gepackt habe und das GPO-Objekt dort verknüpft habe oder ein GPO-Objekt auf mehrere OUs verknüpft habe.

Meine Idee ist nun, das Ganze per Gruppen zu steuern, als Beispiel: Das GPO-Objekt "GPO_001" wird nur angewendet, wenn der Benutzer in der Gruppe "Group_GPO_001" Mitglied ist. Zu jedem GPO-Objekt soll es eine eigene Gruppe geben. Nur wenn ein Benutzer oder ein Computer in dieser Gruppe ist, soll die Richtlinie angewandt werden.

Dafür gibt es ja die Sicherheitsfilterung bei jedem GPO Objekt, wo man die Authentifizierten Benutzer rausnehmen kann und eine eigene Gruppe einpflegen kann. Meine genaue Frage ist nun: Könnte ich theoretisch einfach alle GPO-Objekte auf der Domänen-Ebene verknüpfen (habe nur eine Domäne), für jedes GPO-Objekt eine Gruppe machen, diese mit Computer- oder User-Objekten abfüllen und in der Sicherheitsfilterung des GPO-Objekts eintragen? Damit wäre es dann ja komplett egal, in welcher Organisationseinheit ein Objekt ist. Die Entscheidung, ob ein GPO-Objekt greift oder nicht wird anhand der Gruppe gefällt und nicht, in welcher OU der betroffene User oder der betroffene Computer liegt.

Liege ich hier richtig oder denke ich komplett falsch? Wenn ich hier richtig liege, gibt es Gründe, die dagegen sprechen, sämtliche GPOs so zu handeln?
Was ich mir vorstellen könnte: Ich will für einige Benutzer den Proxy im IE eintragen. Ich mache also zwei GPO-Objekte (1x Proxy drin, 1x Proxy draussen). Für jedes der beiden GPO-Objekte mache ich eine Gruppe. Ich trage den User aus Versehen in beiden Gruppen ein und weiss dadurch nicht, welche Einstellung nun gilt......
Evt. könnte es bei einem User mit vielen Gruppen dann ein Weilchen dauern, bis der Login durch ist......

Was ist eure Meinung dazu? Ich verspreche mir davon, die GPOs viel feiner abstufen zu können, ohne dass ich gleich die sorgsam aufgebaute Struktur mit Abteilungen, etc. auseinander reissen muss.

Ach ja, das Ganze würde eine 2012er Domäne betreffen mit mehrheitlich XP-Clients (und einigen 7er-Rechnern). Wechsel auf 8.1 ist geplant.

Gruss
TuXHunT3R

Mitglied: certifiedit.net
13.11.2013 um 00:00 Uhr
Hallo Tux,

wenn ich dich richtig verstanden habe: Ja, das ist das dahinterliegende Design. Ja, um das fein abstufen geht es dabei. Nein, es gibt wohl keinen Grund es nicht so zu machen.

Schönen Abend,

Christian
Bitte warten ..
Mitglied: kontext
13.11.2013, aktualisiert um 07:32 Uhr
Guten Morgen TuXHunt3R,

dein GPO-Design (mittels Gruppen) kannst du auf jeden Fall machen.
Ich würde es jedoch nicht machen (der MCSA spricht aus mir), weil:

Je nachdem wie viele GPO's du hast wird die Sache ein wenig unübersichtlich ...
... vor allem wenn man keine "richtige" Namenskonvention für GPO's hat
... da kann es schnell zu Problemen kommen

Daher würde ich immer die GPO's auf die jeweilige OU legen (und / oder trotzdem noch filtern) ...
... denn wenn man eine Übersicht aller GPO's haben will, kann man den Punkt Gruppenrichtlinienobjekte öffnen

Also wie du siehst, geht es hier eigentlich nur um Design-Technische und Best-Practice
Ach ja - der Login verzögert sich wahrscheinlich nicht merkbar ...
... anders sieht die Geschichte aus, wenn du viele WMI Filter für GPO's im Einsatz hast

Gruß
kontext
Bitte warten ..
Mitglied: certifiedit.net
13.11.2013 um 08:20 Uhr
Guten Morgen @kontext,

natürlich kommt es auf die Namenskonventionen an. Wenn deine GPOs nur a1-z100 lauten kannst du von der Nachvollziehbarkeit her auch direkt auch gleich wieder User direkt einpflegen.

Gruß,

Christian
Bitte warten ..
Mitglied: kontext
13.11.2013, aktualisiert um 09:55 Uhr
Zitat von certifiedit.net:
natürlich kommt es auf die Namenskonventionen an. Wenn deine GPOs nur a1-z100 lauten kannst du von der Nachvollziehbarkeit
her auch direkt auch gleich wieder User direkt einpflegen.
Daher je auch mein Hinweis bzgl. Namenskonvention und bzgl. Best-Practice
Ich selbst verwalte um die 100 GPO's und das sogar Microsoft Best-Practice empfohlen (weiß ich auch erst seit kurzem )

Jedoch muss man den TO auch dahingehend informieren, da es ja möglich sein könnte, dass er dies nicht weiß bzw. vergessen hat

Gruß
kontext
Bitte warten ..
Mitglied: TuXHunt3R
17.11.2013 um 22:43 Uhr
Tag zusammen

Danke für die Antworten, meine Frage ist damit beantwortet.

Je nachdem wie viele GPO's du hast wird die Sache ein wenig unübersichtlich ...
... vor allem wenn man keine "richtige" Namenskonvention für GPO's hat

Das ist mir auch klar, diese müsste ich natürlich zuerst definieren.

Ich schliesse das Thema.

Gruss
TuXHunT3R
Bitte warten ..
Ähnliche Inhalte
Windows Tools

Dateiversionsverlauf über Gruppenrichtlinien steuern

Frage von KMUlifeWindows Tools

Hallo zusammen! Ich wollte mal nachfragen ob man den Dateiversionsverlauf in Windows 10 über die Gruppenrichtlinien steuern kann. Bis ...

Windows Server

Allgemeine Verständnisfrage zu Gruppenrichtlinien

Frage von AndreasOCWindows Server2 Kommentare

Hallo zusammen, wenn ich einer OU eine Gruppenrichtlinie zuweise und die darin liegenden PCs nach mehreren Wochen in eine ...

LAN, WAN, Wireless

Verständnisfrage Unifi Controller WLAN-Gruppen

gelöst Frage von CometcolaLAN, WAN, Wireless5 Kommentare

Hallo zusammen, ich war eben gerade etwas am stöbern, was die ganzen Updates für den Unifi-Controller mitgebracht haben. Jetzt ...

Windows Netzwerk

Gruppenrichtlinien zuweisen: Auch an Gruppen möglich?

gelöst Frage von Thomas-RWindows Netzwerk9 Kommentare

Hallo zusammen, ich habe mal wieder eine Frage. Seit einiger Zeit beschäftige ich mich mit Gruppenrichtlinien und deren Anwendungsmöglichkeiten. ...

Neue Wissensbeiträge
Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 14 StundenWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Sicherheit
Microsoft und Skype: Sicherheit
Information von kgborn vor 14 StundenSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Datenschutz

Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

Information von Penny.Cilin vor 1 TagDatenschutz8 Kommentare

Hallo, passend zum Thema Ablösung LIMUX in München ein Beitrag bei Heise (siehe Link folgend). Behörden ignorieren Sicherheitsbedenken gegenüber ...

Sicherheit
Information Security Hub Munich airport
Information von brammer vor 1 TagSicherheit

Hallo, Neues Center für Cyber Kriminalität am Münchener Flughafen brammer

Heiß diskutierte Inhalte
Exchange Server
Exchange Postfach Einbindung Betriebs-rat -Arzt, Bewerbung .
gelöst Frage von YellowcakeExchange Server23 Kommentare

Hey ich habe da mal eine Denksport Aufgabe bekommen Genutzt wird ein Exchange Server 2010. hier gibt es den ...

Windows Server
Downgrade von Windows Server 2016 auf 2012 - Wie vorgehen?
Frage von EstefaniaWindows Server13 Kommentare

Guten Ich habe eine Frage an Erfahrene unter euch. Durch einen InPlace Upgrade wurde Windows Server 2012 auf die ...

Datenschutz
Telematikinfrastruktur Erfahrungsaustausch
Frage von MOS6581Datenschutz12 Kommentare

Moin, unter meinen Kunden befinden sich auch einige Ärzte, welche sich künftig mit der Telematikinfrastruktur-Geschichte der Gematik herumärgern dürfen. ...

Windows Server
Delgegierte OU via RDP verwalten - Objektverwaltung zuweisen
gelöst Frage von TOAOICEWindows Server12 Kommentare

Hallo, ich habe folgendes Problem. Ich möchte in meiner Domäne (Server2016), einer Gruppe (OUAdmin) Berechtigungen auf die OU Test ...