9
ähnliche Gruppenrichtlinien für verschiedene OUs anlegen
Hallo,
ich suche eine smarte Lösung für folgende Aufgabenstellung: Unsere Niederlassungen sind mit den dazugehörenden Benutzern, Gruppen und Computern in einzelnen OUs gruppiert. Nun besteht die Notwendigkeit, in jeder OU einer Gruppe aus dieser OU Rechte auf alle dort (und nur dort) vorhandenen Computern administrative Rechte zu geben. Bei einer einzelnen OU ist das ja recht einfach: Einfach ein neues GPO angelegt und über die eingeschränkten Gruppen die Benutzergruppe zu den lokalen Admins hinzufügen. Bei unseren knapp 20 Niederlassungen in 20 OUs ist das aber unpraktisch, da wir dafür ja auf diesem Wege 20 GPO-Objekte mit individuellen Anpassungen vornehmen müssten.
Wer kennt einen smarten Weg diese Problemstellung zu lösen?
PS: Clients: ca. 50% XP und 50% W2K.
ich suche eine smarte Lösung für folgende Aufgabenstellung: Unsere Niederlassungen sind mit den dazugehörenden Benutzern, Gruppen und Computern in einzelnen OUs gruppiert. Nun besteht die Notwendigkeit, in jeder OU einer Gruppe aus dieser OU Rechte auf alle dort (und nur dort) vorhandenen Computern administrative Rechte zu geben. Bei einer einzelnen OU ist das ja recht einfach: Einfach ein neues GPO angelegt und über die eingeschränkten Gruppen die Benutzergruppe zu den lokalen Admins hinzufügen. Bei unseren knapp 20 Niederlassungen in 20 OUs ist das aber unpraktisch, da wir dafür ja auf diesem Wege 20 GPO-Objekte mit individuellen Anpassungen vornehmen müssten.
Wer kennt einen smarten Weg diese Problemstellung zu lösen?
PS: Clients: ca. 50% XP und 50% W2K.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 113067
Url: https://administrator.de/contentid/113067
Printed on: April 18, 2024 at 15:04 o'clock
9 Comments
Latest comment
Du kannst die Gruppenrichtlinien auch auf Benutzergruppen anwenden.
http://www.gruppenrichtlinien.de/index.html?/HowTo/Richtlinien_pro_Benu ...
http://www.gruppenrichtlinien.de/index.html?/HowTo/Richtlinien_pro_Benu ...
Moin Moin
Vorweg:
Denn diese GPO einstellung schmeist sonst alle anderen einträge raus.
Du kannst doch die Anwendung der GPO auf Gruppen beschränken. Mach das mit deiner GPO und lass diese nur auf eine Gruppe von PCs los. Da kommen dan alle betroffenen PC rein und gut ist.
Diese GPO kannst du dann im AD entweder eine Ebene höher verknüpfen (solange Vererbung an ist) oder verknüpfst diese mehrfach mit den jeweils betroffenen OUs.
Gruß L.
Vorweg:
Einfach ein neues GPO angelegt und über die eingeschränkten Gruppen die Benutzergruppe zu den lokalen Admins hinzufügen
Das reicht nicht. Du must hier Alle lokalen Administratoren eintragen die auf der Maschine vorhanden sein sollen (z.b. auch die Domänen Administratoren)Denn diese GPO einstellung schmeist sonst alle anderen einträge raus.
Bei unseren knapp 20 Niederlassungen in 20 OUs ist das aber unpraktisch, da wir dafür ja auf diesem Wege 20 GPO-Objekte mit individuellen Anpassungen vornehmen müssten.
Wer kennt einen smarten Weg diese Problemstellung zu lösen?
Wer kennt einen smarten Weg diese Problemstellung zu lösen?
Du kannst doch die Anwendung der GPO auf Gruppen beschränken. Mach das mit deiner GPO und lass diese nur auf eine Gruppe von PCs los. Da kommen dan alle betroffenen PC rein und gut ist.
Diese GPO kannst du dann im AD entweder eine Ebene höher verknüpfen (solange Vererbung an ist) oder verknüpfst diese mehrfach mit den jeweils betroffenen OUs.
Gruß L.
Hallo!
Danke, ist schon klar, hatte ich nur in meinem Posting nicht explizit aufgeführt
Kann leider die Objekte nicht in eine OU verschieben, die müssen dort bleiben. Im Prinzip sieht es also (stark vereinfacht) so aus:
OU1 - PC1 - PC2 - User1 - User2
OU2 - PC3 - PC4 - User3 - User4
.
.
OU17 - PC98 - PC99 - User98 - User99
Wir müssen nun mit möglichst wenig Aufwand dafür sorgen, dass bestimmte User aus eienr OU auf allen Rechnern innerhalb dieser OU zusätzlich zu den Domainadmins etc. zu den lokalen Admins hinzugefügt werden. Momentan müssten wir das mit je einer Gruppenrichtlinie pro OU machen, innerhalb der diese Benutzer (oder wahlweise eine Gruppe von Benutzern) über die eingeschränkten Benutzer hinzugefügt werden.
Vorweg:
> Einfach ein neues GPO angelegt und über die
eingeschränkten Gruppen die Benutzergruppe zu den lokalen Admins
hinzufügen
Das reicht nicht. Du must hier Alle lokalen Administratoren
eintragen die auf der Maschine vorhanden sein sollen (z.b. auch die
Domänen Administratoren)
Denn diese GPO einstellung schmeist sonst alle anderen einträge
raus.
> Einfach ein neues GPO angelegt und über die
eingeschränkten Gruppen die Benutzergruppe zu den lokalen Admins
hinzufügen
Das reicht nicht. Du must hier Alle lokalen Administratoren
eintragen die auf der Maschine vorhanden sein sollen (z.b. auch die
Domänen Administratoren)
Denn diese GPO einstellung schmeist sonst alle anderen einträge
raus.
Danke, ist schon klar, hatte ich nur in meinem Posting nicht explizit aufgeführt
Du kannst doch die Anwendung der GPO auf Gruppen beschränken.
Mach das mit deiner GPO und lass diese nur auf eine Gruppe von PCs
los. Da kommen dan alle betroffenen PC rein und gut ist.
Diese GPO kannst du dann im AD entweder eine Ebene höher
verknüpfen (solange Vererbung an ist) oder verknüpfst diese
mehrfach mit den jeweils betroffenen OUs.
Mach das mit deiner GPO und lass diese nur auf eine Gruppe von PCs
los. Da kommen dan alle betroffenen PC rein und gut ist.
Diese GPO kannst du dann im AD entweder eine Ebene höher
verknüpfen (solange Vererbung an ist) oder verknüpfst diese
mehrfach mit den jeweils betroffenen OUs.
Kann leider die Objekte nicht in eine OU verschieben, die müssen dort bleiben. Im Prinzip sieht es also (stark vereinfacht) so aus:
OU1 - PC1 - PC2 - User1 - User2
OU2 - PC3 - PC4 - User3 - User4
.
.
OU17 - PC98 - PC99 - User98 - User99
Wir müssen nun mit möglichst wenig Aufwand dafür sorgen, dass bestimmte User aus eienr OU auf allen Rechnern innerhalb dieser OU zusätzlich zu den Domainadmins etc. zu den lokalen Admins hinzugefügt werden. Momentan müssten wir das mit je einer Gruppenrichtlinie pro OU machen, innerhalb der diese Benutzer (oder wahlweise eine Gruppe von Benutzern) über die eingeschränkten Benutzer hinzugefügt werden.
Hast du dir den Link oben mal durchgelesen?
Du kannst ganz einfach eine Richtlinie auf der Übergeordneten OU erstellen, und diese nur bestimmten Sicherheitsgruppen zuweisen.
Ich gehe mal davon aus dass deine OU1, OU2, OU3,.... nicht direkt im AD Stamm liegen sondern in einer übergeordneten OU.
(zB "Meine Firma") oder wasauchimmer.
Sollten deine OU1, OU2 usw direkt im AD-Stamm liegen, dann erstelle eine Übergeordnete OU und verschiebe deine OU1, OU2, dort hinein.
Du kannst ganz einfach eine Richtlinie auf der Übergeordneten OU erstellen, und diese nur bestimmten Sicherheitsgruppen zuweisen.
Ich gehe mal davon aus dass deine OU1, OU2, OU3,.... nicht direkt im AD Stamm liegen sondern in einer übergeordneten OU.
(zB "Meine Firma") oder wasauchimmer.
Sollten deine OU1, OU2 usw direkt im AD-Stamm liegen, dann erstelle eine Übergeordnete OU und verschiebe deine OU1, OU2, dort hinein.
Moin Moin
Darüberhinaus kanst du diese GPO auch für OU1 erstellen und diese dann mit OU2, OU3, ... verknüpfen, damit die dort auch wirkt.
Gruß L.
Zitat von @Kosh:
Hast du dir den Link oben mal durchgelesen?
Du kannst ganz einfach eine Richtlinie auf der Übergeordneten OU erstellen, und diese nur bestimmten Sicherheitsgruppen zuweisen.
Sollten deine OU1, OU2 usw direkt im AD-Stamm liegen, dann erstelle eine Übergeordnete OU und verschiebe deine OU1, OU2, dort hinein.
Das wäre Möglichkeit 1.Hast du dir den Link oben mal durchgelesen?
Du kannst ganz einfach eine Richtlinie auf der Übergeordneten OU erstellen, und diese nur bestimmten Sicherheitsgruppen zuweisen.
Sollten deine OU1, OU2 usw direkt im AD-Stamm liegen, dann erstelle eine Übergeordnete OU und verschiebe deine OU1, OU2, dort hinein.
Darüberhinaus kanst du diese GPO auch für OU1 erstellen und diese dann mit OU2, OU3, ... verknüpfen, damit die dort auch wirkt.
Gruß L.
Hallo,
danke für Eure Geduld!
Eure Anleitung ist mir schon klar. Aber anscheinend habe ich noch ein Brett vor'm Kopf
Wie verhindere ich denn, dass alle Benutzer, die ich über diese Gruppenrichtlinie (entweder durch die Zuweisung zur darüberliegenden OU oder durch Verknüpfung mit den einzelnen OUs) zu den lokalen Administratoren hinzufüge überall zu den lokalen Administratoren hinzugefügt werden? Es soll ja jeweils nur der User aus einer OU nur in seiner eigenen OU (und nur dort!) lokaler Admin werden?
danke für Eure Geduld!
Eure Anleitung ist mir schon klar. Aber anscheinend habe ich noch ein Brett vor'm Kopf
Wie verhindere ich denn, dass alle Benutzer, die ich über diese Gruppenrichtlinie (entweder durch die Zuweisung zur darüberliegenden OU oder durch Verknüpfung mit den einzelnen OUs) zu den lokalen Administratoren hinzufüge überall zu den lokalen Administratoren hinzugefügt werden? Es soll ja jeweils nur der User aus einer OU nur in seiner eigenen OU (und nur dort!) lokaler Admin werden?
In dem du eine Sicherheitsgruppe im AD erstellst (zB "AdminUser") und diesen dann in den Sicherheitseinstellungen auf der Übergeordneten OU für genau diese eine Gruppenrichtlinie das Recht "Gruppenrichtlinie übernehmen gibst", und den anderen Usern das Recht auf diese Gruppenrichtlinie verweigerst.
Damit wird diese GPO auf alle User in den Untergeordneten OU's angewendet, welche Mitglied der AD-Gruppe "AdminUser" sind.
Eine bebilderte Anleitung findest du unter den von mir schon angegebenen Link, unter dem Abschnitt
"Die 2te Möglichkeit bieten Sicherheitsberechtigungen die sich für jede Gruppenrichtlinie separat konfigurieren lassen und man belässt die Benutzer/Computerkonten an der Stelle/in der OU wo sie schon sind."
Damit wird diese GPO auf alle User in den Untergeordneten OU's angewendet, welche Mitglied der AD-Gruppe "AdminUser" sind.
Eine bebilderte Anleitung findest du unter den von mir schon angegebenen Link, unter dem Abschnitt
"Die 2te Möglichkeit bieten Sicherheitsberechtigungen die sich für jede Gruppenrichtlinie separat konfigurieren lassen und man belässt die Benutzer/Computerkonten an der Stelle/in der OU wo sie schon sind."
Moin
Aber wie dem auch sei: Wenn du die Rechte pro OU setzen möchtest must du pro OU eine eigene GPO erstellen.
Gruß L.
Es soll ja jeweils nur der User aus einer OU nur in seiner eigenen OU (und nur dort!) lokaler Admin werden?
Warum denn das. Entweder können die Jungs Clients administrieren (dann ist alles Super) oder nicht (dann gib ihnen keine Rechte).Aber wie dem auch sei: Wenn du die Rechte pro OU setzen möchtest must du pro OU eine eigene GPO erstellen.
Gruß L.
> Es soll ja jeweils nur der User aus einer OU nur in seiner
eigenen OU (und nur dort!) lokaler Admin werden?
Warum denn das. Entweder können die Jungs Clients administrieren
(dann ist alles Super) oder nicht (dann gib ihnen keine Rechte).
eigenen OU (und nur dort!) lokaler Admin werden?
Warum denn das. Entweder können die Jungs Clients administrieren
(dann ist alles Super) oder nicht (dann gib ihnen keine Rechte).
Ganz einfach: Bei den OUs handelt es sich um einzelne Niederlassungen und pro Niderlassung soll es einen User geben, der administrative Arbeiten auf den Rechnern seiner Niederlassungen (un nur dort!) durchführen können soll.
Aber wie dem auch sei: Wenn du die Rechte pro OU setzen möchtest
must du pro OU eine eigene GPO erstellen.
must du pro OU eine eigene GPO erstellen.
Genau das war meine Befürchtung.......
