Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

ähnliche Gruppenrichtlinien für verschiedene OUs anlegen

Frage Microsoft Windows Server

Mitglied: fischkopf

fischkopf (Level 1) - Jetzt verbinden

02.04.2009, aktualisiert 11:59 Uhr, 4600 Aufrufe, 9 Kommentare

Hallo,
ich suche eine smarte Lösung für folgende Aufgabenstellung: Unsere Niederlassungen sind mit den dazugehörenden Benutzern, Gruppen und Computern in einzelnen OUs gruppiert. Nun besteht die Notwendigkeit, in jeder OU einer Gruppe aus dieser OU Rechte auf alle dort (und nur dort) vorhandenen Computern administrative Rechte zu geben. Bei einer einzelnen OU ist das ja recht einfach: Einfach ein neues GPO angelegt und über die eingeschränkten Gruppen die Benutzergruppe zu den lokalen Admins hinzufügen. Bei unseren knapp 20 Niederlassungen in 20 OUs ist das aber unpraktisch, da wir dafür ja auf diesem Wege 20 GPO-Objekte mit individuellen Anpassungen vornehmen müssten.

Wer kennt einen smarten Weg diese Problemstellung zu lösen?

PS: Clients: ca. 50% XP und 50% W2K.
Mitglied: Kosh
02.04.2009 um 13:15 Uhr
Du kannst die Gruppenrichtlinien auch auf Benutzergruppen anwenden.
http://www.gruppenrichtlinien.de/index.html?/HowTo/Richtlinien_pro_Benu ...
Bitte warten ..
Mitglied: Logan000
02.04.2009 um 13:17 Uhr
Moin Moin

Vorweg:
Einfach ein neues GPO angelegt und über die eingeschränkten Gruppen die Benutzergruppe zu den lokalen Admins hinzufügen
Das reicht nicht. Du must hier Alle lokalen Administratoren eintragen die auf der Maschine vorhanden sein sollen (z.b. auch die Domänen Administratoren)
Denn diese GPO einstellung schmeist sonst alle anderen einträge raus.

Bei unseren knapp 20 Niederlassungen in 20 OUs ist das aber unpraktisch, da wir dafür ja auf diesem Wege 20 GPO-Objekte mit individuellen Anpassungen vornehmen müssten.
Wer kennt einen smarten Weg diese Problemstellung zu lösen?

Du kannst doch die Anwendung der GPO auf Gruppen beschränken. Mach das mit deiner GPO und lass diese nur auf eine Gruppe von PCs los. Da kommen dan alle betroffenen PC rein und gut ist.
Diese GPO kannst du dann im AD entweder eine Ebene höher verknüpfen (solange Vererbung an ist) oder verknüpfst diese mehrfach mit den jeweils betroffenen OUs.

Gruß L.
Bitte warten ..
Mitglied: fischkopf
03.04.2009 um 09:17 Uhr
Hallo!

Vorweg:
> Einfach ein neues GPO angelegt und über die
eingeschränkten Gruppen die Benutzergruppe zu den lokalen Admins
hinzufügen
Das reicht nicht. Du must hier Alle lokalen Administratoren
eintragen die auf der Maschine vorhanden sein sollen (z.b. auch die
Domänen Administratoren)
Denn diese GPO einstellung schmeist sonst alle anderen einträge
raus.

Danke, ist schon klar, hatte ich nur in meinem Posting nicht explizit aufgeführt

Du kannst doch die Anwendung der GPO auf Gruppen beschränken.
Mach das mit deiner GPO und lass diese nur auf eine Gruppe von PCs
los. Da kommen dan alle betroffenen PC rein und gut ist.
Diese GPO kannst du dann im AD entweder eine Ebene höher
verknüpfen (solange Vererbung an ist) oder verknüpfst diese
mehrfach mit den jeweils betroffenen OUs.

Kann leider die Objekte nicht in eine OU verschieben, die müssen dort bleiben. Im Prinzip sieht es also (stark vereinfacht) so aus:

OU1 - PC1 - PC2 - User1 - User2
OU2 - PC3 - PC4 - User3 - User4
.
.
OU17 - PC98 - PC99 - User98 - User99


Wir müssen nun mit möglichst wenig Aufwand dafür sorgen, dass bestimmte User aus eienr OU auf allen Rechnern innerhalb dieser OU zusätzlich zu den Domainadmins etc. zu den lokalen Admins hinzugefügt werden. Momentan müssten wir das mit je einer Gruppenrichtlinie pro OU machen, innerhalb der diese Benutzer (oder wahlweise eine Gruppe von Benutzern) über die eingeschränkten Benutzer hinzugefügt werden.
Bitte warten ..
Mitglied: Kosh
03.04.2009 um 09:41 Uhr
Hast du dir den Link oben mal durchgelesen?

Du kannst ganz einfach eine Richtlinie auf der Übergeordneten OU erstellen, und diese nur bestimmten Sicherheitsgruppen zuweisen.

Ich gehe mal davon aus dass deine OU1, OU2, OU3,.... nicht direkt im AD Stamm liegen sondern in einer übergeordneten OU.
(zB "Meine Firma") oder wasauchimmer.

Sollten deine OU1, OU2 usw direkt im AD-Stamm liegen, dann erstelle eine Übergeordnete OU und verschiebe deine OU1, OU2, dort hinein.
Bitte warten ..
Mitglied: Logan000
03.04.2009 um 10:00 Uhr
Moin Moin

Zitat von Kosh:
Hast du dir den Link oben mal durchgelesen?
Du kannst ganz einfach eine Richtlinie auf der Übergeordneten OU erstellen, und diese nur bestimmten Sicherheitsgruppen zuweisen.
....
Sollten deine OU1, OU2 usw direkt im AD-Stamm liegen, dann erstelle eine Übergeordnete OU und verschiebe deine OU1, OU2, dort hinein.
Das wäre Möglichkeit 1.

Darüberhinaus kanst du diese GPO auch für OU1 erstellen und diese dann mit OU2, OU3, ... verknüpfen, damit die dort auch wirkt.

Gruß L.
Bitte warten ..
Mitglied: fischkopf
03.04.2009 um 10:47 Uhr
Hallo,
danke für Eure Geduld!

Eure Anleitung ist mir schon klar. Aber anscheinend habe ich noch ein Brett vor'm Kopf

Wie verhindere ich denn, dass alle Benutzer, die ich über diese Gruppenrichtlinie (entweder durch die Zuweisung zur darüberliegenden OU oder durch Verknüpfung mit den einzelnen OUs) zu den lokalen Administratoren hinzufüge überall zu den lokalen Administratoren hinzugefügt werden? Es soll ja jeweils nur der User aus einer OU nur in seiner eigenen OU (und nur dort!) lokaler Admin werden?
Bitte warten ..
Mitglied: Kosh
03.04.2009 um 12:31 Uhr
In dem du eine Sicherheitsgruppe im AD erstellst (zB "AdminUser") und diesen dann in den Sicherheitseinstellungen auf der Übergeordneten OU für genau diese eine Gruppenrichtlinie das Recht "Gruppenrichtlinie übernehmen gibst", und den anderen Usern das Recht auf diese Gruppenrichtlinie verweigerst.

Damit wird diese GPO auf alle User in den Untergeordneten OU's angewendet, welche Mitglied der AD-Gruppe "AdminUser" sind.

Eine bebilderte Anleitung findest du unter den von mir schon angegebenen Link, unter dem Abschnitt
"Die 2te Möglichkeit bieten Sicherheitsberechtigungen die sich für jede Gruppenrichtlinie separat konfigurieren lassen und man belässt die Benutzer/Computerkonten an der Stelle/in der OU wo sie schon sind."
Bitte warten ..
Mitglied: Logan000
03.04.2009 um 13:09 Uhr
Moin

Es soll ja jeweils nur der User aus einer OU nur in seiner eigenen OU (und nur dort!) lokaler Admin werden?
Warum denn das. Entweder können die Jungs Clients administrieren (dann ist alles Super) oder nicht (dann gib ihnen keine Rechte).

Aber wie dem auch sei: Wenn du die Rechte pro OU setzen möchtest must du pro OU eine eigene GPO erstellen.

Gruß L.
Bitte warten ..
Mitglied: fischkopf
04.04.2009 um 05:49 Uhr
> Es soll ja jeweils nur der User aus einer OU nur in seiner
eigenen OU (und nur dort!) lokaler Admin werden?
Warum denn das. Entweder können die Jungs Clients administrieren
(dann ist alles Super) oder nicht (dann gib ihnen keine Rechte).

Ganz einfach: Bei den OUs handelt es sich um einzelne Niederlassungen und pro Niderlassung soll es einen User geben, der administrative Arbeiten auf den Rechnern seiner Niederlassungen (un nur dort!) durchführen können soll.

Aber wie dem auch sei: Wenn du die Rechte pro OU setzen möchtest
must du pro OU eine eigene GPO erstellen.

Genau das war meine Befürchtung.......
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Server
gelöst Gruppenrichtlinien-Vorlage Office 2013 auf einem DC 2003 (5)

Frage von bluepython zum Thema Windows Server ...

Batch & Shell
Printerport mit Powershell anlegen (12)

Frage von Druide83 zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...