Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

GPOs den Benutzergruppen zuweisen?

Frage Microsoft Windows Server

Mitglied: plategt

plategt (Level 1) - Jetzt verbinden

09.05.2008, aktualisiert 22.05.2008, 8391 Aufrufe, 11 Kommentare

Hallo zusammen,

bin gerade dabei ein Active Directory einzurichten. Jedoch fehlt mir noch ein bisschen die Logik vom AD

Ich habe folgende Benutzergruppen (Standard eben):

Domänen-Admins
Domänen-Benutzer
Domänen-Gäste

(Und noch keine OUs außer den Standard OUs)

Nun gibt es eine globale GPO die auf Domänen-Ebene definiert ist. Zusätzlich möchte ich jetzt jeder, der drei Gruppen, noch eine GPO zuweisen.

Dafür fehlt mir jedoch noch der logische Ansatz.
Folgende Lösung würde warscheinlich funktionieren:

Eine neue OU mit drei "Unter-OUs" mit folgender Struktur erstellen:

- User GPOs
----- Domänen-Admins
----- Domänen-Benutzer
----- Domänen-Gäste

Jetzt für jede OU eine GPO definieren und dann die drei Gruppen in die entsprechenden OUs verschieben. Jedoch müsste ich dann die Benutzergruppen aus dem Ordner Users verschieben. Ist das so gedacht? Obwohl ich denke, dass es so funktionieren würde, bin ich mir nicht sicher ob dies der richtige Ansatz ist und der Logik des ADs entspricht.

Oder gibt es für diese Problemstellung eine "typischere" Konfiguration des ADs? Wie geht man mit sowas um?

Bin sehr gespannt welche Möglichkeiten es da gibt? (Ich glaube das AD ist ziemlich mächtig wenn man es denn mal richtig bedienen kann )

Vielen Dank im Voraus!

Gruß

plate
Mitglied: SarekHL
09.05.2008 um 06:05 Uhr
Also es ist durchaus eine Möglichkeit, das AD so aufzubauen, daß man Admins, Benutzer und Gäste in jeweils eine eigene OU steckt. Aber eben nur eine von vielen. Welche AD-Struktur bei Dir sinnvoll ist, hängt sehr von der Struktur Deines Betriebes ab. Vielleicht macht es mehr Sinn, die Benutzer nach Abteilungen oder nach Filialen zu gruppieren.

Aber zurück zur Überschrift Deiner Frage: Selbst wenn alle Benutzer in einer OU sind, kannst Du trotzdem für jede Gruppe eine eigene GPO erstellen. Der Schlüssel dazu sind die Berechtigungen, die Du unter Gruppenrichtlinie -> Eigenschaften -> Sicherheit findest. Wenn Du dort beispielsweise für die Gruppe "Gäste" bei der Berechtigung "Gruppenrichtlinie übernehmen" auf "Verweigern" gehst, gilt diese Richtlinie für die Mitglieder dieser Gruppe nicht.
Bitte warten ..
Mitglied: plategt
09.05.2008 um 13:35 Uhr
Danke erstmal für die Antwort.

Gibt es auch die Möglichkeit die GPO andersrum zu übernehmen. Also nicht verweigern sondern erlauben.

Sonst müsste ich ja wenn in einer OU 40 Elemente sind bei 39 Elementen verweigern einstellen und nur bei einem nicht. Hier ist es ja besser wenn ich nur angebe wer die GPO übernehmen soll.

Für die Struktur meines ADs ist noch nichts vorgesehen. Deswegen frag ich ja um es von Anfang richtig aufzubauen. In der Regel brauche ich gar keine OUs.

Im Moment ist nämlich nur folgendes in der Domäne.

1 Windows 2003 Server
4 Clients

1 Benutzer in der Gruppe "Domänen-Admins"
2 Benutzer in der Gruppe "Domänen-Benutzer"
1 Benutzer inder Gruppe "Domänen-Gäste"

Deswegen bin ich nicht an Standorte oder Abteilungen gebunden.

Gruß

plategt
Bitte warten ..
Mitglied: SarekHL
09.05.2008 um 16:01 Uhr
Gibt es auch die Möglichkeit die GPO andersrum zu übernehmen. Also nicht verweigern sondern erlauben.
Sonst müsste ich ja wenn in einer OU 40 Elemente sind bei 39 Elementen verweigern

Was für 40 Elemente meinst Du denn? Ich denke, Du hast nur vier Benutzer???
Bitte warten ..
Mitglied: plategt
10.05.2008 um 23:05 Uhr
Hallo,

klar habe ich gerade nur vier Benutzer. Aber ein AD kann ja auch 3000 Benutzer verwalten. Also muss es ja so aufgebaut sein dass die Lösung für alle erweiterbar ist.

Gruß

plategt
Bitte warten ..
Mitglied: SarekHL
10.05.2008 um 23:17 Uhr
klar habe ich gerade nur vier Benutzer. Aber ein AD kann ja auch 3000 Benutzer verwalten.
Also muss es ja so aufgebaut sein dass die Lösung für alle erweiterbar ist.

Darum wies ich ja am Anfang darauf hin, daß Du erst planen sollst. Das schließt natürlich auch mögliche Erweiterungen mit ein. Wenn Du dann irgendwann mal 100 Benutzer hast, dann wird es sinnvollere Arten geben, diese zu gruppieren, als nach ihren Berechtigungen. Ich bilde im AD in der Regel die Firmenstruktur ab. Also Pro Abteilung eine OU.

Allerdings sitzen die Admins ja in der Regel in einer eigenen Abteilung ... insofern hast Du auch dann für die Admins eine eigene OU. Und ansonsten bleibt ja noch der Weg über die Berechtigungen.
Bitte warten ..
Mitglied: datasearch
12.05.2008 um 11:25 Uhr
Hallo Plate,

bevor du weitermachst, entschuldige, aber ich muss es sagen, informiere dich bitte über die Gundlagen des ActiveDirectory. Ich werde mal versuchen dir ein paar Tips zu geben. Also, los gehts.

Gruppenrichtlinien (GPO's) können nur auf Benutzer oder Computerobjekte angewendet werden. Nicht auf Benutzergruppen, kontakte usw. Ein GPO kann aber nicht direkt auf ein solches Objekt gelegt werden, soltern muss mit einer OU verknüpft werden. Die Einstellungen, die in einem GPO im Bereich "Computerkonfiguration" und "Benutzerkonfiguration" gesetzt werden, werden auf den jeweiligen Objekttyp (Benutzer oder Computerkonten) angewendet. Mit Berechtigungen kannst du steuern wer auf ein GPO zugreifen (Lesen) und wer die Einstellungen in einem GPO überhaupt übernehmen kann. Die Berechtigungsvergabe sollte niemals auf einzelne Benutzer, sondern auf eine Gruppe gesetzt werden. Dafür hast du die Benutzergruppen, zum "setzen" von Berechtigungen.

Was dein AD-Design angeht, solltest du noch folgendes beachten:

Die Anzahl der OU's sollte möglichst gering gehalten werden, aber den LOGISCHEN AUFBAU der Objekte in der Firma wiederspiegeln. Arbeitest du zb. mit Abteilungen, die jeweils unterschiedliche Anforderungen haben und somit eigene GPO's erfordern, erstelle für jede Abteilung eine OU und lege darauf ein passendes GPO.
Hast du aber eine eine Firma mit Abteilungen die aber alle die selbe Konfiguration verwenden, kannst du nur eine OU für die jeweilige Ressource anlegen.
Nochwas, die DEFAULT DOMAIN POLICY (DDP) sollte Niemals oder nur extrem selten geändert werden. Es gibt allerdings Einstellungen die nur einmal pro Domäne gesetzt werden können, diese kann man ausnahmsweise doch in der DDP setzen. Dies sind zb. Einstellungen zur Kennwortkomplexität. Zudem sollte man jede Änderung an einem GPO irgendwie Dokumentieren.

Es gibt seitens Microsoft Empfehlungen und Regeln die man beim AD-Design beachten sollte. Wie oben geschrieben, schau dir das Thema bitte etwas genauer an. Anschließend solltest du problemlos in der Lage sein, die diese und evt. folgende Fragen zu beantworten.

Sorry falls das nicht das ist was du lesen wolltest, aber besser du verstehst was du da eigentlich machst. Ich könnte dir auch ein Step-by-Step Guide schreiben, würde dir aber nicht wirklich weiterhelfen.

Hier habe ich gerade noch etwas gefunden:
Active Directory Planning and Design Guide
Active Directory (Konzepte)
Bitte warten ..
Mitglied: plategt
12.05.2008 um 12:15 Uhr
Hallo datasearch,

vielen Dank für deine ausführliche Antwort. Jedoch ist mir das meiste bekannt. Ich betreue im Geschäft selber zum Teil ein AD, welches jedoch vor meiner Zeit angelegt wurde und selbstverständlich sind dort auch die OUs auch nach den Werken aufgebaut. Die GPOs sind auch von höherer Stelle festgelegt, worauf wir keine Einflussmöglichkeit haben.

Das Problem hier ist nur, dass ich in diesem Fall keine Werke habe. Hier soll es folgendermaßen aussehen:

Es soll eine GPO auf Domänenebene geben (sozusagen die "Default Domain Policy" wofür natürlich eine eigene GPO angelegt wird). Diese soll die Standardcomputerkonfiguration für alle Clients sein. Die restlichen GPOs sollen benutzerspezifisch sein. Da ich als Admin an allen Clients die gleichen Einstellungen haben möchte. Die Benutzer aber zum Beispiel an meinem Rechner auch nur eingeschränkte Konfigurationsmöglichkeiten haben sollen.

Würde es denn nicht funktionieren wenn ich eine Benutzergruppe in eine OU verschiebe und der OU dann eine GPO zuweise?

Im Moment sieht meine AD Struktur so aus:
http://dynamite-network.de/ad_struktur.jpg

Gruß
plate
Bitte warten ..
Mitglied: datasearch
12.05.2008 um 12:29 Uhr
OK, alles klar .

Das Problem ist das du die einstellungen des Standard-GPO's auch auf die Default-Container und OU's anwendest. Das sollte man eigentlich vermeiden. Erstelle zb. in der Hauptebene eine OU mit dem Namen "ORG-MEMBERS" (oder wie du sie nennen magst), darin legst du die OU's Admins, Benutzer und Gäste an. Ich empfehle eine weitere OU mit dem namen Computer ODER das ablegen der Computerkonten in den OU's der Benutzerkonten.

Anschließend legst du die GPO's auf die entsprechenden OU's. Auf die ORG-MEMBERS OU wird das GPO, das für alle Mitglieder gültig sein soll gelegt, auf Admins das Admin-GPO usw.

Du MUSST nun die Benutzer und Computerkonten in die entsprechenden OU's ablegen. Zb. die Benutzerkonten aller Gäste in OU=gäste,OU=ORG-MEMBERS,DC=...
Wenn du nun einen der Gäste von OU=gäste,OU=ORG-MEMBERS nach OU=Benutzer,OU=ORG-MEMBERS verschiebst, werden nur noch die GPO's auf der neuen OU auf das Objekt angewendet.

Auf Benutzergruppen können keine GPO's angewendet werden. Auch wenn du eine Gruppe nach OU=Gäste verschiebst, die Mitglieder der Gruppe aber in OU=Admins liegen, werden die GPO's aus OU=Admins angewendet. Die einzige Möglichkeit besteht in dem Verweigern der Berechtigung "Gruppenrichtlinie übernehmen" für das GPO, das auf der OU Admins liegt für die Benutzergruppe "Gäste". Quasi als 2. Sicherung durchaus sinnvoll.
Bitte warten ..
Mitglied: plategt
12.05.2008 um 20:08 Uhr
Hallo,

habe das AD jetzt so aufgebaut:

http://dynamite-network.de/ad_struktur_neu.jpg

Die Gruppen Domänen-Admins, Domänen-Benutzer und Domänen-Gäste habe ich jetzt wieder in den Standardordner "Users" aufgenommen und die einzelnen Benutzerkonten verschoben (siehe Bild). Ich hoffe das passt so.

Jetzt ist nur noch die Frage:

Wenn zum Beispiel die Gruppe Domänen-Benutzer standardmäßig Aktion A erlaubt (weil die Standardgruppe in der der User ja Mitglied ist das erlaubt) und die GPO auf die OU=Benutzer,OU=ORG-MEMBERS die Aktion A verbietet, was zieht dann? Besitzen die GPO oder die Gruppe der der User zugeordnet ist die höhere Priorität?

Danke und Gruß,
plate
Bitte warten ..
Mitglied: datasearch
12.05.2008 um 22:40 Uhr
Die vererbung der einstellungen eines GPO werden in der Hirachie nach unten Priorisiert. Legst du ein GPO auf die OU ORG-MEMBERS das irgendetwas verweigert und in auf die OU OU=Admins,OU=ORG-MEMBERS ein weiteres GPO, das die Aktion wieder erlaubt, hat die letzte vorrang. Die vererbung ist wie folgt:

AD-Site -> Domäne -> OU -> OU -> OU .....

Was Berechtigungen zur übernahme eines GPO's angeht, haben verweigerungen immer vorrang vor berechtigungen. Ist der User Admin zb in der Gruppe Admins, der die Berechtigung zur Übernahme des GPO Admins gewährt wurde, kann er die Einstellungen anwenden. Ist er allerdings gleichzeitig in einer Gruppe, der du den Zugriff explizit verweigert hast, kann er die Einstellungen nicht übernehmen. Aus diesem grund sollte man mit Verweigerungen extrem sparsam umgehen. Wenn du anstatt der Verweigerung nur der 2. Gruppe das übernehmen der GPO entziehst (also NICHT verweigerst), kann er trotz das der User in beiden Gruppen ist, das GPO anwenden.

Ich hoffe das war verständlich
Bitte warten ..
Mitglied: plategt
22.05.2008 um 15:49 Uhr
Hallo zusammen,

@datasearch:
Ja war verständlich .

Vielen Dank für eure Hilfe. Habe es jetzt so aufgebaut wie im letzten Beitrag beschrieben und das funktioniert super. Jetzt kann ich Computer GPOs für die OU festlegenund den Benutzern auch GPOs zuteilen.

Bleibt nur noch ein Problem wie GPOs auf den Server angewandt werden. Aber dazu habe ich einen andere Beitrag erstellt:
http://www.administrator.de/GPOs_auf_PDC_anwenden%3F_PDC_in_OU_nehmen%3 ...

Danke nochmal.

Gruß
plate
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Server
Doppelte GPOs priorisieren oder Benutzer excluden (5)

Frage von staybb zum Thema Windows Server ...

Windows 10
gelöst GPOs werden bei Win10 nicht angewendet (8)

Frage von theoberlin zum Thema Windows 10 ...

Windows Server
Server 2012 R2 GPOs werden nicht verteilt (2)

Frage von Raffael zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...