Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Unterschied OU und Gruppen

Frage Microsoft Windows Server

Mitglied: diego2k

diego2k (Level 1) - Jetzt verbinden

24.10.2008, aktualisiert 27.10.2008, 23632 Aufrufe, 6 Kommentare

Hallo,
mir ist der Unterschied zw. Organisationseinheiten und Gruppen nicht klar.
Ich erstelle im Active Dir. eine neue OU, darin einen neuen Benutzer.
Jetzt geh ich ins gpmc und ordne dieser ou meine Gruppenrichtlinienobjekt zu. In dem z.B. steht dass das Netzwerkumgebungssymbol nicht mehr angezeigt wird.
Meinen Benutzer ordne ich jetzt noch einer Gruppe zu, z.b. Domain-Admins.

Und hier komme ich jetzt durcheinander. Wenn man eine neue Domain erstellt was ist das jetzt was in „Users“ drinnen steht?
Was bringt mir das jetzt wenn ich in „Users“ meine Benutzer erstelle?
Wenn ich hier das Netzwerksymbole ausblenden will muss ich ja ein GPO erstellen wo das drinnen steht und das mit der gesamten Domain verknüpfen aber es darf nur für den einen User gelten, ist ja dämlich?

Was bei mir nicht funktioniert: ein GPO erstellen dieses einer Gruppe zuordnen, und dann den Usern die Gruppe zuordnen. Die User erhalten dann die Anweißungen vom GPO nicht mehr warum?
Anders rum:
Ich erstell eine OU ordne der mein GPO zu und pack die User da rein, fertig.

Was ist da jetzt der Unterschied zw. einer Gruppe und einer OU?
Mitglied: Pandora
24.10.2008 um 08:12 Uhr
Hallo Diego,

eine Organisationseinheit innerhalb des Active Directory kannst du dir mehr wie einen Ordner vorstellen als wie eine Gruppe. Eine OU kann verschiedene Objekte aus dem Active Directory enthalten. Also z.B. Benutzer, Computer oder auch Gruppen. Gruppenrichtlinien werden immer auf OUs angewendet.

Eine Gruppe (besser Benutzergruppe) dient dazu Berechtigungen (z.B. Freigabeberechtigungen, NTFS-Berechtigungen aber auch Berechtigungen über Gruppenrichtlinien) an Benutzer weiterzugeben. Das vereinfacht die Vergabe von Benutzerberechtigungen dadurch, dass du nicht jedem einzelnen Benutzer die Rechte zuweisen musst sondern diese einfach in eine Gruppe mit aufnehmen kannst.

Das ganze Thema Gruppenrichtlinien, OUs usw. ist recht komplex. Ich hoffe ich konnte dir ein wenig weiterhelfen. Ansonsten würde ich dir empfehlen dich mal mit einem entsprechendem Buch über das Active Directory auseinander zu setzen.

Gruß, Pandora
Bitte warten ..
Mitglied: MisterIX
24.10.2008 um 08:15 Uhr
Hi Diego !

Grundsätzlich ähneln sich Gruppen und OUs darin, dass man Ihnen Benutzer zuweisen kann, um eine Hierarchie herzustellen. Allerdings kannst Du einer OU Gruppenrichtlinien zuordnen, während das meiner Meinung nach für Gruppen nicht geht. (Ich bin neu in meiner Firma und habe noch keinen Zugriff auf einen WinServer, daher kann ich gerade nicht nachschauen). Tatsache ist, dass Du einer OU auch Computerobjekte zuordnen kannst, während sich Gruppen auf Benutzerobjekte beziehen. Mit Gruppen kannst Du also vor allem Deine Zugriffsrechte auf Dateien (NTFS) und Drucker im Netzwerk regeln, aber auch Gruppen in eine OU verschieben und der OU eine Gruppenrichtlinie zuordnen.

Allgemein solltest Du Dir zur gewünschten Hierarchie im Active Directory Gedanken machen, es gibt nämlich zwei Möglichkeiten:

- Du spiegelst die Angestellten-Hierachie wieder, und legst danach Deine OUs an (Manager, Angestelle, Praktikanten etc.)

oder

- Du bildest die Räumliche Struktur auf oberster Ebene ab (Chefetage, Steuerbüro, Lager etc.) .

Grundsäztzlich wäre es schon OK alle Benutzer im Container Users zu belassen, aber das ist schon in mittelgroßen Firmen keine strukturierte Anordnung für Dein AD.

"Was bei mir nicht funktioniert: ein GPO erstellen dieses einer Gruppe zuordnen, und dann den Usern die Gruppe zuordnen. Die User erhalten dann die Anweißungen vom GPO nicht mehr warum?"

Es gibt manche GPOs, die nur mit der Domäne verknüpft werden können, z.B. Passwortrichtlinien (Trotzdem kann man sie scheinbar auch mit anderen OUs verknüpfen, aber dann greifern sie nicht), ansonsten würde ich GPOs grundsätzlich auf OU-Ebene anwenden. Dabei musst Du natürlich darauf achten, ob Du das GPO den Computern oder den Benutzern zuweißt.


"Wenn ich hier das Netzwerksymbole ausblenden will muss ich ja ein GPO erstellen wo das drinnen steht und das mit der gesamten Domain verknüpfen aber es darf nur für den einen User gelten, ist ja dämlich?"

Wenn Du nur einen Benutzer beeinflussen willst, gäbe es auch die Möglichkeit das lokale GPO auf dem Rechner zu ändern, an dem der Benutzer arbeitet (wenn es nur einer ist). Gruppenrichtlinien sind eben für mehrere Objekte mit ähnlichen Eigenschaften gedacht. Allerdings musst Du dabei auf die Einstellungen zur Kombination von lokalen und Serverseitigen GPOs achten, da gibt es eine Verarbeitungsreihenfolge.

Ich hoffe ich konnte Dir etwas weiterhelfen, aber da ich wie gesagt gerade keinen Zugriff auf einen Server habe, ist die Antwort noch nicht perfekt. Ich muss es meistens erst selber machen....

Gruß, MisterIX.
Bitte warten ..
Mitglied: Logan000
24.10.2008 um 08:16 Uhr
Moin Moin

Den ist eigetlich nicht hinzuzufügen.
Ausser vieleicht: Diese Seite ist zu diesem Thema irre hilfreich.
Hat mich auch geholfen.

Gruß L.
Bitte warten ..
Mitglied: Pandora
24.10.2008 um 08:58 Uhr
Hat mich auch geholfen.

Stimmt, mich auch.
Bitte warten ..
Mitglied: diego2k
24.10.2008 um 14:46 Uhr
Danke erstmal für die Antworten, dass war schon mal alles sehr hilfreich

Ich habe hier noch eine weiter Seite enteckt: http://www.wintotal.de/Artikel/gruppenrichtlinien/teil1/teil1.php

hier steht genau mein Problem:
"Was bei mir nicht funktioniert: ein GPO erstellen dieses einer Gruppe zuordnen, und dann den Usern die Gruppe zuordnen. Die User erhalten dann die Anweißungen vom GPO nicht mehr warum?"

Sie haben eine Organisationseinheit mit der Bezeichnung Clients erstellt. Diese OU nimmt alle Computer bis auf Server auf, das heißt sowohl Arbeitsplatzcomputer als auch Laptops oder Tablet-PCs. Für diese OU erstellen Sie eine GPO, in der nur spezielle Richtlinien für Laptops und Tablet-PC konfiguriert werden. Diese GPO soll nur auf alle Laptops und Tablet-PC der OU Clients wirken, nicht aber auf Clients, die immer online sind. Um das zu erreichen, richten Sie eine Sicherheitsgruppe Laptops und Tablet-PC ein und nehmen alle Laptops und Tablet-PC in diese Sicherheitsgruppe als Mitglieder auf. Die Berechtigungen der GPO verändern Sie anschließend so, dass diese GPO nur von der Sicherheitsgruppe Laptops und Tablet-PC gelesen und übernommen werden kann, nicht aber von den anderen Clients.

Bei mir funktiniert das aber nicht, ich habe eine OU "Benutzer1" darin User und eine Gruppe "Eingeschraenkt". Manche der User sollen jetzt der Gruppe eingeschränkt zugeordet werden -> werden einfach Syssteuerung und ein paar sachen deaktiviert.
Jetzt habe ich die GPO dafür erstellt, im Sicherheitsfilter nun die Gruppe "Eingeschraenkt" eingetragen und den "Authentifizierte User" rausgelöscht. Die GPO nun mit der OU "Benutzer1" verknüpft. Auch bei Delegierungen wirkt die GPO auf "Eingeschraenkt" und kann gelesen werden.
Aber die GPO wirkt auf keinen der User.
Ist da irgendwo ein Hacken für Vererbung zu setzen oder so?
Bitte warten ..
Mitglied: Logan000
27.10.2008 um 08:26 Uhr
Moin Moin

Ist da irgendwo ein Hacken für Vererbung zu setzen oder so?
Vererbung ist normalerweise aktiviert. Wenn Sie nicht deaktiviert wurde ist da nix zu machen.

Da sich das ganze von einem eher theoretischen inhat zu einer konkreten Problemsteellung entwickelt, wärem ein paar mehr infos hilfreich. (server, client version).

Es gibt 2 grundsätliche Punkte die für den Einsatz von GPOs wichtig sind.
1. eine GPO wirkt nur auf objekte (Benutzer/Coputer) die unterhalb der verknüpften OU liegen. z.B. Du legst eine Neue OU auf geleicher Ebene mit Usern und Computers an. verknüpft diese OU mit GPOs in denen du verschiedenste Einstellungen vornimmst. Solange sich alle Pc unter Computers und alle Benutzer unter Users befinden wird keine Einstellung deiner GPOs übernommen werden.

2. Einstellungen unter Computerkonfiguration erden nur von Computern übernommen, sowie Benutezrkonfiguration nur von Usern.
Wenn Du eien GPO erstellst in der Benutzer und Computer einstellungen vorgenommen werden. Dann diese GPO auf eine Gruppe einschränkst in der sich nur Computer befinden, werden die Benutzereinstellungen nicht übernommen.

Du kannst feststellen ob Richtlinien angewendet werden in dem du auf dem Client gpresult.exe ausführst oder etwas konfortabler einen Ergebnisssatz in der GPMC fährst.

Gruß L.
Bitte warten ..
Ähnliche Inhalte
Windows 7
AD-Benutzer einer Lokalen Gruppe hinzufügen(16Bit OU)
Frage von WIZARDBOYWindows 73 Kommentare

Hallo Liebe IT-Gemeinde ich möchte einen Benutzer aus dem AD zu einer Lokalen Gruppe hinzufügen. Ich habe es bereits ...

Batch & Shell
Powershell - User aus OU in eine andere OU mit Variable verschieben
gelöst Frage von LemonjuiceBatch & Shell3 Kommentare

Hallo Zusammen Ich bin gerade dabei ein Powershell Script zu schreiben. Es geht darum, nicht mehr benötigte User mit ...

Windows Userverwaltung
Domain Admin in andere OU verschieben?
gelöst Frage von SirTobi27Windows Userverwaltung4 Kommentare

Hallo zusammen, macht man sich Probleme wenn man den Domain Admin im AD in eine andere OU verschiebt? Der ...

Exchange Server
Dynamische Verteilergruppe mit User aus anderer OU?
gelöst Frage von PeakExchange Server4 Kommentare

Hallo zusammen Wir haben auf einem Exchange 2010 mehrere Dynamische Verteilergruppen eingerichtet. Diese haben den Filter "Benutzer mit Exchange-Postfächern" ...

Neue Wissensbeiträge
Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 2 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 3 TagenWebbrowser7 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Sicherheit

Teamviewer Sessions können gekapert werden - Update tw. verfügbar

Information von sabines vor 3 TagenSicherheit6 Kommentare

In bestimmten Konstellationen können Teamviewer Sessions gekapert werden, wahrscheinlich aber ein recht unwahrscheinliches Szenario. Da der Teamviewer gerne für ...

Digitiales Fernsehen

Apple TV: Amazon Prime App ist verfügbar

Information von Frank vor 4 TagenDigitiales Fernsehen4 Kommentare

Die Amazon Prime Video App kann ab sofort auf einem Apple TV ab der 3 Generation installiert werden. Einfach ...

Heiß diskutierte Inhalte
Vmware
Installation Windows 10 VMware
Frage von Ghost108Vmware17 Kommentare

Hallo zusammen, versuche gerade mit Hilfe des vshpere clients eine virtuelle Windows 10 maschine aufzusetzen. 1. virtuelle Maschine erstellt ...

Exchange Server
SBS 2011 E-Mails können gesendet werden, aber nicht von extern empfangen
Frage von andreas1234Exchange Server14 Kommentare

Hallo Community, ich habe das Problem, dass seit knapp zwei Wochen die E-Mails von meinem SBS 2011 einwandfrei gesendet ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Windows Server
Server 2012 über Eingabeaufforderung devmgmt.msc geht nicht
gelöst Frage von achim222Windows Server9 Kommentare

Hallo, ich habe hier einen Server 2012 der im Reparaturmodus startet. Es liegt an einem falschen VirtIO Treiber für ...