Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Unterschied OU und Gruppen

Frage Microsoft Windows Server

Mitglied: diego2k

diego2k (Level 1) - Jetzt verbinden

24.10.2008, aktualisiert 27.10.2008, 21579 Aufrufe, 6 Kommentare

Hallo,
mir ist der Unterschied zw. Organisationseinheiten und Gruppen nicht klar.
Ich erstelle im Active Dir. eine neue OU, darin einen neuen Benutzer.
Jetzt geh ich ins gpmc und ordne dieser ou meine Gruppenrichtlinienobjekt zu. In dem z.B. steht dass das Netzwerkumgebungssymbol nicht mehr angezeigt wird.
Meinen Benutzer ordne ich jetzt noch einer Gruppe zu, z.b. Domain-Admins.

Und hier komme ich jetzt durcheinander. Wenn man eine neue Domain erstellt was ist das jetzt was in „Users“ drinnen steht?
Was bringt mir das jetzt wenn ich in „Users“ meine Benutzer erstelle?
Wenn ich hier das Netzwerksymbole ausblenden will muss ich ja ein GPO erstellen wo das drinnen steht und das mit der gesamten Domain verknüpfen aber es darf nur für den einen User gelten, ist ja dämlich?

Was bei mir nicht funktioniert: ein GPO erstellen dieses einer Gruppe zuordnen, und dann den Usern die Gruppe zuordnen. Die User erhalten dann die Anweißungen vom GPO nicht mehr warum?
Anders rum:
Ich erstell eine OU ordne der mein GPO zu und pack die User da rein, fertig.

Was ist da jetzt der Unterschied zw. einer Gruppe und einer OU?
Mitglied: Pandora
24.10.2008 um 08:12 Uhr
Hallo Diego,

eine Organisationseinheit innerhalb des Active Directory kannst du dir mehr wie einen Ordner vorstellen als wie eine Gruppe. Eine OU kann verschiedene Objekte aus dem Active Directory enthalten. Also z.B. Benutzer, Computer oder auch Gruppen. Gruppenrichtlinien werden immer auf OUs angewendet.

Eine Gruppe (besser Benutzergruppe) dient dazu Berechtigungen (z.B. Freigabeberechtigungen, NTFS-Berechtigungen aber auch Berechtigungen über Gruppenrichtlinien) an Benutzer weiterzugeben. Das vereinfacht die Vergabe von Benutzerberechtigungen dadurch, dass du nicht jedem einzelnen Benutzer die Rechte zuweisen musst sondern diese einfach in eine Gruppe mit aufnehmen kannst.

Das ganze Thema Gruppenrichtlinien, OUs usw. ist recht komplex. Ich hoffe ich konnte dir ein wenig weiterhelfen. Ansonsten würde ich dir empfehlen dich mal mit einem entsprechendem Buch über das Active Directory auseinander zu setzen.

Gruß, Pandora
Bitte warten ..
Mitglied: MisterIX
24.10.2008 um 08:15 Uhr
Hi Diego !

Grundsätzlich ähneln sich Gruppen und OUs darin, dass man Ihnen Benutzer zuweisen kann, um eine Hierarchie herzustellen. Allerdings kannst Du einer OU Gruppenrichtlinien zuordnen, während das meiner Meinung nach für Gruppen nicht geht. (Ich bin neu in meiner Firma und habe noch keinen Zugriff auf einen WinServer, daher kann ich gerade nicht nachschauen). Tatsache ist, dass Du einer OU auch Computerobjekte zuordnen kannst, während sich Gruppen auf Benutzerobjekte beziehen. Mit Gruppen kannst Du also vor allem Deine Zugriffsrechte auf Dateien (NTFS) und Drucker im Netzwerk regeln, aber auch Gruppen in eine OU verschieben und der OU eine Gruppenrichtlinie zuordnen.

Allgemein solltest Du Dir zur gewünschten Hierarchie im Active Directory Gedanken machen, es gibt nämlich zwei Möglichkeiten:

- Du spiegelst die Angestellten-Hierachie wieder, und legst danach Deine OUs an (Manager, Angestelle, Praktikanten etc.)

oder

- Du bildest die Räumliche Struktur auf oberster Ebene ab (Chefetage, Steuerbüro, Lager etc.) .

Grundsäztzlich wäre es schon OK alle Benutzer im Container Users zu belassen, aber das ist schon in mittelgroßen Firmen keine strukturierte Anordnung für Dein AD.

"Was bei mir nicht funktioniert: ein GPO erstellen dieses einer Gruppe zuordnen, und dann den Usern die Gruppe zuordnen. Die User erhalten dann die Anweißungen vom GPO nicht mehr warum?"

Es gibt manche GPOs, die nur mit der Domäne verknüpft werden können, z.B. Passwortrichtlinien (Trotzdem kann man sie scheinbar auch mit anderen OUs verknüpfen, aber dann greifern sie nicht), ansonsten würde ich GPOs grundsätzlich auf OU-Ebene anwenden. Dabei musst Du natürlich darauf achten, ob Du das GPO den Computern oder den Benutzern zuweißt.


"Wenn ich hier das Netzwerksymbole ausblenden will muss ich ja ein GPO erstellen wo das drinnen steht und das mit der gesamten Domain verknüpfen aber es darf nur für den einen User gelten, ist ja dämlich?"

Wenn Du nur einen Benutzer beeinflussen willst, gäbe es auch die Möglichkeit das lokale GPO auf dem Rechner zu ändern, an dem der Benutzer arbeitet (wenn es nur einer ist). Gruppenrichtlinien sind eben für mehrere Objekte mit ähnlichen Eigenschaften gedacht. Allerdings musst Du dabei auf die Einstellungen zur Kombination von lokalen und Serverseitigen GPOs achten, da gibt es eine Verarbeitungsreihenfolge.

Ich hoffe ich konnte Dir etwas weiterhelfen, aber da ich wie gesagt gerade keinen Zugriff auf einen Server habe, ist die Antwort noch nicht perfekt. Ich muss es meistens erst selber machen....

Gruß, MisterIX.
Bitte warten ..
Mitglied: Logan000
24.10.2008 um 08:16 Uhr
Moin Moin

Den ist eigetlich nicht hinzuzufügen.
Ausser vieleicht: Diese Seite ist zu diesem Thema irre hilfreich.
Hat mich auch geholfen.

Gruß L.
Bitte warten ..
Mitglied: Pandora
24.10.2008 um 08:58 Uhr
Hat mich auch geholfen.

Stimmt, mich auch.
Bitte warten ..
Mitglied: diego2k
24.10.2008 um 14:46 Uhr
Danke erstmal für die Antworten, dass war schon mal alles sehr hilfreich

Ich habe hier noch eine weiter Seite enteckt: http://www.wintotal.de/Artikel/gruppenrichtlinien/teil1/teil1.php

hier steht genau mein Problem:
"Was bei mir nicht funktioniert: ein GPO erstellen dieses einer Gruppe zuordnen, und dann den Usern die Gruppe zuordnen. Die User erhalten dann die Anweißungen vom GPO nicht mehr warum?"

Sie haben eine Organisationseinheit mit der Bezeichnung Clients erstellt. Diese OU nimmt alle Computer bis auf Server auf, das heißt sowohl Arbeitsplatzcomputer als auch Laptops oder Tablet-PCs. Für diese OU erstellen Sie eine GPO, in der nur spezielle Richtlinien für Laptops und Tablet-PC konfiguriert werden. Diese GPO soll nur auf alle Laptops und Tablet-PC der OU Clients wirken, nicht aber auf Clients, die immer online sind. Um das zu erreichen, richten Sie eine Sicherheitsgruppe Laptops und Tablet-PC ein und nehmen alle Laptops und Tablet-PC in diese Sicherheitsgruppe als Mitglieder auf. Die Berechtigungen der GPO verändern Sie anschließend so, dass diese GPO nur von der Sicherheitsgruppe Laptops und Tablet-PC gelesen und übernommen werden kann, nicht aber von den anderen Clients.

Bei mir funktiniert das aber nicht, ich habe eine OU "Benutzer1" darin User und eine Gruppe "Eingeschraenkt". Manche der User sollen jetzt der Gruppe eingeschränkt zugeordet werden -> werden einfach Syssteuerung und ein paar sachen deaktiviert.
Jetzt habe ich die GPO dafür erstellt, im Sicherheitsfilter nun die Gruppe "Eingeschraenkt" eingetragen und den "Authentifizierte User" rausgelöscht. Die GPO nun mit der OU "Benutzer1" verknüpft. Auch bei Delegierungen wirkt die GPO auf "Eingeschraenkt" und kann gelesen werden.
Aber die GPO wirkt auf keinen der User.
Ist da irgendwo ein Hacken für Vererbung zu setzen oder so?
Bitte warten ..
Mitglied: Logan000
27.10.2008 um 08:26 Uhr
Moin Moin

Ist da irgendwo ein Hacken für Vererbung zu setzen oder so?
Vererbung ist normalerweise aktiviert. Wenn Sie nicht deaktiviert wurde ist da nix zu machen.

Da sich das ganze von einem eher theoretischen inhat zu einer konkreten Problemsteellung entwickelt, wärem ein paar mehr infos hilfreich. (server, client version).

Es gibt 2 grundsätliche Punkte die für den Einsatz von GPOs wichtig sind.
1. eine GPO wirkt nur auf objekte (Benutzer/Coputer) die unterhalb der verknüpften OU liegen. z.B. Du legst eine Neue OU auf geleicher Ebene mit Usern und Computers an. verknüpft diese OU mit GPOs in denen du verschiedenste Einstellungen vornimmst. Solange sich alle Pc unter Computers und alle Benutzer unter Users befinden wird keine Einstellung deiner GPOs übernommen werden.

2. Einstellungen unter Computerkonfiguration erden nur von Computern übernommen, sowie Benutezrkonfiguration nur von Usern.
Wenn Du eien GPO erstellst in der Benutzer und Computer einstellungen vorgenommen werden. Dann diese GPO auf eine Gruppe einschränkst in der sich nur Computer befinden, werden die Benutzereinstellungen nicht übernommen.

Du kannst feststellen ob Richtlinien angewendet werden in dem du auf dem Client gpresult.exe ausführst oder etwas konfortabler einen Ergebnisssatz in der GPMC fährst.

Gruß L.
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung
AD Gruppen per Powershell importieren (1)

Frage von renfud zum Thema Windows Userverwaltung ...

Windows Userverwaltung
Active Directory - OU Anordnung und Aufbau (9)

Frage von nightwishler zum Thema Windows Userverwaltung ...

Neue Wissensbeiträge
Batch & Shell

Batch als Dienst bei Systemstart ohne Anmeldung ausführen

(3)

Tipp von tralveller zum Thema Batch & Shell ...

Sicherheits-Tools

Sicherheitstest von Passwörtern für ganze DB-Tabellen

(1)

Tipp von gdconsult zum Thema Sicherheits-Tools ...

Peripheriegeräte

Was beachten bei der Wahl einer USV Anlage im Serverschrank

(9)

Tipp von zetboxit zum Thema Peripheriegeräte ...

Heiß diskutierte Inhalte
Exchange Server
Exchange 2016 Standard Server 2012 R2 Hetzner Mail (41)

Frage von Datsspeed zum Thema Exchange Server ...

Windows 7
gelöst Lokales Adminprofil defekt (25)

Frage von Yannosch zum Thema Windows 7 ...

Off Topic
gelöst Fachzeitschriften als E-Book oder hardcoded? (11)

Frage von KowaKowalski zum Thema Off Topic ...

Windows 10
Windows Store Apps ohne Windows Store installieren (10)

Frage von keefien zum Thema Windows 10 ...