Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Unterschied OU und Gruppen

Frage Microsoft Windows Server

Mitglied: diego2k

diego2k (Level 1) - Jetzt verbinden

24.10.2008, aktualisiert 27.10.2008, 20462 Aufrufe, 6 Kommentare

Hallo,
mir ist der Unterschied zw. Organisationseinheiten und Gruppen nicht klar.
Ich erstelle im Active Dir. eine neue OU, darin einen neuen Benutzer.
Jetzt geh ich ins gpmc und ordne dieser ou meine Gruppenrichtlinienobjekt zu. In dem z.B. steht dass das Netzwerkumgebungssymbol nicht mehr angezeigt wird.
Meinen Benutzer ordne ich jetzt noch einer Gruppe zu, z.b. Domain-Admins.

Und hier komme ich jetzt durcheinander. Wenn man eine neue Domain erstellt was ist das jetzt was in „Users“ drinnen steht?
Was bringt mir das jetzt wenn ich in „Users“ meine Benutzer erstelle?
Wenn ich hier das Netzwerksymbole ausblenden will muss ich ja ein GPO erstellen wo das drinnen steht und das mit der gesamten Domain verknüpfen aber es darf nur für den einen User gelten, ist ja dämlich?

Was bei mir nicht funktioniert: ein GPO erstellen dieses einer Gruppe zuordnen, und dann den Usern die Gruppe zuordnen. Die User erhalten dann die Anweißungen vom GPO nicht mehr warum?
Anders rum:
Ich erstell eine OU ordne der mein GPO zu und pack die User da rein, fertig.

Was ist da jetzt der Unterschied zw. einer Gruppe und einer OU?
Mitglied: Pandora
24.10.2008 um 08:12 Uhr
Hallo Diego,

eine Organisationseinheit innerhalb des Active Directory kannst du dir mehr wie einen Ordner vorstellen als wie eine Gruppe. Eine OU kann verschiedene Objekte aus dem Active Directory enthalten. Also z.B. Benutzer, Computer oder auch Gruppen. Gruppenrichtlinien werden immer auf OUs angewendet.

Eine Gruppe (besser Benutzergruppe) dient dazu Berechtigungen (z.B. Freigabeberechtigungen, NTFS-Berechtigungen aber auch Berechtigungen über Gruppenrichtlinien) an Benutzer weiterzugeben. Das vereinfacht die Vergabe von Benutzerberechtigungen dadurch, dass du nicht jedem einzelnen Benutzer die Rechte zuweisen musst sondern diese einfach in eine Gruppe mit aufnehmen kannst.

Das ganze Thema Gruppenrichtlinien, OUs usw. ist recht komplex. Ich hoffe ich konnte dir ein wenig weiterhelfen. Ansonsten würde ich dir empfehlen dich mal mit einem entsprechendem Buch über das Active Directory auseinander zu setzen.

Gruß, Pandora
Bitte warten ..
Mitglied: MisterIX
24.10.2008 um 08:15 Uhr
Hi Diego !

Grundsätzlich ähneln sich Gruppen und OUs darin, dass man Ihnen Benutzer zuweisen kann, um eine Hierarchie herzustellen. Allerdings kannst Du einer OU Gruppenrichtlinien zuordnen, während das meiner Meinung nach für Gruppen nicht geht. (Ich bin neu in meiner Firma und habe noch keinen Zugriff auf einen WinServer, daher kann ich gerade nicht nachschauen). Tatsache ist, dass Du einer OU auch Computerobjekte zuordnen kannst, während sich Gruppen auf Benutzerobjekte beziehen. Mit Gruppen kannst Du also vor allem Deine Zugriffsrechte auf Dateien (NTFS) und Drucker im Netzwerk regeln, aber auch Gruppen in eine OU verschieben und der OU eine Gruppenrichtlinie zuordnen.

Allgemein solltest Du Dir zur gewünschten Hierarchie im Active Directory Gedanken machen, es gibt nämlich zwei Möglichkeiten:

- Du spiegelst die Angestellten-Hierachie wieder, und legst danach Deine OUs an (Manager, Angestelle, Praktikanten etc.)

oder

- Du bildest die Räumliche Struktur auf oberster Ebene ab (Chefetage, Steuerbüro, Lager etc.) .

Grundsäztzlich wäre es schon OK alle Benutzer im Container Users zu belassen, aber das ist schon in mittelgroßen Firmen keine strukturierte Anordnung für Dein AD.

"Was bei mir nicht funktioniert: ein GPO erstellen dieses einer Gruppe zuordnen, und dann den Usern die Gruppe zuordnen. Die User erhalten dann die Anweißungen vom GPO nicht mehr warum?"

Es gibt manche GPOs, die nur mit der Domäne verknüpft werden können, z.B. Passwortrichtlinien (Trotzdem kann man sie scheinbar auch mit anderen OUs verknüpfen, aber dann greifern sie nicht), ansonsten würde ich GPOs grundsätzlich auf OU-Ebene anwenden. Dabei musst Du natürlich darauf achten, ob Du das GPO den Computern oder den Benutzern zuweißt.


"Wenn ich hier das Netzwerksymbole ausblenden will muss ich ja ein GPO erstellen wo das drinnen steht und das mit der gesamten Domain verknüpfen aber es darf nur für den einen User gelten, ist ja dämlich?"

Wenn Du nur einen Benutzer beeinflussen willst, gäbe es auch die Möglichkeit das lokale GPO auf dem Rechner zu ändern, an dem der Benutzer arbeitet (wenn es nur einer ist). Gruppenrichtlinien sind eben für mehrere Objekte mit ähnlichen Eigenschaften gedacht. Allerdings musst Du dabei auf die Einstellungen zur Kombination von lokalen und Serverseitigen GPOs achten, da gibt es eine Verarbeitungsreihenfolge.

Ich hoffe ich konnte Dir etwas weiterhelfen, aber da ich wie gesagt gerade keinen Zugriff auf einen Server habe, ist die Antwort noch nicht perfekt. Ich muss es meistens erst selber machen....

Gruß, MisterIX.
Bitte warten ..
Mitglied: Logan000
24.10.2008 um 08:16 Uhr
Moin Moin

Den ist eigetlich nicht hinzuzufügen.
Ausser vieleicht: Diese Seite ist zu diesem Thema irre hilfreich.
Hat mich auch geholfen.

Gruß L.
Bitte warten ..
Mitglied: Pandora
24.10.2008 um 08:58 Uhr
Hat mich auch geholfen.

Stimmt, mich auch.
Bitte warten ..
Mitglied: diego2k
24.10.2008 um 14:46 Uhr
Danke erstmal für die Antworten, dass war schon mal alles sehr hilfreich

Ich habe hier noch eine weiter Seite enteckt: http://www.wintotal.de/Artikel/gruppenrichtlinien/teil1/teil1.php

hier steht genau mein Problem:
"Was bei mir nicht funktioniert: ein GPO erstellen dieses einer Gruppe zuordnen, und dann den Usern die Gruppe zuordnen. Die User erhalten dann die Anweißungen vom GPO nicht mehr warum?"

Sie haben eine Organisationseinheit mit der Bezeichnung Clients erstellt. Diese OU nimmt alle Computer bis auf Server auf, das heißt sowohl Arbeitsplatzcomputer als auch Laptops oder Tablet-PCs. Für diese OU erstellen Sie eine GPO, in der nur spezielle Richtlinien für Laptops und Tablet-PC konfiguriert werden. Diese GPO soll nur auf alle Laptops und Tablet-PC der OU Clients wirken, nicht aber auf Clients, die immer online sind. Um das zu erreichen, richten Sie eine Sicherheitsgruppe Laptops und Tablet-PC ein und nehmen alle Laptops und Tablet-PC in diese Sicherheitsgruppe als Mitglieder auf. Die Berechtigungen der GPO verändern Sie anschließend so, dass diese GPO nur von der Sicherheitsgruppe Laptops und Tablet-PC gelesen und übernommen werden kann, nicht aber von den anderen Clients.

Bei mir funktiniert das aber nicht, ich habe eine OU "Benutzer1" darin User und eine Gruppe "Eingeschraenkt". Manche der User sollen jetzt der Gruppe eingeschränkt zugeordet werden -> werden einfach Syssteuerung und ein paar sachen deaktiviert.
Jetzt habe ich die GPO dafür erstellt, im Sicherheitsfilter nun die Gruppe "Eingeschraenkt" eingetragen und den "Authentifizierte User" rausgelöscht. Die GPO nun mit der OU "Benutzer1" verknüpft. Auch bei Delegierungen wirkt die GPO auf "Eingeschraenkt" und kann gelesen werden.
Aber die GPO wirkt auf keinen der User.
Ist da irgendwo ein Hacken für Vererbung zu setzen oder so?
Bitte warten ..
Mitglied: Logan000
27.10.2008 um 08:26 Uhr
Moin Moin

Ist da irgendwo ein Hacken für Vererbung zu setzen oder so?
Vererbung ist normalerweise aktiviert. Wenn Sie nicht deaktiviert wurde ist da nix zu machen.

Da sich das ganze von einem eher theoretischen inhat zu einer konkreten Problemsteellung entwickelt, wärem ein paar mehr infos hilfreich. (server, client version).

Es gibt 2 grundsätliche Punkte die für den Einsatz von GPOs wichtig sind.
1. eine GPO wirkt nur auf objekte (Benutzer/Coputer) die unterhalb der verknüpften OU liegen. z.B. Du legst eine Neue OU auf geleicher Ebene mit Usern und Computers an. verknüpft diese OU mit GPOs in denen du verschiedenste Einstellungen vornimmst. Solange sich alle Pc unter Computers und alle Benutzer unter Users befinden wird keine Einstellung deiner GPOs übernommen werden.

2. Einstellungen unter Computerkonfiguration erden nur von Computern übernommen, sowie Benutezrkonfiguration nur von Usern.
Wenn Du eien GPO erstellst in der Benutzer und Computer einstellungen vorgenommen werden. Dann diese GPO auf eine Gruppe einschränkst in der sich nur Computer befinden, werden die Benutzereinstellungen nicht übernommen.

Du kannst feststellen ob Richtlinien angewendet werden in dem du auf dem Client gpresult.exe ausführst oder etwas konfortabler einen Ergebnisssatz in der GPMC fährst.

Gruß L.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Humor (lol)
Der Unterschied zwischen USA und USB

Link von BirdyB zum Thema Humor (lol) ...

Benchmarks
gelöst Unterschied zwischen +12V und 12V Netzteil für Festplatte (9)

Frage von FelixW zum Thema Benchmarks ...

Windows Server
AD Bestimmten Benutzer (Hilfsadmin) nur Zugriff auf eine OU geben (1)

Frage von conym18 zum Thema Windows Server ...

ISDN & Analoganschlüsse
gelöst Unterschied anlagenanschluß zu mehrgeräteanschluß (12)

Frage von cardisch zum Thema ISDN & Analoganschlüsse ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...