Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Verständnisfrage Gruppenrichtlinien mit Gruppen steuern

Frage Microsoft Windows Server

Mitglied: TuXHunt3R

TuXHunt3R (Level 3) - Jetzt verbinden

12.11.2013, aktualisiert 17.11.2013, 1878 Aufrufe, 5 Kommentare

Hallo ans Forum


Ich konnte mich bisher beim Aufbau und der Konfiguration von GPO-Objekten immer so "durchmogeln", dass ich alle User- oder Computer-Objekte, für die eine bestimmte GPO greifen soll, in eine OU gepackt habe und das GPO-Objekt dort verknüpft habe oder ein GPO-Objekt auf mehrere OUs verknüpft habe.

Meine Idee ist nun, das Ganze per Gruppen zu steuern, als Beispiel: Das GPO-Objekt "GPO_001" wird nur angewendet, wenn der Benutzer in der Gruppe "Group_GPO_001" Mitglied ist. Zu jedem GPO-Objekt soll es eine eigene Gruppe geben. Nur wenn ein Benutzer oder ein Computer in dieser Gruppe ist, soll die Richtlinie angewandt werden.

Dafür gibt es ja die Sicherheitsfilterung bei jedem GPO Objekt, wo man die Authentifizierten Benutzer rausnehmen kann und eine eigene Gruppe einpflegen kann. Meine genaue Frage ist nun: Könnte ich theoretisch einfach alle GPO-Objekte auf der Domänen-Ebene verknüpfen (habe nur eine Domäne), für jedes GPO-Objekt eine Gruppe machen, diese mit Computer- oder User-Objekten abfüllen und in der Sicherheitsfilterung des GPO-Objekts eintragen? Damit wäre es dann ja komplett egal, in welcher Organisationseinheit ein Objekt ist. Die Entscheidung, ob ein GPO-Objekt greift oder nicht wird anhand der Gruppe gefällt und nicht, in welcher OU der betroffene User oder der betroffene Computer liegt.

Liege ich hier richtig oder denke ich komplett falsch? Wenn ich hier richtig liege, gibt es Gründe, die dagegen sprechen, sämtliche GPOs so zu handeln?
Was ich mir vorstellen könnte: Ich will für einige Benutzer den Proxy im IE eintragen. Ich mache also zwei GPO-Objekte (1x Proxy drin, 1x Proxy draussen). Für jedes der beiden GPO-Objekte mache ich eine Gruppe. Ich trage den User aus Versehen in beiden Gruppen ein und weiss dadurch nicht, welche Einstellung nun gilt......
Evt. könnte es bei einem User mit vielen Gruppen dann ein Weilchen dauern, bis der Login durch ist......

Was ist eure Meinung dazu? Ich verspreche mir davon, die GPOs viel feiner abstufen zu können, ohne dass ich gleich die sorgsam aufgebaute Struktur mit Abteilungen, etc. auseinander reissen muss.

Ach ja, das Ganze würde eine 2012er Domäne betreffen mit mehrheitlich XP-Clients (und einigen 7er-Rechnern). Wechsel auf 8.1 ist geplant.

Gruss
TuXHunT3R

Mitglied: certifiedit.net
13.11.2013 um 00:00 Uhr
Hallo Tux,

wenn ich dich richtig verstanden habe: Ja, das ist das dahinterliegende Design. Ja, um das fein abstufen geht es dabei. Nein, es gibt wohl keinen Grund es nicht so zu machen.

Schönen Abend,

Christian
Bitte warten ..
Mitglied: kontext
13.11.2013, aktualisiert um 07:32 Uhr
Guten Morgen TuXHunt3R,

dein GPO-Design (mittels Gruppen) kannst du auf jeden Fall machen.
Ich würde es jedoch nicht machen (der MCSA spricht aus mir), weil:

Je nachdem wie viele GPO's du hast wird die Sache ein wenig unübersichtlich ...
... vor allem wenn man keine "richtige" Namenskonvention für GPO's hat
... da kann es schnell zu Problemen kommen

Daher würde ich immer die GPO's auf die jeweilige OU legen (und / oder trotzdem noch filtern) ...
... denn wenn man eine Übersicht aller GPO's haben will, kann man den Punkt Gruppenrichtlinienobjekte öffnen

Also wie du siehst, geht es hier eigentlich nur um Design-Technische und Best-Practice
Ach ja - der Login verzögert sich wahrscheinlich nicht merkbar ...
... anders sieht die Geschichte aus, wenn du viele WMI Filter für GPO's im Einsatz hast

Gruß
kontext
Bitte warten ..
Mitglied: certifiedit.net
13.11.2013 um 08:20 Uhr
Guten Morgen @kontext,

natürlich kommt es auf die Namenskonventionen an. Wenn deine GPOs nur a1-z100 lauten kannst du von der Nachvollziehbarkeit her auch direkt auch gleich wieder User direkt einpflegen.

Gruß,

Christian
Bitte warten ..
Mitglied: kontext
13.11.2013, aktualisiert um 09:55 Uhr
Zitat von certifiedit.net:
natürlich kommt es auf die Namenskonventionen an. Wenn deine GPOs nur a1-z100 lauten kannst du von der Nachvollziehbarkeit
her auch direkt auch gleich wieder User direkt einpflegen.
Daher je auch mein Hinweis bzgl. Namenskonvention und bzgl. Best-Practice
Ich selbst verwalte um die 100 GPO's und das sogar Microsoft Best-Practice empfohlen (weiß ich auch erst seit kurzem )

Jedoch muss man den TO auch dahingehend informieren, da es ja möglich sein könnte, dass er dies nicht weiß bzw. vergessen hat

Gruß
kontext
Bitte warten ..
Mitglied: TuXHunt3R
17.11.2013 um 22:43 Uhr
Tag zusammen

Danke für die Antworten, meine Frage ist damit beantwortet.

Je nachdem wie viele GPO's du hast wird die Sache ein wenig unübersichtlich ...
... vor allem wenn man keine "richtige" Namenskonvention für GPO's hat

Das ist mir auch klar, diese müsste ich natürlich zuerst definieren.

Ich schliesse das Thema.

Gruss
TuXHunT3R
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Windows Server
Allgemeine Verständnisfrage zu Gruppenrichtlinien (2)

Frage von AndreasOC zum Thema Windows Server ...

Windows Server
gelöst Gruppenrichtlinien-Vorlage Office 2013 auf einem DC 2003 (5)

Frage von bluepython zum Thema Windows Server ...

Router & Routing
Spielzeiten auf pc und handy steuern (7)

Frage von fisch56 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...