schroeder750 10 Geschrieben 2. April 2007 Melden Teilen Geschrieben 2. April 2007 Hy Leute, benötige mal wieder kurz einen Schubser in die richtige Richtung :) Da ich bisher externer Diestleister war und Netze aufgebaut habe, habe ich mit der eigentlichen täglichen Administration relativ wenig zu tun gehabt. Jetzt bräuchte ich dringend mal ne Meinung. Folgendes: Es sollen bei einem W2K3 AD Gruppenrichtlinien angewendet werden. Beispiel: Einschränkungen beim Desktop und von mir aus Beschränkungen beim Internetzugriff. Nur so als Beispiel... Jetzt gibt es User, die sollen nur eine der Beschränkungen haben und andere sollen z.B. beide Beschränkungen haben. Ich war bisher der meinung, ich lege OUs an, packe dort die jeweilige policy drauf, lege in die OUs Gruppen und packe die User in diese Gruppen rein. So kann ein User auch unter mehrere policys fallen. Die Geschichte mit den Gruppen mache ich, weil ein Benutzer ja nun mal im AD nur einmal vorhanden sein kann und somit immer nur in einer OU liegen kann. Jetzt scheinen diese policys aber nicht auf die Gruppen zu ziehen, die in den jeweiligen OUs liegen... Jedenfalls habe ich die Meldung von einem meiner ehemaligen Kunden bekommen, den ich nach meinem Jobwechsel in die interne Administration noch etwas nachbetreue. Wo habe ich da einen Gedankenfehler ? Wie kann ich es aufsetzen, so daß es funzt ? Bitte jetzt nicht lachen, habe die letzten Jahre echt hauptsächlich Netzwerke und Domänen aufgebaut und Migrationen durchgezogen, mit policys habe ich bisher echt nur am Rande zu tun gehabt, das haben die Admins der Kunden dann nachher meistens selber gemacht... Wäre über den ein oder anderen Tip echt superdankbar... :D Grüsse an alle !! schroeder750 Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 2. April 2007 Melden Teilen Geschrieben 2. April 2007 Gruppenrichtlinien werden nicht auf Gruppen angewendet, allerdings kannst Du mit Gruppen eine Sicherheitsfilterung durchführen. Also die entsprechenden Benutzer in die Gruppen und den Gruppen Berechtigungen auf das oder die GPOs geben. SO kannst Du auch alle User in eine OU legen oder die GPOs ganz oben anwenden ... Zitieren Link zu diesem Kommentar
schroeder750 10 Geschrieben 3. April 2007 Autor Melden Teilen Geschrieben 3. April 2007 Hallo ITHome, zunächst mal vielen Dank für Deine fixe Antwort ! Ich muss aber gestehen, daß ich da noch nicht so ganz durchsteige... Ich lege also die Beschränkungen durch die policys auf einer relativ oberen Ebene an, so daß diese policys theoretisch jeden User in der Domäne erwischen würden. - Beispiel: User darf nicht ins Internet. Dann lege ich eine Gruppe (Universal, Sicherheit ist in Ordnung, nehme ich an ? ) an, in die ich die Benutzer reinpacke, die dann DOCH ins Internet dürfen sollen. Anschließend konfiguriere ich für diese Gruppe, daß die GPOs hier nicht ziehen sollen, richtig ? Wenn ich also auf der oberen Ebene so ziemlich alles verboten habe, darf ein User standardmäßig erstmal so gut wie nichts, solange, bis ich ihn in die Gruppen gepackt habe, die die jeweilige GPO wieder aushebeln, richtig ? Und jetzt die Masterfrage: Wie verhindere ich bei einer solchen Gruppe, daß die GPO von oben angewendet wird ? Kanst Du mir das mal kurz in Stichworten skizzieren ? Danke Dir schonmal im Voraus !!! Grüsse schroeder750 Zitieren Link zu diesem Kommentar
schroeder750 10 Geschrieben 3. April 2007 Autor Melden Teilen Geschrieben 3. April 2007 Hy, ich bin's nochmal, habe mal ein wenig nachgeforscht und folgende Möglichkeit gefunden: Ich packe z.B. die GPO "Internet verboten" auf die gleiche Ebene wie die Default Domain Policy, also ganz oben. Ab diesem Zeitpunkt darf ja theoretisch niemand mehr ins Internet. Nun erstelle ich irgendwo eine Gruppe "Internet erlaubt" und gebe bei der policy "Internet verboten" an, daß die Gruppe "Internet erlaubt" diese nicht lesen kann (Haken raus bei "Gruppenrichtlinie übernehmen" für diese Gruppe). Reicht das schon ? Die User werden aber natürlich noch Mitglied in anderen Gruppen sein, die natürlich die policy lesen können, stellt das kein Problem dar ? Gilt da die einmalige Verneinung, die Richtlinie lesen zu können vorrangig ? Oder bin ich so völlig auf dem Holzweg ? Grüsse schroeder750 Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 3. April 2007 Melden Teilen Geschrieben 3. April 2007 Das nennt man Sciherheitsfilterung, also der richtige Weg (einer davon) :) Je näher eine Richtlinie am Objekt ist, desto mehr Priorität hat sie. Die an der OU liegende Richtlinie überschreibt also die, die auf der Domänenebene liegt (bei gleichen Einstellungen natürlich nur) ... Wird den Benutzern der Gruppe der Zugriff verweigert, dann können sie diese Richtlinie nicht übernehmen und demzufolge auch nicht ausführen, was in ihr konfiguriert wird (Verweigern kommt vor Erlauben). Wird auf unterer Ebene etwas anderes konfiguriert und sie dürfen dort die Richtlinie anwenden, dann werden sie es auch tun. Du kannst die Sicherheitsfilterung entweder so lassen wie sie, aber zusätzlich die Gruppe "Internet erlaubt" zufügen und Gruppenrichtlinie übernehmen verweigern. Oder Du erzeugst eine Gruppe für alle Benutzer, die nicht ins Internet sollen, entfernst die Authentifizierten Benutzer und fügst statdessen die neu erstellte Gruppe zu und konfigurierst ihr zusätzlich Gruppenrichtlinie übernehmen erlaubt. Ob es reicht, nur eine Gruppe mit Benutzerkonten zu verwenden, hängt davon ab, ob Du in der Benutzer- oder in der Computerkonfiguration konfiguriert hast. Auch ein Computerkonto muss in der LAge sein, eine Richtlinie zu lesen und zu übernehmen. Per Default ist auch ein Computerkonto Mitglied der Gruppe Authentifizierte Benutzer und wenn Du diese Gruppe entfernst, müsstest Du stattdessen eine Gruppe mit Computerkonten erstellen, die die Richtlinie übernehmen sollen (im Falle der Konfiguration im Computerteil der Richtlinie, nur theoretisch, ist bei Dir wohl nicht so) ... Zitieren Link zu diesem Kommentar
schroeder750 10 Geschrieben 3. April 2007 Autor Melden Teilen Geschrieben 3. April 2007 Hy IThome, prima, ich denke, das bringt mich wirklich erstmal weiter. Denke, das ist hinzubekommen ;) Hab nochmal tausend Dank für Deine fixen Antworten !! Bis demnächst Ciao schroeder750 Zitieren Link zu diesem Kommentar
T.E. 10 Geschrieben 3. April 2007 Melden Teilen Geschrieben 3. April 2007 @schröder Na, da ist jemand spät noch fleissig :) Zitieren Link zu diesem Kommentar
schroeder750 10 Geschrieben 3. April 2007 Autor Melden Teilen Geschrieben 3. April 2007 @ T.E. Aha, die Linux-Fraktion ;-) Logisch, immer am Ball ;-)) Grüsse schroeder750 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.