Jump to content

Richtlinien am DC und Active Directory


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

http://www.mcseboard.de/showthread.php?s=&threadid=9400&perpage=10&highlight=Domänenrichtlinie&pagenumber=2

 

 

Diesen Beitrag habe ich gelesen und nur halb verstanden.

 

Ich habe in der Systemsteuerung eine Sicherheitsrichtlinie für Domänen und eine für Domänencontroller

 

Die sind jeweils im Sysvol als

{6AC1786C-016F-11D2-945F-00C04fB984F9}

und als

{31B2F340-016D-11D2-945F-00C04FB984F9}

 

angelegt.

 

Im AD habe ich unter der Domäne eine Verknüpfung auf diese Policies, oder ist hier schon der Fehler drin?

 

Ich dachte in einem Netz mit AD ist dieses der absolute Herrscher über Gedei und Verderb und die oberste Instanz sei die Domain controller Policy, die ja auch unter den eigenschaften bei

 

"meindomainname.de" hinterlegt ist.

 

darunter kommt dann die einzelnen Ordner (wohl OU Organisationsunits) und auch die neu erstellten OU, die von mir eine eigene NEUE Policy bekommen haben.

 

Ich habe die Windowshilfe so verstanden, das von oben nach unten abgearbeitet wird und die Policies dann dementsprechend geändert werden, wenn in den "Untereinträgen" werte definiert sind, und nicht auf default stehen.

 

Ich dachte gerade dieses würde es vereinfachen, obwohl ich nicht verstanden habe, wie es funktionieren soll, wenn z.Bsp. in der obersten Policy ein Zugriff verweigert wird, das das AD Mitglied dann überhaupt noch soweit kommt, das die unteren Richtlinien abgefragt werden.

 

 

Andererseits ist es so, das die Sicherheitsrichtlinie für die Domäne nirgends im AD auftaucht und nach meinen Erfahrungen der Dominator schlecht hin ist.

 

 

Wer kann mir bitte mit bildlichen Worten helfen?

 

Ist jetzt die Domainpolicy der Kaiser, die Domain Controller der König und die anderen nur Prinzen?

 

Wenn ich eine Domain habe, einen DC und 2 bis 3 Clients, wo sollte ich da die Richtlinien den vergeben????

 

Macht es einen Unterschied, ob ich auch lokal am Server mich anmelden will ?

 

Bin jetzt verwirrter als vorher...

 

lg, newbie

Link zu diesem Kommentar

Wenn du die Bilder mal weglaesst und dich einer nuechternen Exploreransicht zuwendest wird die Ordnerhierarchie wesentlch deutlicher:

 

du hast eine Domäne in der gelten Gesetze; die "default domainpolicy" die AUF ALLES angewendet wird. Ist in ihr ein Wert definiert, und gestatten alle Richtlinien darunter die Übernahme der Werte so gilt dieser auf der Maschine.

 

darunter kommen ein paar OUs, in denen andere Gesetze herrschen koennen aber nicht muessen. Eine dieser OUs ist die DmänencontrollerOU in der sehr strenge Gesetze herrschen sollten.

 

dann kommen unter Umstaenden noch bestimmten Gruppen zugeteilte Richtlinien.

 

und ganz am Ende kommt die lokale Richtlinie.

 

so zumindest habe ich das Ganze verstanden bisher.

 

unter XP gibt es ein Tool, mit dem man sieht welches Recht auf einer Maschine gesetzt ist und vor allem in welcher Herarchieebene es definiert wurde.

Habe aber leider den Namen nicht parat, hoffe jemand kann da aushelfen. (gehoert zum XP-Resourcekit glaub ich)

Link zu diesem Kommentar

Und da ich erst jetzt den Ursprungsthread gelesen habe:

 

Mach erstmal Versuche mit einer default policy bevor du mehrere Policies in mehreren Hierarchiestufen definierst. das Ganze sieht einfach aus, greift aber tief in den Rechner ein. aendere ein/zwei Werte am Tag und guck ob alles laeuft... oder definier dir eine Richtlinie, die du einem Rechner zuweist und teste mit dem, bevor du an der default domain etwas aenderst.

 

ueberpruefe/stelle gelegentlich mit secedit sicher, das die aktuellen Policies auch immer angewendet sind, wenn du etwas testest.

Link zu diesem Kommentar
Original geschrieben von Jim di Griz

Wenn du die Bilder mal weglaesst und dich einer nuechternen Exploreransicht zuwendest wird die Ordnerhierarchie wesentlch deutlicher:

 

du hast eine Domäne in der gelten Gesetze; die "default domainpolicy" die AUF ALLES angewendet wird. Ist in ihr ein Wert definiert, und gestatten alle Richtlinien darunter die Übernahme der Werte so gilt dieser auf der Maschine.

 

 

TJA, jetzt wird es kompliziert. Ich habe zwar in der Systemsteuerung eine Domain Policy, aber im AD Snap In ist GANZ oben bei meiner Domän die DOMAIN CONTROLLER POLICY hinterlegt.

 

Das kann an mir liegen, denn ich habe keinen echten Plan und kann die Richtlinie gelöscht und die Controller Policy da reingetan haben...

 

Ich wundere mich nur, das die Domain Policy, obwohl sie nicht im AD ist, trotzdem funktioniert...

 

Kann ich die Verknüpfung der falschen Policy im AD einfach löschen und die Domain Policy dort verknüpfen?

 

 

Bye the way, ist das AD dann nur eine grafisches Element, wenn das Betriebssystem doch macht, was es will???Gruss newbie...

 

PS: habe mir das tool downgeloadet und werde es mal laufen lassen..

Link zu diesem Kommentar
Original geschrieben von Jim di Griz

Im AD-Snapin Users and Computers Rechtsklick auf die Domäne und dann /Gruppenrichtlinie /zuweisen.

geht in den OUs dann genauso.

dann ein secedit /refreshpolicy machine_policy /enforce und die Richtlinie(n) werden angewendet.

 

Okay, aber wem weise ich nun welche Richtlinie zu?

 

die Domäne bekommt die domänenpolicy?

 

weil die Domäne zur zeit ja die DController Policy hat, quasi die zweite Stufe. Aber trotzdem wendet er ja die Domain policies an.

 

der Computer auf dem der Server läuft die Domain Controller Policy?

 

Sollte man vorher was sichern, oder in eine andere richtlinie exportieren?

 

Hatte nämlich das Vergnügen das mir beim rumspielen auf dem einen client alle Software deinstalliert wurde, weil ich die policy mit der softwareverteilung gelöscht habe. durfte dann reinstallieren...

 

gruß newbie

Link zu diesem Kommentar

;)

Hatte nämlich das Vergnügen das mir beim rumspielen auf dem einen client alle Software deinstalliert wurde, weil ich die policy mit der softwareverteilung gelöscht habe. durfte dann reinstallieren...

Deshalb versuche ich immer meinen Leuten beizubringen: "GPO Tests finden entweder in einer separaten Testumgebung statt. Zwei Rechner, DC un dClient reichen". Oder man macht sich eine separate TestOU und testet dort.

 

grizzly999

Link zu diesem Kommentar
Original geschrieben von grizzly999

;)

 

Deshalb versuche ich immer meinen Leuten beizubringen: "GPO Tests finden entweder in einer separaten Testumgebung statt. Zwei Rechner, DC un dClient reichen". Oder man macht sich eine separate TestOU und testet dort.

 

grizzly999

 

Ja, aber Du weisst ja in kleinen Unternehmen wird auch die Testumgebung meistens noch produktiv genutzt...

 

Aber mal nen Tip:

 

Richte gerade einen Client neu ein, da die Festplatte von mir genullt werden musste...(Sektorfehler)

 

Der Client soll die Daten auf seinen eigenen Festplatten speichern (eigene Dateien) und der Server soll die wöchentlich auf seinen Platten "Datensichern"

 

 

Wie sollte ich bei den Profilen vorgehen (servergespeichert ?) hab da auch schon viel gelesen, aber nicht so ganz kapiert. wenn ich es serverbasierend mache, was ja wohl am sinnvollsten ist, dann würde der ja bei jeder anmeldung 1,8 GB Userdaten rüberkopieren und beim Runterfahren müsste ich mir den Wecker stellen.

 

Oder macht man das gescheiter über Offlineordner? Jetzt ist er noch nackt und hat nicht mal ein Fixpack drauf, sondern gerade mal das BS. Bevor ich jetzt wieder rumexperimentiere, wie würdest Du es denn lösen?

 

Wichtig ist mir, das die Programme auf dem Client laufen und die Daten nicht mit jeder anmeldung hin und herfliegen. vielleicht ist es ja auch so, das das nur einmalig so ist und der server von sich aus vergleicht, welche daten aktualisiert werden müssen, das wäre natürlich das gescheiteste.

 

Die Pfade in den Richtlinien umbiegen habe ich schon durchgelesen, aber da produziere ich doch genau das, was ich nicht will, oder?

 

gruss newbie

Link zu diesem Kommentar
Original geschrieben von grizzly999

Die erste Frage, die an dieser Stelle immer stelle: muss der Client bzw. "warum" muss der Benutzer die (1,8GB) Daten in seinem Profil haben. Was spricht dagegen, das sie permanent auf dem Server liegen?

 

grizzly999

 

hmmm...wenn ich so nachdenke, komm ich ins nachdenken.

 

1. ATA 133 auf dem Client

2. ATA 100 auf dem Server

 

Daher will ich die Programme auf dem Client installieren

 

Wie mache ich das denn, das die Daten auf dem Server liegen? Das war ja meine ungeschickt formulierte Frage.

 

Wenn die auf dem Server liegen können und ich auf dem Client trotzdem in eigene Dateien alle Dateien finde wäre das, wohl das, was ich will.

 

Was ich nicht will, und das ist das, was ich so verstanden habe, das bei serverbasierten Profilen beim Anmeldevorgang ja die Daten an den Client übertragen werden.

 

Ich bin halt ein Serverneuling, daher auch newbie...;-))

 

 

Am allerliebsten wäre mir sogar ne Lösung, wie sich die User egal an welchem der beiden Clients sie arbeiten, immer den gleichen Desktop und die Programme vorfinden, die für sie vorgesehen sind.

 

Also bildlich: Ich logge mich als User Muster von Client 1 ein und habe meinen Desktop und meine EIGENEN DATEIEN, ich erstelle ein paar Dokumente und speichere die unter EIGENE DATEIEN.

 

Dann bin ich im anderen Zimmer, logge mich dort (am anderen rechner ausgeloggt!) als User Muster von Client 2 ein und habe in meiner History in meinen eigenen Dateien die Dinge, die ich vorhin am anderen Client erstellt habe.

 

Das ist so das Ziel, das ich verfolge, werde das aber auch nochmal als separaten Thread lostreten.

 

Gruss Newbie...

Link zu diesem Kommentar

Der Grund meiner Frage war der: für was hat man einen Server? Als Verzeichnisdienst (Domäne), ok. Für was noch? Als zentrale Datenablage, wo sie dann auch zentral gesichert werden. Ist ja noch besser!

Aber warum hat MS nur das mit den eigenen Dateien angezettelt :confused: :mad: Für alleinstehende Rechner. Die eigenen Dateien haben für mich in einer Domäne keine Daseinsberechtigung mehr. Dafür gibt es auf dem Fileserver einen Ordner, kann ja wenn er wirklich "privat" sein soll das Homeverzeichnis des Benutzers sein, da hat der User sein Laufwerksmapping drauf, das er bei jeder Anmedlung bekommt, das wars.

Egal, an welcher Workstation ich mich anmelde, ich klicke auf das gemappte Laufwerk und habe meine Dateien, die ja aber auf dem Server liegen. Da geht bei der Anmeldung nicht ein Byte übers Netz, aber ich habe die Daten überall.

Eine andere Sache sind Benutzer mit Laptops, die Daten auch unterwegs, also ihne Netzwerk benötigen. Dafür gibts die Offlinedatei-Verwaltung. Die macht aber nur für Leute mit mobilen Workstations Sinn.

Offline Dtaeien, robocopy oder wie die ganzen Tools heissen, machen keinen Sinn für Leute, die lediglich die Workstations wechseln. Egal, wie du's machst, du hats bei der Anmeldung dann immer Netzwerkverkehr, viel oder wenig, je nachdem, wievile Daten geändert wurden.

 

Deshalb schlage ich vor:

Im LAN liegen Daten auf dem Server.

 

Die Benutzer bekommen die Laufwerke per Anmeldeskript gemappt-> immer Zugriff auf die Daten, egal, wo ich im Netz bin

 

Falls auch Desktop für wanderende Benutzer überall gleich sein soll, richtet man servergespeicherte Profile ein.

 

NotebookUser richten sich für wichtige Daten, die sie offline benötigen OfflineFolder ein.

 

Die Benutzer müssen sich daran gewöhnen, ihr Zeugs nicht mehr unter Eigene Dateien zu speichern. Alternativ könnte man diese Ordner auch noch per GPO auf den Server umleiten. Habe dabei bloss die Erfahrung gemacht, dass W2k dann doch wieder automatisch Offlinefolder dafür einrichtet (so'n Quatsch von MS)

 

War jetzt lange, aber so würde ich es machen, bzw. so mache ich es immer. jetzt könnt Ihr über mich herfallen...

 

Gruß

 

grizzly999

Link zu diesem Kommentar
Original geschrieben von grizzly999

Der Grund meiner Frage war der: für was hat man einen Server? Als Verzeichnisdienst (Domäne), ok. Für was noch? Als zentrale Datenablage, wo sie dann auch zentral gesichert werden. Ist ja noch besser!

 

Deshalb schlage ich vor:

Im LAN liegen Daten auf dem Server.

 

Die Benutzer bekommen die Laufwerke per Anmeldeskript gemappt-> immer Zugriff auf die Daten, egal, wo ich im Netz bin

 

 

Okay, wie mache ich das? Im AD rechte Maus auf den User ? Für was gibt es dann in den Policies ne Umleitungsmöglichkeit? Habe bisher zaghafte versuche mit den Policies gemacht, gemappt habe ich noch nie..(Wenn möglich soll jeder user nur zugriff auf sein zeug haben und ich als Admin auf alles)

 

 

 

Falls auch Desktop für wanderende Benutzer überall gleich sein soll, richtet man servergespeicherte Profile ein.

 

 

Was gibt es denn da zu beachten? Hatte das mal versucht, aber da kam regelmässig die Meldung,

 

 

Anmeldung fehlgeschlagen, das lokale Profil wird geladen...

 

 

 

Die Benutzer müssen sich daran gewöhnen, ihr Zeugs nicht mehr unter Eigene Dateien zu speichern. Alternativ könnte man diese Ordner auch noch per GPO auf den Server umleiten. Habe dabei bloss die Erfahrung gemacht, dass W2k dann doch wieder automatisch Offlinefolder dafür einrichtet (so'n Quatsch von MS)

 

 

Hm..ich dachte gerade das der Clou ist, DAS sie in den Ordner eigene Dateien umleiten, denn die meisten Programme schlagen doch beim speichern diesen Ordner vor. Was spricht den gegen den eigenen ordner, wenn man ihn vielleicht vorher sogar, wie du es vorschlägst, GEMAPPT hat? Ist das nciht das was ich und Du wollen?

 

 

War jetzt lange, aber so würde ich es machen, bzw. so mache ich es immer. jetzt könnt Ihr über mich herfallen...

 

 

Oh, gibt es hier philosophische Streitgespräche was richtiger sei?

 

gruss newbie

Link zu diesem Kommentar
Original geschrieben von Jim di Griz

Im AD-Snapin Users and Computers Rechtsklick auf die Domäne und dann /Gruppenrichtlinie /zuweisen.

geht in den OUs dann genauso.

dann ein secedit /refreshpolicy machine_policy /enforce und die Richtlinie(n) werden angewendet.

 

Okay, ich habe jetzt der domäne die default policy zugewiesen, dem domän controller container die default domain controller policy

 

 

jetzt müsste es laufen.

 

Sag mir nur noch mal, wo sollte ich die rechte verteilen, in der domain oder in der controller policy?

 

in meinem fall, wo sollte ich das recht vergeben sich lokal am domain controller anzumelden ????

 

gruss newbie

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...