affe 10 Geschrieben 10. Februar 2009 Melden Teilen Geschrieben 10. Februar 2009 Hi, ich kann mich düster daran erinnern, dass mir mal ein MCSE erzählt hat, wie man GPOs verteilt, leider nur düster :( ... Die OUs bilden ja das Netzwerk ab ... kann man nun auch gruppen anlegen, für die ich bestimmte GPOs vergebe ? Wenn ich z.B. eine Gruppe "Firewalldeaktiviert" anlege, dass ich dann auch eine GPO auf diese Gruppe anwende, dann weiss ich, die benutzer die Mitglied in dieser Gruppe sind, auf diese gilt dieses GPO. Wie macht man das am besten mit der GPO-Verteilung ? THX! Zitieren Link zu diesem Kommentar
Sunny61 812 Geschrieben 10. Februar 2009 Melden Teilen Geschrieben 10. Februar 2009 Du kannst Sicherheitsgruppen anlegen, die dann als Filter für die GPOs verwenden. Authentifizierte Benutzer entfernen: http://www.gruppenrichtlinien.de/Bilder/EigenMSI_sec.gif Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 10. Februar 2009 Melden Teilen Geschrieben 10. Februar 2009 Servus affe, naja erst musst du mal trennen. Es gibt benutzerbezogene Gruppenrichtlinien und computerbezogene Richtlinien. Die Firewall Einstellung ist eine computerbezogene Richtlinie, diese nach Sicherheitsgruppen zu filtern ist ihmo falsche Ansatz. Es wäre theoretisch schon möglich aber dann müssen die Computerkonten in der Gruppe die du verwendest drin sein. und die "Authentifizierten Benutzer" musst du entfernen. Richtlinien für einzelne Benutzer oder Sicherheitsgruppen einrichten: grouppolicy - Targeting GPOs Man kann damit sehr schnell ein großes durcheinander enstehen lassen, und sicherheitstechnisch ist das auch ein komischer Ansatz. Entweder wird die Desktop-Firewall benötigt...u. dann für alle User o. sie wird deaktiviert... just my 2 cents...nicht Falsch versehen. lg Gadget Zitieren Link zu diesem Kommentar
affe 10 Geschrieben 10. Februar 2009 Autor Melden Teilen Geschrieben 10. Februar 2009 Nene, ich verstehs nicht falsch, keine Sorge, danke für die Info ! Das mit der Firewall mach ich sowieso Domänenweit, aber ich denke es kommen noch GPOs dazu, die nur für bestimmte Benutzer gelten sollen, und nicht für ganze OUs. Zitieren Link zu diesem Kommentar
Sunny61 812 Geschrieben 10. Februar 2009 Melden Teilen Geschrieben 10. Februar 2009 Nene, ich verstehs nicht falsch, keine Sorge, danke für die Info !Das mit der Firewall mach ich sowieso Domänenweit, aber ich denke es kommen noch GPOs dazu, die nur für bestimmte Benutzer gelten sollen, und nicht für ganze OUs. Dann achte drauf, das Computer-GPOs auch nur von Computerobjekten gelesen werden können. Zitieren Link zu diesem Kommentar
affe 10 Geschrieben 10. Februar 2009 Autor Melden Teilen Geschrieben 10. Februar 2009 Ahm, also, dass nur Clients diese GPOs lesen können ? Wie stellt man dies ein ? THX! Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 10. Februar 2009 Melden Teilen Geschrieben 10. Februar 2009 Eine computerbezogene Richtlinie wird auch nur von Computern "Active Directory Computer-Konten" angewendet. D.h. das Computerkonto muss in einer untergeordneten OU liegen und Gruppenmitglied einer Gruppe sein die das flag "Gruppenrichtlinie übernehmen" in den Sicherheitsoptionen gesetzt hat. Standardmäßig durch die Gruppe "Authentifizierte Benutzer" abgedeckt. Authentifizierte Benutzer im AD = Alle Benutzer und Computerkonten lg Gadget Zitieren Link zu diesem Kommentar
Sunny61 812 Geschrieben 10. Februar 2009 Melden Teilen Geschrieben 10. Februar 2009 Ahm, also, dass nur Clients diese GPOs lesen können ?Wie stellt man dies ein ? Schrub ich doch schon. Erstell dir eine Sicherheitsgruppe, als Mitglieder Computerkonten hinzufügen und in der GPO, in den Sicherheitseinstellungen, die Authentifzierten Benutzer rausnehmen, dafür die selbst erstellte Sicherheitsgruppe aufnehmen. Wenn Du jetzt die GPO auf eine OU verlinkst, müssen im Verwaltungsbereich der GPO natürlich die Computerkonten liegen, Benutzerkonten können mit Computer-Einstellungen nix anfangen. Zitieren Link zu diesem Kommentar
affe 10 Geschrieben 10. Februar 2009 Autor Melden Teilen Geschrieben 10. Februar 2009 Ok, dann passt das schon, für "authentifizierte Benutzer" soll die Richtlinie gelten. Ist es eigentlich so, dass die Einteilung in OUs in der Active Directory vorgenommen werden sollte ? Das ist hier momentan nicht der Fall, mein Kollege meinte, dass dies dann auch mit einem hohen Pflegeaufwand verbunden sei. Die OUs sollten doch eigentlich der Struktur des Netzwerkes entsprechen, oder ? Vielen Dank! Zitieren Link zu diesem Kommentar
Sunny61 812 Geschrieben 10. Februar 2009 Melden Teilen Geschrieben 10. Februar 2009 Ist es eigentlich so, dass die Einteilung in OUs in der Active Directory vorgenommen werden sollte ? Ja, wo willst Du denn sonst OUs erstellen? Das ist hier momentan nicht der Fall, mein Kollege meinte, dass dies dann auch mit einem hohen Pflegeaufwand verbunden sei. Kann ich nicht bestätigen. Die OUs sollten doch eigentlich der Struktur des Netzwerkes entsprechen, oder ? Es gibt und kann keine Empfehlung geben, wie die Struktur der OUs aussehen soll. Das muß jeder machen wie er mag. Beispiel wie es bei mir aussieht: domain.tld --Standort1 -----UserStandort1 -----ClientsStandort1 Wird nun eine GPO auf Standort1 verlinkt, trifft das erstmal alle. Mit den jeweiligen Gruppen kannst Du dann filtern. Zitieren Link zu diesem Kommentar
affe 10 Geschrieben 10. Februar 2009 Autor Melden Teilen Geschrieben 10. Februar 2009 hm, ok ... ich hab das gerade mit meinem Kollegen durchgesprochen, er meinte dann, wie dass mit Abteilungsleitern etc. läuft ? dann muss für jede Abteilung für jeden Abteilungsleiter eine extra GPO plaziertz werden. Wäre das nicht einfacher, wenn man die Abteilungsleiter in eine Gruppe packt, und dann eine Regel auf diese Gruppe anwendet ? THX! Zitieren Link zu diesem Kommentar
NorbertFe 2.111 Geschrieben 10. Februar 2009 Melden Teilen Geschrieben 10. Februar 2009 hm, ok ... ich hab das gerade mit meinem Kollegen durchgesprochen, er meinte dann, wie dass mit Abteilungsleitern etc. läuft ? dann muss für jede Abteilung für jeden Abteilungsleiter eine extra GPO plaziertz werden.Wäre das nicht einfacher, wenn man die Abteilungsleiter in eine Gruppe packt, und dann eine Regel auf diese Gruppe anwendet ? THX! Das geht nicht, da GPOs nur auf Computer- oder Benutzerkonten wirken. Nicht auf Gruppen. ;) Also kannst du anhand der Gruppen nur Sicherheitsfilterung vornehmen, dass Mitglieder einer bestimmten Gruppe das GPO übernehmen, oder eben nicht übernehmen dürfen. Bye Norbert Zitieren Link zu diesem Kommentar
affe 10 Geschrieben 10. Februar 2009 Autor Melden Teilen Geschrieben 10. Februar 2009 Hm, ok, also geht das nicht, dass ich eine GPO einmal setze, ich muss es für jede OU machen, in der die Benutzer sind die das ganze betrifft. Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 10. Februar 2009 Melden Teilen Geschrieben 10. Februar 2009 Man beachte die Baumstruktur - Vererbung :wink2: Übergeordnete OU => Untergeordnete OU => Unterste OU Als kleines Beispiel Domänenroot-OU / Richtlinie 1 =>Standort-OU / Richtlinie 2 => Abteilung-OU / Richtlinie 3 => Computerkonto Yoda + Benutzerkonto Obiwan So welche Richtlinien wirken jetzt auf Yoda und Obiwan? => Richtlinie 1 + 2 und 3 :p Ich hoffe ich habs verständlich rübergebracht Brainstorms, Hinweise, Tipps und Tricks, allgemeine Wissenswertes lg gadget Zitieren Link zu diesem Kommentar
affe 10 Geschrieben 10. Februar 2009 Autor Melden Teilen Geschrieben 10. Februar 2009 jaja, das habe ich schon verstanden ... ich mach auch mal ein bsp: ou1: cheff1 mitarbeiter11/host11 mitarbeiter12/host12 mitarbeiter13/host13 ou2: chef2 mitarbeiter21/host21 mitarbeiter22/host22 mitarbeiter23/host23 ich möchte nun, dass die chefs andere gpos bekommen wie die mitarbeiter. wenn ich das nun richtig verstanden habe, muss ich somit aber die gpo in beide ous setzen und die mitarbeiter dann mittels filter ausschliessen ? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.